Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

Malware UAC trojan

Othuroyo
1 antwoord
  • Wie kan mij helpen??

    Mijn pc heeft waarschijnlijk last van een UACd.sys.trojan zo'n een waarbij een deel van de zoekresultaten redirect wordt naar windowsclick.com en veel antimalware programma's het niet doen.

    Via het forum ben ik gekomen op het programma combofix en de trojan lijkt onschadelijk te zijn gemaakt. Ik ben echter geen computergenie en snap niks van het logfile. Wie kan er naar mijn logfile kