Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

Trj/Delreg virus & HijackThis log

None
21 antwoorden
  • Toen ik op mijn oude AthlonXP 1700+ PC Service Pack 3 had geslipstreamed met de originele Windows XP CD en schoon geïnstalleerd, gaf Panda Antivirus + Firewall 2008 na een Scan mijn PC de volgende output

    Panda Antivirus + Firewall 2008 incidenten rapport
    [code:1:379391f02b]
    geval datum resultaten bijkomende informatie
    Einde van de scan 23/05/08 17:17:05 Scan: Deze computer
    Update 23/05/08 17:06:49 Juist Signatures bedreigingen
    Virus gedetecteerd: Trj/Delreg 23/05/08 16:57:48 Gedesinfecteerd Locatie: D:\WinK2CD\I386\BIOSINFO.INF
    Virus gedetecteerd: Trj/Delreg 23/05/08 16:57:33 Gedesinfecteerd Locatie: D:\System Volume Information\_restore{3C8293F8-EB82-41F7-AB16-57B0B0D183BF}\RP27\A0010595.INF
    Virus gedetecteerd: Trj/Delreg 23/05/08 16:57:15 Gedesinfecteerd Locatie: D:\System Volume Information\_restore{3C8293F8-EB82-41F7-AB16-57B0B0D183BF}\RP23\A0006010.INF
    Scan gestart 23/05/08 16:50:14 Scan: Deze computer
    Update 23/05/08 16:46:54 Juist Signatures bedreigingen
    Update 23/05/08 16:46:31 Juist Nieuwe virusdefinitie: 618
    [/code:1:379391f02b]
    Dan gaat het me vooral om die: Virus gedetecteerd: Trj/Delreg 23/05/08 16:57:48 Gedesinfecteerd Locatie: D:\WinK2CD\I386\BIOSINFO.INF

    Want daar staat de Unofficial SP 5.1.2195 geslipstreamed met de originele W2K CD. Volgens Panda staat dat virus dus ook op die W2K SP5.1 gebrande CD-RW, die ik op een oude Pentium 3 PC heb geïnstalleerd. (Volgens Panda is de originele W2K CD gewoon virus vrij.)

    Ik heb voor dit virus gecheckt op de site van Panda. Daarop staat onder andere: Threat level:Low
    Maar op http://www.spywaredb.com
    emove-wininf-delreg-trojan/ staat daarentegen: Dangerous: Yes

    Is dit iets wat ik serieus zou moeten nemen? Is het voldoende dat ik alleen die W2K SP5.1 CD opnieuw brand met die door Panda Gedesinfecteerde D:\WinK2CD\I386\I386\BIOSINFO.INF bestand. En die W2K SP5.1 installatie ook laat desinfecteren door Panda? Overigens verliep de W2K SP5.1 CD met die Trj/Delreg virus zonder foutmeldingen. Zoals is vermeldt in artikel 829784 van Microsoft http://support.microsoft.com/kb/829784

    //Edit zondag 25 mei 2008

    Ik heb vandaag op de oude AthlonXP 1700+ PC Panda Antivirus + Firewall 2008 nogmaals gedraaid: Scan mijn PC. Deze vond geen virussen meer. Via Diep online scannen met TotalPro, vond de snelle scan ook niets. Maar de Volledige scan vond weer die Trj/Delreg

    [code:1:379391f02b]
    ANALYSIS: 2008-05-25 11:05:42
    PROTECTIONS: 1
    MALWARE: 1
    SUSPECTS: 0
    PROTECTIONS

    Description Version Active Updated
    Panda Antivirus + Firewall 2008 7.01.00 Yes Yes
    MALWARE
    Id Description Type Active Severity Disinfectable Disinfected Location
    00017380 Trj/Delreg Virus/Trojan No 1 Yes No D:\System Volume Information\_restore{946E1A6E-FAF4-4F2E-9E61-873EFDF6A013}\RP3\A0000842.INF
    SUSPECTS
    Location
    [/code:1:379391f02b] Ik heb vervolgens op de knop Desinfecteren geklikt. Er verscheen toen de melding: PC gedesinfecteerd. Is dit afdoende?

    Omdat ik op die oude Pentium 3 PC W2K SP5.1 geïnstalleerd had toen die Trj/Delreg er nog opzat, zal deze ook nog gedesinfecteerd moeten worden. Volgens deze blog kan ik dat het beste doen met FREE avast! antivirus 4.x Home Edition. Klopt dit? Of kan dit niet omdat die Trj/Delreg virus er al opzat, voordat er een virusscanner geïnstalleerd kon worden.

    Ik heb intussen van die gedesinfecteerde WinK2CD map, een nieuwe geslipsteamde W2K SP5.1 gebrand. (Op dezelfde CD-RW.) Die in de DVD-speler zat, toen ik via Diep online scannen met TotalPro, de Volledige scan deed. Of kan ik omdat een virusscanner eigenlijk op PC geïnstalleerd zou moeten zijn, als deze nog virusvrij is, beter met die nieuwe geslipsteamde W2K SP5.1 weer schoon opnieuw installeren? Of zijn er andere adviezen?

    //Nogmaals edit op zondag-avond

    Ik vond al googlend deze site met informatie over Virus Scanning Windows from Knoppix Ik heb die oude Pentium 3 PC met die geslipstreamde PC W2K SP5.1 installatie, waar waarschijnlijk dat Trj/Delreg virus opstaat, opgestart vanaf Knoppix 5.3.1 DVD. En de instructies van die site opgevolgd. Dus de W2K partitie mounten voor lezen en schrijven. De nieuwste versie van clamav installeren en de virus definities updaten. Clamav vond echter geen virussen. Dit is het clamlog
    [code:1:379391f02b]
    /media/hde1/AUTOEXEC.BAT: Empty file
    /media/hde1/CONFIG.SYS: Empty file
    /media/hde1/Documents and Settings/Administrator/SendTo/Desktop (create shortcut).DeskLink: Empty file
    /media/hde1/Documents and Settings/Administrator/SendTo/Mail Recipient.MAPIMail: Empty file
    /media/hde1/Documents and Settings/Administrator/SendTo/My Documents.mydocs: Empty file
    /media/hde1/Documents and Settings/Default User/SendTo/Desktop (create shortcut).DeskLink: Empty file
    /media/hde1/Documents and Settings/Default User/SendTo/Mail Recipient.MAPIMail: Empty file
    /media/hde1/Documents and Settings/Default User/SendTo/My Documents.mydocs: Empty file
    /media/hde1/Documents and Settings/Joop/SendTo/Desktop (create shortcut).DeskLink: Empty file
    /media/hde1/Documents and Settings/Joop/SendTo/Mail Recipient.MAPIMail: Empty file
    /media/hde1/Documents and Settings/Joop/SendTo/My Documents.mydocs: Empty file
    /media/hde1/IO.SYS: Empty file
    /media/hde1/MSDOS.SYS: Empty file
    /media/hde1/WINNT/control.ini: Empty file
    /media/hde1/WINNT/Debug/ipsecpa.log: Empty file
    /media/hde1/WINNT/Debug/ipsecpa.log.last: Empty file
    /media/hde1/WINNT/Debug/oakley.log: Empty file
    /media/hde1/WINNT/Debug/oakley.log.sav: Empty file
    /media/hde1/WINNT/Debug/PASSWD.LOG: Empty file
    /media/hde1/WINNT/Sti_Trace.log: Empty file
    /media/hde1/WINNT/system32/config/TempKey.LOG: Empty file

    ———– SCAN SUMMARY ———–

    Known viruses: 300886
    Engine version: 0.93
    Scanned directories: 352
    Scanned files: 6421
    Infected files: 0
    Data scanned: 654.17 MB
    Time: 515.387 sec (8 m 35 s)
    [/code:1:379391f02b]

    Op http://forums.whirlpool.net.au/forum-replies-archive.cfm/410554.html werd ook wel BartPE met Anti-Virus plug-in genoemd. En ik heb de Magazine voor computer techniek van maart 2008 nog bewaard. Waarvan de c't-rescue-cd PE buidler is uitgebreid met 20 handige utilities, waaronder virus scanner Gdata AntiVirus 2008. Ik zou daarmee morgen een BartPE CD me kunnen branden. Welke plug-ins zou ik verder nog kunnen toevoegen?

    //Edit maandag avond

    Ik heb inmiddels de BartPE CD gebrand. De W2K SP5.1 PC ermee opgestart. GData Anti-Virus gestart en de Anti-Virus definities laten updaten. Echter ook deze vond na 7017 bestanden te hebben gecontroleerd, geen virussen op harde schijf. Geïnfecteerd: 0. Verdacht: 0. Ik heb ook nog even gecheckt vanuit Ubuntu Linux. Deze vond de bestand die volgens Panda Antivirus + Firewall 2008 geïnfecteerd zou zijn in C:\WINT\inf\biosinfo.inf Daarin staat zo te zien alleen platte tekst. Hoe kan daar een Virus in? Zijn er nog adviezen?

    //Edit donderdag avond 29 mei 2008

    Voor alle zekerheid voeg ik er toch nog maar een HijackThis log aan toe van de W2K SP5.1 PC. Zover ik kan beoordelen zijn er geen problemen te zien op die PC. De reden van plaatsing is dus alleen die ene Trj/Delreg virus melding op de oude AthlonXP 1700+ PC waarop ik die Unofficial Service Pack 5.1.2195 had geslipstreamed met de originele W2K CD.
    [code:1:379391f02b]
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 19:52:47, on 29-5-2008
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    Boot mode: Normal

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\Ati2evxx.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\Program Files\Comodo\Firewall\cmdagent.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\regsvc.exe
    C:\WINNT\system32\MSTask.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\Ati2evxx.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\WINNT\Explorer.EXE
    C:\WINNT\Mixer.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
    C:\Program Files\Comodo\Firewall\CPF.exe
    C:\WINNT\system32\internat.exe
    C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    C:\WINNT\system32\wuauclt.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
    O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\Comodo\Firewall\CPF.exe" /background
    O4 - HKCU\..\Run: [internat.exe] internat.exe
    O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1211911957812
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Program Files\Comodo\Firewall\cmdagent.exe
    O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe


    End of file - 3256 bytes
    [/code:1:379391f02b]

    Hierbij ook nog een AdAware 2008 Free logje van diezelfde PC
    [code:1:379391f02b]
    Scanmodus: Full
    Scantijd: 00:04:46
    Aantal gescande objecten: 80519
    Aantal gevonden infecties: 26
    Kritiek: 0
    Privacyobjecten: 26
    Verwijderde infecties: 0
    Aantal infecties in quarantaine: 0
    Aantal infecties door scanner genegeerd: 0
    [/code:1:379391f02b]
  • Zou iemand voor alle zekerheid kunnen bevestigen dat die Trj/Delreg een virus is of een hoax? En is mijn HijackThis Logfile nu echt schoon?
  • Volg de instructies zoals beschreven op de volgende pagina: hoe-dient-combofix-gebruikt-te-worden

    Gebruik je Vista, dan hoeft de Recovery Console niet te worden geinstalleerd.
    Is er iets niet duidelijk, dan vraag je het.
    Als het tooltje klaar is, opent er een logfile (C:\combofix.txt).
    Post de inhoud van dit bestandje samen met een nieuwe hijackthislog.

    Start Hijackthis op en kies voor 'Do a system scan only'
    Selecteer alleen de items die hieronder zijn genoemd:
    [b:1ee109ec19]
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
    [/b:1ee109ec19]
    Klik op 'Fix checked' om de items te verwijderen.
  • Ten eerste was er een probleem bij het installeren van de Recovery Console. Nadat Panda die map die ik had gebruikt om de originele W2K CD te slipstreamen met de Unofficial SP 5.1.2195 had gedesinfecteerd, had ik deze opnieuw gebrand. Toen ik vanaf die CD-RW de Recovery Console probeerde te installeren, gaf deze een foutmelding over het ontbreken van biosinfo.inf. Omdat dit bestand volgens Panda was geïnfecteerd was met die Trj/Delreg virus, had Panda dit bestand verwijderd. Ik heb de Recovery Console dan maar geïnstalleerd vanaf de originele W2K CD.

    Ik heb die Combofix gedownload. Antivirus en Firewall uitgeschakeld. En op de Combofix gedubbelklikt. Bij mij verscheen die eerste Bestand openen - Beveiligingswaarschuwing niet. Wel die Disclaimer venster. Toen ik klikte op Yes verscheen een ander venster dan afgebeeld in die Combofix instructie pagina.
    [code:1:c1b48c194e]
    Confirm

    Roughly 1/100 machines failed to make it through the desinfection process!!

    Are you sure to do this? Yes No
    [/code:1:c1b48c194e] Is dat venster belangrijk? Als ik klik op Yes gaat deze verder volgens de Combofix instructie pagina. Ook je Hijackthis instructies heb ik uitgevoerd.

    ComboFix rapport
    [code:1:c1b48c194e]
    ComboFix 08-06-07.3 - Joop 08-06-2008 8:14:38.1 - NTFSx86

    Microsoft Windows 2000 Professional 5.0.2195.4.1252.1.1033.18.798 [GMT 2:00]

    Running from: C:\Documents and Settings\Joop\Desktop\ComboFix.exe
    .

    ((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    C:\WINNT\Web\default.htt
    .
    ((((((((((((((((((((((((( Files Created from 2008-05-08 to 2008-06-08 )))))))))))))))))))))))))))))))
    .
    2008-06-08 07:26 . 08-06-08 07:26 16,384 –a—-t- C:\WINNT\system32\Perflib_Perfdata_240.dat
    2008-05-29 20:25 . 29-05-08 20:25 <DIR> d——– C:\Program Files\Lavasoft
    2008-05-29 20:25 . 29-05-08 20:27 <DIR> d——– C:\Documents and Settings\All Users\Application Data\Lavasoft
    2008-05-29 20:24 . 29-05-08 20:24 <DIR> d——– C:\Program Files\Common Files\Wise Installation Wizard
    2008-05-29 19:51 . 29-05-08 19:51 <DIR> d——– C:\Program Files\Trend Micro
    2008-05-29 05:57 . 29-05-08 05:57 <DIR> d——– C:\Documents and Settings\Joop\Application Data\Comodo
    2008-05-29 05:57 . 29-05-08 05:57 <DIR> d——– C:\Documents and Settings\All Users\Application Data\Comodo
    2008-05-29 05:54 . 29-05-08 05:54 <DIR> d——– C:\Program Files\Comodo
    2008-05-29 05:46 . 29-05-08 05:46 <DIR> d——– C:\WINNT\system32\Macromed
    2008-05-28 21:01 . 28-05-08 21:01 <DIR> d——– C:\Program Files\Alwil Software
    2008-05-28 20:11 . 28-05-08 20:11 25 –a—— C:\WINNT\mixerdef.ini
    2008-05-28 20:01 . 25-07-03 12:47 145,552 –a—— C:\WINNT\system32\drivers\portcls.sys
    2008-05-28 20:01 . 25-07-03 12:47 145,552 –a–c— C:\WINNT\system32\dllcache\portcls.sys
    2008-05-28 20:01 . 19-06-03 12:05 21,264 –a—— C:\WINNT\system32\wdmaud.drv
    2008-05-27 21:01 . 27-05-08 21:01 <DIR> d–h-c— C:\WINNT\$SQLUninstallMDAC25SP3-KB927779-x86-ENU$
    2008-05-27 21:01 . 05-01-07 08:49 22,752 –a—— C:\WINNT\system32\spupdsvc.exe
    2008-05-27 20:56 . 27-05-08 20:56 <DIR> d——– C:\WINNT\mui
    2008-05-27 20:56 . 27-05-08 20:56 957 –a—— C:\WINNT\setup.inf
    2008-05-27 20:56 . 27-05-08 20:56 283 –a—— C:\WINNT\setup.rpt
    2008-05-27 20:54 . 15-02-08 21:13 587,776 –a—— C:\WINNT\system32\WININET.DLL
    2008-05-27 20:45 . 27-05-08 20:45 <DIR> d——– C:\Documents and Settings\Joop\Application Data\ATI
    2008-05-27 20:40 . 27-05-08 20:40 <DIR> d——– C:\Program Files\Common Files\ATI Technologies
    2008-05-27 20:36 . 27-05-08 20:36 <DIR> d——– C:\WINNT\winsxs
    2008-05-27 20:36 . 27-05-08 20:36 <DIR> d——– C:\WINNT\PCHEALTH
    2008-05-27 20:34 . 27-05-08 20:35 <DIR> d–h—– C:\Program Files\InstallShield Installation Information
    2008-05-27 20:34 . 27-05-08 20:41 <DIR> d——– C:\Program Files\ATI Technologies
    2008-05-27 20:34 . 02-08-06 17:27 520,192 ——— C:\WINNT\system32\ati2sgag.exe
    2008-05-27 20:34 . 02-08-06 12:12 307,200 -ra—— C:\WINNT\system32\atiiiexx.dll
    2008-05-27 20:34 . 02-08-06 10:14 133,246 -ra—— C:\WINNT\system32\atiicdxx.dat
    2008-05-27 20:34 . 22-06-06 03:02 6,126 -ra—— C:\WINNT\system32\atifglpf.xml
    2008-05-27 20:30 . 27-05-08 21:41 <DIR> d——– C:\programs
    2008-05-27 20:28 . 27-05-08 20:34 <DIR> d——– C:\Program Files\Common Files\InstallShield
    2008-05-27 20:28 . 27-05-08 20:28 <DIR> d——– C:\ATI
    2008-05-27 20:13 . 30-07-07 19:19 549,720 –a—— C:\WINNT\system32\wuapi.dll
    2008-05-27 20:13 . 30-07-07 19:19 325,976 –a—— C:\WINNT\system32\wucltui.dll
    2008-05-27 20:13 . 30-07-07 19:19 43,352 –a—— C:\WINNT\system32\wups2.dll
    2008-05-27 20:13 . 30-07-07 19:18 34,136 –a—— C:\WINNT\system32\wucltui.dll.mui
    2008-05-27 20:13 . 30-07-07 19:18 33,624 –a—— C:\WINNT\system32\wups.dll
    2008-05-27 20:13 . 30-07-07 19:19 25,944 –a—— C:\WINNT\system32\wuaucpl.cpl.mui
    2008-05-27 20:13 . 30-07-07 19:19 25,944 –a—— C:\WINNT\system32\wuapi.dll.mui
    2008-05-27 20:13 . 30-07-07 19:18 20,312 –a—— C:\WINNT\system32\wuaueng.dll.mui
    2008-05-27 20:12 . 27-05-08 20:12 <DIR> d—s—- C:\Documents and Settings\Joop\UserData
    2008-05-27 20:11 . 27-05-08 20:11 8,192 –a—— C:\WINNT\REGLOCS.OLD
    2008-05-16 11:58 . 16-05-08 11:58 12,632 –a—— C:\WINNT\system32\lsdelete.exe
    2008-05-15 20:28 . 10-12-04 08:03 23,536 –a–c— C:\WINNT\system32\dllcache\usbstor.sys
    2008-05-15 20:06 . 27-05-08 20:12 <DIR> d——– C:\Documents and Settings\Joop
    2008-05-15 20:04 . 08-06-08 07:23 641,532 —h—– C:\WINNT\ShellIconCache
    2008-05-15 06:00 . 15-05-08 06:00 973,072 –a—— C:\WINNT\system32\sfcfiles.dll
    2008-05-15 06:00 . 15-05-08 06:00 6,234 –a—— C:\WINNT\system32\drivers\viaide.sys
    2008-05-12 08:49 . 12-05-08 08:49 509,712 –a—— C:\WINNT\system32\syssetup.dll
    2008-05-12 08:49 . 12-05-08 08:49 33,243 –a—— C:\WINNT\system32\drivers\Ultra.sys
    .
    (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-05-15 15:22 ——— d—–w C:\Program Files\microsoft frontpage
    2008-05-15 15:21 271 —h–w C:\Program Files\desktop.ini
    2008-05-15 15:21 21,952 —h–w C:\Program Files\folder.htt
    2008-05-15 15:19 ——— d—–w C:\Program Files\Accessories
    2008-04-29 09:20 15,648 —-a-w C:\WINNT\system32\drivers\NSDriver.sys
    2008-04-29 09:20 14,624 —-a-w C:\WINNT\system32\drivers\AWRTRD.sys
    2008-04-29 09:20 12,192 —-a-w C:\WINNT\system32\drivers\AWRTPD.sys
    2008-03-27 07:13 151,583 —-a-w C:\WINNT\system32\msjint40.dll
    2008-03-27 07:06 355,104 —-a-w C:\WINNT\system32\msxbde40.dll
    2008-03-27 07:05 838,432 —-a-w C:\WINNT\system32\mswdat10.dll
    2008-03-27 07:05 621,344 —-a-w C:\WINNT\system32\mswstr10.dll
    2008-03-27 07:05 264,992 —-a-w C:\WINNT\system32\mstext40.dll
    2008-03-27 07:04 559,904 —-a-w C:\WINNT\system32\msrepl40.dll
    2008-03-27 07:04 432,928 —-a-w C:\WINNT\system32\msrd2x40.dll
    2008-03-27 07:04 322,336 —-a-w C:\WINNT\system32\msrd3x40.dll
    2008-03-27 07:03 355,104 —-a-w C:\WINNT\system32\mspbde40.dll
    2008-03-27 07:03 248,608 —-a-w C:\WINNT\system32\msjtes40.dll
    2008-03-27 07:03 219,936 —-a-w C:\WINNT\system32\msltus40.dll
    2008-03-27 07:02 60,192 —-a-w C:\WINNT\system32\msjter40.dll
    2008-03-27 07:02 355,112 —-a-w C:\WINNT\system32\msjetoledb40.dll
    2008-03-27 07:01 1,516,568 —-a-w C:\WINNT\system32\msjet40.dll
    2008-03-27 07:00 518,944 —-a-w C:\WINNT\system32\msexch40.dll
    2008-03-27 07:00 326,432 —-a-w C:\WINNT\system32\msexcl40.dll
    2008-03-19 09:26 1,644,080 —-a-w C:\WINNT\system32\WIN32K.SYS
    2005-01-10 09:37 32,528 —-a-w C:\WINNT\inf\wbfirdma.sys
    .
    ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* empty entries & legit default entries are not shown

    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "internat.exe"="internat.exe" [07-12-99 14:00 20752 C:\WINNT\system32\internat.exe]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Synchronization Manager"="mobsync.exe" [25-02-05 07:20 111376 C:\WINNT\system32\mobsync.exe]
    "ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe" [10-05-06 11:12 90112]
    "C-Media Mixer"="Mixer.exe" [15-10-02 18:00 1818624 C:\WINNT\mixer.exe]
    "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [16-05-08 01:19 79224]
    "COMODO Firewall Pro"="C:\Program Files\Comodo\Firewall\CPF.exe" [29-05-08 05:54 1115728]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "internat.exe"="internat.exe" [07-12-99 14:00 20752 C:\WINNT\system32\internat.exe]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    "nltide_3"="advpack.dll" [19-06-03 05:05 91136 C:\WINNT\system32\advpack.dll]
    "^SetupICWDesktop"="C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe" [19-06-03 12:05 186640]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "aux"= mmdrv.dll

    R1 aswSP;avast! Self Protection;C:\WINNT\system32\drivers\aswSP.sys [16-05-08 01:20 ]
    R2 aswMon;avast! Standard Shield Support;C:\WINNT\system32\drivers\aswMon.sys [17-01-08 18:34 ]
    R3 EL90BC;3Com EtherLink XL B/C Adapter Driver;C:\WINNT\system32\DRIVERS\el90xbc5.sys [23-10-99 14:22 ]

    *Newly Created Service* - CATCHME
    .
    **************************************************************************

    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-06-08 08:15:53
    Windows 5.0.2195 Service Pack 4 NTFS

    scanning hidden processes …

    scanning hidden autostart entries …

    scanning hidden files …

    scan completed successfully
    hidden files: 0

    **************************************************************************
    .

    Completion time: 08-06-2008 8:16:21
    ComboFix-quarantined-files.txt 2008-06-08 06:16:18

    Pre-Run: 7,346,966,528 bytes free
    Post-Run: 7,428,767,744 bytes free

    130
    [/code:1:c1b48c194e]
    HijackThis rapport
    [code:1:c1b48c194e]
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 8:30:56, on 8-6-2008
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    Boot mode: Normal

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\Ati2evxx.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\Program Files\Comodo\Firewall\cmdagent.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\regsvc.exe
    C:\WINNT\system32\MSTask.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\Ati2evxx.exe
    C:\WINNT\Mixer.exe
    C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WINNT\system32\internat.exe
    C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    C:\WINNT\explorer.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
    O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\Comodo\Firewall\CPF.exe" /background
    O4 - HKCU\..\Run: [internat.exe] internat.exe
    O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1211911957812
    O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Program Files\Comodo\Firewall\cmdagent.exe
    O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe


    End of file - 3378 bytes
    [/code:1:c1b48c194e]
  • Volgens mij weer netjes hoor, nog klachten ?

    Doe dan

    Download ATF cleaner (gemaakt door Atribune)
    Dubbelklik op ATF cleaner om het programma te starten.
    Op het tabblad "Main", plaats je een vinkje bij [b:f1cbe468ad]Select All[/b:f1cbe468ad].
    Klik op de knop [b:f1cbe468ad]Empty Selected[/b:f1cbe468ad].

    Het volgende doen als je ook FireFox als browser hebt:
    Klik op tabblad "Firefox", plaats een vinkje bij [b:f1cbe468ad]Select All[/b:f1cbe468ad].
    Wil je de door Firefox opgeslagen wachtwoorden behouden, dan klik je in het venster dat verschijnt op "No".
    (dit haalt het vinkje weer weg bij "Firefox saved passwords")
    Klik op de knop [b:f1cbe468ad]Empty Selected[/b:f1cbe468ad].

    Het volgende doen als je ook Opera als browser hebt:
    Klik op tabblad "Opera", plaats een vinkje bij [b:f1cbe468ad]Select All[/b:f1cbe468ad].
    Wil je de door Opera opgeslagen wachtwoorden behouden, dan klik je in het venster dat verschijnt op "No".
    Klik op de knop [b:f1cbe468ad]Empty Selected[/b:f1cbe468ad].
    Ga naar het tabblad "Main" en klik op de knop [b:f1cbe468ad]Exit[/b:f1cbe468ad] om het programma af te sluiten.

    Download Malwarebytes' Anti-Malware via [b:f1cbe468ad]hier[/b:f1cbe468ad] of [b:f1cbe468ad]hier[/b:f1cbe468ad].

    Dubbelklik mbam-setup.exe om het programma te installeren.[list:f1cbe468ad]
    [*:f1cbe468ad]Zorg ervoor dat er een vinkje geplaatst is voor [b:f1cbe468ad]Update Malwarebytes' Anti-Malware[/b:f1cbe468ad] en [b:f1cbe468ad]Launch Malwarebytes' Anti-Malware[/b:f1cbe468ad], Klik daarna op "finish".
    [*:f1cbe468ad]Indien een update gevonden werd, zal het die downloaden en de laatste versie installeren.
    [*:f1cbe468ad]Wanneer het programma volledig up to date is, selecteer "[b:f1cbe468ad]Perform Quick Scan[/b:f1cbe468ad]", daarna klik [b:f1cbe468ad]Scan[/b:f1cbe468ad].
    [*:f1cbe468ad]Het scannen kan een tijdje duren, dus wees geduldig.
    [*:f1cbe468ad]Wanneer de scan voltooid is, klik OK, daarna "Show Results" om de resultaten te zien.
    [*:f1cbe468ad]Zorg ervoor dat daar [b:f1cbe468ad]alles aangevinkt is[/b:f1cbe468ad], daarna klik: [b:f1cbe468ad]Remove Selected[/b:f1cbe468ad].
    [*:f1cbe468ad]Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie extra nota onderaan)
    [*:f1cbe468ad]De log wordt automatisch bewaard door MBAM die je kan zien door de "Logs" tab te klikken in MBAM.
    [*:f1cbe468ad]Kopieer en plak de resultaten van de log in je volgend antwoord, samen met een nieuw HijackThislog.
    [/list:u:f1cbe468ad]
    Extra opmerking:
    [b:f1cbe468ad]Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de Computer opnieuw op te starten… dus sta toe dat MBAM de computer opnieuw opstart.[/b:f1cbe468ad]
    Herstart de computer en plaats ook een nieuw HJT logje


    Plaats de logjes niet in [code:1:f1cbe468ad]code[/code:1:f1cbe468ad] aub.
  • [quote:b561af3bfa="juisterr"]Volgens mij weer netjes hoor, nog klachten ? [/quote:b561af3bfa] Er zijn nog wel enkele warnings in de Windows Logboeken.

    Deze

    Type Date Time Source Category Event User Computer
    Warning 10-6-2008 20:40:37 EventSystem Firing Agent 4100 N/A CONROE-WIN2000
    Warning 10-6-2008 20:40:16 WinMgmt None 35 N/A CONROE-WIN2000
    Warning 10-6-2008 20:40:16 WinMgmt None 35 N/A CONROE-WIN2000

    En deze

    Type Date Time Source Category Event User Computer
    Information 10-6-2008 21:03:38 Removable Storage Service None 134 N/A CONROE-WIN2000
    Warning 10-6-2008 20:43:35 Dnscache None 11050 N/A CONROE-WIN2000
    Information 10-6-2008 20:39:43 Tcpip None 4201 N/A CONROE-WIN2000
    Error 10-6-2008 20:39:59 Service Control Manager None 7000 N/A CONROE-WIN2000

    Die ATF cleaner instructies heb ik zonder problemen kunnen uitvoeren. Bij het klikken op die 2 links van mbam was er wel iets merkwaardigs. De beide links leken even niet te werken. Pagina kon niet worden getoond. Een paar minuten later werkte deze beide weer wel.

    Tijdens de mbam scan sloeg de Commode Firewall Pro alarm over mbam.

    CLI application (Command Line Interface) tracht te verbinden met internet. Wat wilt u doen?

    Detailes

    Toepassing CLI.exe
    Op afstand IP : 127.0.0.1 Port : 3010 – TCP

    Veiligheidsoverwegingen

    C:\Program Files\Malware' Anti-Malware\mbam wijzigde CLI.exe in het geheugen. Dit is een typisch gedrag van Virus, Trojaans paard en spyware.


    Mbam log

    Malwarebytes' Anti-Malware 1.17
    Database versie: 850

    21:01:21 12-6-2008

    mbam-log-6-12-2008 (21-01-21).txt

    Scan type: Snelle Scan
    Objecten gescand: 33643
    Verstreken tijd: 2 minute(s), 58 second(s)

    Geheugenprocessen geïnfecteerd: 0
    Geheugenmodulen geïnfecteerd: 0
    Registersleutels geïnfecteerd: 2
    Registerwaarden geïnfecteerd: 0
    Registerdata bestanden geïnfecteerd: 0
    Mappen geïnfecteerd: 0
    Bestanden geïnfecteerd: 0

    Geheugenprocessen geïnfecteerd:
    (Geen kwaadaardige items gevonden)
    Geheugenmodulen geïnfecteerd:
    (Geen kwaadaardige items gevonden)

    Registersleutels geïnfecteerd:
    HKEY_CLASSES_ROOT\Typelib\{f9fa603d-697c-4900-a950-e54f08324a24} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT
    mwegbsf.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

    Registerwaarden geïnfecteerd:
    (Geen kwaadaardige items gevonden)
    Registerdata bestanden geïnfecteerd:
    (Geen kwaadaardige items gevonden)

    Mappen geïnfecteerd:
    (Geen kwaadaardige items gevonden)
    Bestanden geïnfecteerd:
    (Geen kwaadaardige items gevonden)



    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 21:06:38, on 12-6-2008
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    Boot mode: Normal

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\Ati2evxx.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\spoolsv.exe

    C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\Program Files\Comodo\Firewall\cmdagent.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\regsvc.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\Ati2evxx.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\WINNT\Explorer.EXE
    C:\WINNT\Mixer.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
    C:\Program Files\Comodo\Firewall\CPF.exe
    C:\WINNT\system32\internat.exe
    C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
    04 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\Comodo\Firewall\CPF.exe" /background
    O4 - HKCU\..\Run: [internat.exe] internat.exe
    O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1211911957812
    O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Program Files\Comodo\Firewall\cmdagent.exe
    O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe



    End of file - 3498 bytes


    Is/was er in de logjes dan niets gerelateerd tot die Trj/Delreg virus van die PC waarop ik die Service Pack sliptreamde met de originele W2K CD. En heb je van die PC nog logjes nodig?

    [quote:b561af3bfa="juisterr"]Plaats de logjes niet in Code [/quote:b561af3bfa] Waarom niet eigenlijk? Daarvoor is de Code toch juist voor bedoeld.
  • Waarom niet, omdat ik dat lastig lezen vind.


    Volg de instructies zoals beschreven op de volgende pagina: hoe-dient-combofix-gebruikt-te-worden

    Gebruik je Vista, dan hoeft de Recovery Console niet te worden geinstalleerd.
    Is er iets niet duidelijk, dan vraag je het.
    Als het tooltje klaar is, opent er een logfile (C:\combofix.txt).
    Post de inhoud van dit bestandje samen met een nieuwe hijackthislog.
  • [quote:9bc924df46="juisterr"] Is er iets niet duidelijk, dan vraag je het. [/quote:9bc924df46] Wellicht zou je (deels) kunnen quoten, zodat ik makkelijker kan zien waar je op in gaat. Want een ComboFix van die dual Pentium 3 met die Windows 2000 SP5 (Unofficial) had ik toch al gepost in mijn derde bericht van deze topic. Of is het gebruikelijk deze na mbam nogmaals te draaien?

    Of bedoel je deze keer combofix en een nieuwe hijackthislog van die andere in de startposte genoemde PC. Een AthlonXP met XP SP3. De PC waarop ik die W2K had geslipstreamed, en waarop Panda Antivirus + Firewall 2008 dat Trj/Delreg virus vond, en had verwijderd.
  • Eigenlijk wil ik dus dat je de huidige combofix die je al had gebruikt verwijderd.

    Onderstaande werkt alleen als je combofix op je bureaublad hebt staan waar die hoort.
    Verwijder ComboFix via [b:49f77e746a]Start[/b:49f77e746a] > [b:49f77e746a]Uitvoeren[/b:49f77e746a], kopiëer en plak [b:49f77e746a]Combofix /U[/b:49f77e746a]
    Klik op OK of toets Enter.
    Dit verwijdert zowel ComboFix, als je oude systeemherstelpunten (met eventuele restanten van malware), en maakt een nieuw systeemherstelpunt aan.

    [img:49f77e746a]http://hicheckthis.gethost.nl/images/Uninstall_combofix.JPG[/img:49f77e746a]

    download nu opnieuw de combofix en voer uit wat op de pagina staat.
    [code:1:49f77e746a]aub[/code:1:49f77e746a]
  • [quote:7bcca9772e="juisterr"]Verwijder ComboFix via Start > Uitvoeren, kopiëer en plak Combofix /U [/quote:7bcca9772e] Dat is gelukt zonder fouten.
    [quote:7bcca9772e="juisterr"]download nu opnieuw de combofix en voer uit wat op de pagina staat. [/quote:7bcca9772e] Inmiddels ook gedaan. Net zoals de vorige keer verscheen na die Disclaimer venster ook weer die

    Confirm
    Roughly 1/100 machines failed to make it through the desinfection process!!
    Are you sure to do this? Yes No

    Ook deze keer begon het scannen, na op yes te hebben geklikt

    ComboFix 08-06-11.7 - Joop 13-06-2008 15:28:16.2 - NTFSx86

    Microsoft Windows 2000 Professional 5.0.2195.4.1252.1.1033.18.788 [GMT 2:00]

    Running from: C:\Documents and Settings\Joop\Desktop\ComboFix.exe
    .

    ((((((((((((((((((((((((( Files Created from 2008-05-13 to 2008-06-13 )))))))))))))))))))))))))))))))
    .
    2008-06-13 13:12 . 13-06-08 13:12 16,384 –a—-t- C:\WINNT\system32\Perflib_Perfdata_244.dat
    2008-06-12 20:23 . 12-06-08 20:23 <DIR> d——– C:\Program Files\Malwarebytes' Anti-Malware
    2008-06-12 20:23 . 12-06-08 20:23 <DIR> d——– C:\Documents and Settings\Joop\Application Data\Malwarebytes
    2008-06-12 20:23 . 12-06-08 20:23 <DIR> d——– C:\Documents and Settings\All Users\Application Data\Malwarebytes
    2008-06-12 20:23 . 10-06-08 19:02 34,296 –a—— C:\WINNT\system32\drivers\mbamcatchme.sys
    2008-06-12 20:23 . 10-06-08 19:02 15,864 –a—— C:\WINNT\system32\drivers\mbam.sys
    2008-06-12 19:33 . 18-04-08 17:55 587,776 –a—— C:\WINNT\system32\WININET.DLL
    2008-05-29 20:25 . 29-05-08 20:25 <DIR> d——– C:\Program Files\Lavasoft
    2008-05-29 20:25 . 29-05-08 20:27 <DIR> d——– C:\Documents and Settings\All Users\Application Data\Lavasoft
    2008-05-29 20:24 . 29-05-08 20:24 <DIR> d——– C:\Program Files\Common Files\Wise Installation Wizard
    2008-05-29 19:51 . 29-05-08 19:51 <DIR> d——– C:\Program Files\Trend Micro
    2008-05-29 05:57 . 29-05-08 05:57 <DIR> d——– C:\Documents and Settings\Joop\Application Data\Comodo
    2008-05-29 05:57 . 29-05-08 05:57 <DIR> d——– C:\Documents and Settings\All Users\Application Data\Comodo
    2008-05-29 05:54 . 29-05-08 05:54 <DIR> d——– C:\Program Files\Comodo
    2008-05-29 05:46 . 29-05-08 05:46 <DIR> d——– C:\WINNT\system32\Macromed
    2008-05-28 21:01 . 28-05-08 21:01 <DIR> d——– C:\Program Files\Alwil Software
    2008-05-28 20:11 . 28-05-08 20:11 25 –a—— C:\WINNT\mixerdef.ini
    2008-05-28 20:01 . 25-07-03 12:47 145,552 –a—— C:\WINNT\system32\drivers\portcls.sys
    2008-05-28 20:01 . 25-07-03 12:47 145,552 –a–c— C:\WINNT\system32\dllcache\portcls.sys
    2008-05-28 20:01 . 19-06-03 12:05 21,264 –a—— C:\WINNT\system32\wdmaud.drv
    2008-05-27 21:01 . 27-05-08 21:01 <DIR> d–h-c— C:\WINNT\$SQLUninstallMDAC25SP3-KB927779-x86-ENU$
    2008-05-27 21:01 . 05-01-07 08:49 22,752 –a—— C:\WINNT\system32\spupdsvc.exe
    2008-05-27 20:56 . 27-05-08 20:56 <DIR> d——– C:\WINNT\mui
    2008-05-27 20:56 . 27-05-08 20:56 957 –a—— C:\WINNT\setup.inf
    2008-05-27 20:56 . 27-05-08 20:56 283 –a—— C:\WINNT\setup.rpt
    2008-05-27 20:45 . 27-05-08 20:45 <DIR> d——– C:\Documents and Settings\Joop\Application Data\ATI
    2008-05-27 20:40 . 27-05-08 20:40 <DIR> d——– C:\Program Files\Common Files\ATI Technologies
    2008-05-27 20:36 . 27-05-08 20:36 <DIR> d——– C:\WINNT\winsxs
    2008-05-27 20:36 . 27-05-08 20:36 <DIR> d——– C:\WINNT\PCHEALTH
    2008-05-27 20:34 . 27-05-08 20:35 <DIR> d–h—– C:\Program Files\InstallShield Installation Information
    2008-05-27 20:34 . 27-05-08 20:41 <DIR> d——– C:\Program Files\ATI Technologies
    2008-05-27 20:34 . 02-08-06 17:27 520,192 ——— C:\WINNT\system32\ati2sgag.exe
    2008-05-27 20:34 . 02-08-06 12:12 307,200 -ra—— C:\WINNT\system32\atiiiexx.dll
    2008-05-27 20:34 . 02-08-06 10:14 133,246 -ra—— C:\WINNT\system32\atiicdxx.dat
    2008-05-27 20:34 . 22-06-06 03:02 6,126 -ra—— C:\WINNT\system32\atifglpf.xml
    2008-05-27 20:30 . 27-05-08 21:41 <DIR> d——– C:\programs
    2008-05-27 20:28 . 27-05-08 20:34 <DIR> d——– C:\Program Files\Common Files\InstallShield
    2008-05-27 20:28 . 27-05-08 20:28 <DIR> d——– C:\ATI
    2008-05-27 20:13 . 30-07-07 19:19 549,720 –a—— C:\WINNT\system32\wuapi.dll
    2008-05-27 20:13 . 30-07-07 19:19 325,976 –a—— C:\WINNT\system32\wucltui.dll
    2008-05-27 20:13 . 30-07-07 19:19 43,352 –a—— C:\WINNT\system32\wups2.dll
    2008-05-27 20:13 . 30-07-07 19:18 34,136 –a—— C:\WINNT\system32\wucltui.dll.mui
    2008-05-27 20:13 . 30-07-07 19:18 33,624 –a—— C:\WINNT\system32\wups.dll
    2008-05-27 20:13 . 30-07-07 19:19 25,944 –a—— C:\WINNT\system32\wuaucpl.cpl.mui
    2008-05-27 20:13 . 30-07-07 19:19 25,944 –a—— C:\WINNT\system32\wuapi.dll.mui
    2008-05-27 20:13 . 30-07-07 19:18 20,312 –a—— C:\WINNT\system32\wuaueng.dll.mui
    2008-05-27 20:12 . 27-05-08 20:12 <DIR> d—s—- C:\Documents and Settings\Joop\UserData
    2008-05-27 20:11 . 27-05-08 20:11 8,192 –a—— C:\WINNT\REGLOCS.OLD
    2008-05-16 11:58 . 16-05-08 11:58 12,632 –a—— C:\WINNT\system32\lsdelete.exe
    2008-05-15 20:28 . 10-12-04 08:03 23,536 –a–c— C:\WINNT\system32\dllcache\usbstor.sys
    2008-05-15 20:06 . 27-05-08 20:12 <DIR> d——– C:\Documents and Settings\Joop
    2008-05-15 20:04 . 12-06-08 21:45 642,052 —h—– C:\WINNT\ShellIconCache
    2008-05-15 06:00 . 15-05-08 06:00 973,072 –a—— C:\WINNT\system32\sfcfiles.dll
    2008-05-15 06:00 . 15-05-08 06:00 6,234 –a—— C:\WINNT\system32\drivers\viaide.sys
    .
    (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
    .

    2008-05-15 15:22 ——— d—–w C:\Program Files\microsoft frontpage
    2008-05-15 15:21 271 —h–w C:\Program Files\desktop.ini
    2008-05-15 15:21 21,952 —h–w C:\Program Files\folder.htt
    2008-05-15 15:19 ——— d—–w C:\Program Files\Accessories
    2008-05-12 06:49 509,712 —-a-w C:\WINNT\system32\syssetup.dll
    2008-05-12 06:49 33,243 —-a-w C:\WINNT\system32\drivers\Ultra.sys
    2008-04-30 20:16 1,222,656 —-a-w C:\WINNT\system32\quartz.dll
    2008-04-29 09:20 15,648 —-a-w C:\WINNT\system32\drivers\NSDriver.sys
    2008-04-29 09:20 14,624 —-a-w C:\WINNT\system32\drivers\AWRTRD.sys
    2008-04-29 09:20 12,192 —-a-w C:\WINNT\system32\drivers\AWRTPD.sys
    2008-03-27 07:13 151,583 —-a-w C:\WINNT\system32\msjint40.dll
    2008-03-27 07:06 355,104 —-a-w C:\WINNT\system32\msxbde40.dll
    2008-03-27 07:05 838,432 —-a-w C:\WINNT\system32\mswdat10.dll
    2008-03-27 07:05 621,344 —-a-w C:\WINNT\system32\mswstr10.dll
    2008-03-27 07:05 264,992 —-a-w C:\WINNT\system32\mstext40.dll
    2008-03-27 07:04 559,904 —-a-w C:\WINNT\system32\msrepl40.dll
    2008-03-27 07:04 432,928 —-a-w C:\WINNT\system32\msrd2x40.dll
    2008-03-27 07:04 322,336 —-a-w C:\WINNT\system32\msrd3x40.dll
    2008-03-27 07:03 355,104 —-a-w C:\WINNT\system32\mspbde40.dll
    2008-03-27 07:03 248,608 —-a-w C:\WINNT\system32\msjtes40.dll
    2008-03-27 07:03 219,936 —-a-w C:\WINNT\system32\msltus40.dll
    2008-03-27 07:02 60,192 —-a-w C:\WINNT\system32\msjter40.dll
    2008-03-27 07:02 355,112 —-a-w C:\WINNT\system32\msjetoledb40.dll
    2008-03-27 07:01 1,516,568 —-a-w C:\WINNT\system32\msjet40.dll
    2008-03-27 07:00 518,944 —-a-w C:\WINNT\system32\msexch40.dll
    2008-03-27 07:00 326,432 —-a-w C:\WINNT\system32\msexcl40.dll
    2008-03-19 09:26 1,644,080 —-a-w C:\WINNT\system32\WIN32K.SYS
    2005-01-10 09:37 32,528 —-a-w C:\WINNT\inf\wbfirdma.sys
    .
    ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* empty entries & legit default entries are not shown

    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "internat.exe"="internat.exe" [07-12-99 14:00 20752 C:\WINNT\system32\internat.exe]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Synchronization Manager"="mobsync.exe" [25-02-05 07:20 111376 C:\WINNT\system32\mobsync.exe]
    "ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe" [10-05-06 11:12 90112]
    "C-Media Mixer"="Mixer.exe" [15-10-02 18:00 1818624 C:\WINNT\mixer.exe]
    "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [16-05-08 01:19 79224]
    "COMODO Firewall Pro"="C:\Program Files\Comodo\Firewall\CPF.exe" [29-05-08 05:54 1115728]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "internat.exe"="internat.exe" [07-12-99 14:00 20752 C:\WINNT\system32\internat.exe]


    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 15:31:56, on 13-6-2008
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    Boot mode: Normal

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\Ati2evxx.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\Program Files\Comodo\Firewall\cmdagent.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\regsvc.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\Ati2evxx.exe
    C:\WINNT\Mixer.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
    C:\WINNT\system32\internat.exe
    C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    C:\WINNT\explorer.exe
    C:\WINNT\system32
    otepad.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
    O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\Comodo\Firewall\CPF.exe" /background
    O4 - HKCU\..\Run: [internat.exe] internat.exe
    O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1211911957812
    O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Program Files\Comodo\Firewall\cmdagent.exe
    O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

    End of file - 3381 bytes
  • Ik neem aan dat dat aan het systeem ligt ?

    Ik zie geen bedreigingen in je HJT logje, dus de vraag hoe gaat het nu ?
  • [quote:a56f12d110="juisterr"] Ik zie geen bedreigingen in je HJT logje, dus de vraag hoe gaat het nu ?[/quote:a56f12d110] Behalve de eerder geposte warnings en Errors in de Windows Logboeken, lijkt alles in orde. Maar waren de dingen die je me had laten verwijderen, dan wel gerelateerd aan virus- en/of spyware?[quote:a56f12d110="juisterr"] Ik neem aan dat dat aan het systeem ligt ? [/quote:a56f12d110] Dat wat aan het systeem ligt? Bedoel je die eerder geposte warnings en Errors in de Windows Logboeken? Of bedoel je die Combofix error
    [quote:a56f12d110="jolo"]
    Confirm
    Roughly 1/100 machines failed to make it through the desinfection process!!
    Are you sure to do this? Yes No [/quote:a56f12d110]
    Juisterr, ieder geval alvast bedankt voor het meedenken.
  • http://www.castlecops.com/o9list-12.html

    plak deze code in het zoekvenster
    c95fe080-8f5d-11d2-a20b-00aa003c157a


    en deze natuurlijk.

    Registersleutels geïnfecteerd:
    HKEY_CLASSES_ROOT\Typelib\{f9fa603d-697c-4900-a950-e54f08324a24} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT
    mwegbsf.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.


    ik denk dat combofix zich verslikt in jouw ( met respect ) wat oudere windows.
  • [quote:ae1ccc73e7="juisterr"] http://www.castlecops.com/o9list-12.html [/quote:ae1ccc73e7] Ik heb wel even die site gezien. Ik zie daar geen zoekvenster. Er staat wel

    O9 List of Internet Explorer Extra Buttons

    Field Value
    CLSID c95fe080-8f5d-11d2-a20b-00aa003c157a
    Name Related
    Status O
    Description Alexa_registry_entry Registry key that creates a menu item that points to a local web page that points to an MSN search page that uses the Alexa engine.

    Maar wat de bedoeling daarvan is, is me niet duidelijk. Ik zie dus niet iets waarin ik iets kan inplakken. De site is soms niet bereikbaar. Nu zag ik enig tijd in IE6

    The page cannot be displayed.

    Need help gaf ook even die melding. Even later gaf deze weer wel info. Het is zo te zien een forum.

    Die twee geïnfecteerde registersleutels waren toch al verwijderd door mbam.
  • Probeer deze link even
    http://www.castlecops.com/O9.html

    gewoon blijven proberen want die site laad nog langzamer dan deze.
  • Dan zie ik wel een zoekvenster. Als ik daarin die c95fe080-8f5d-11d2-a20b-00aa003c157a kopieer en plak, zie ik die: Description Alexa_registry_entry Registry key that creates a menu item that points to a local web page that points to an MSN search page that uses the Alexa engine.

    Maar op het kopiëren/plakken van die Registersleutel(s) geeft deze geen info. Is dit goed?
  • Hoe bedoel je precies ?
  • Dat het kopiëren/plakken van die geïnfecteerd Registersleutels (of een gedeelte daarvan) in dat zoekvenster van die laatst genoemde link, geen info oplevert. Was dat de bedoeling? Of had er wel uitleg behoren te verschijnen?
  • Een korte uitleg met wat het is en eventueel aangevuld met links in het meest rechtervakje.
  • [quote:7371fb7be3="juisterr"] Een korte uitleg met wat het is en eventueel aangevuld met links in het meest rechtervakje. [/quote:7371fb7be3] Dat is dan duidelijk. Alleen nog niet waarom je voorstelde die geïnfecteerd Registersleutels in dat zoekvenster van jouw linkje te plakken. Want een druk op de knop search levert geen info.

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.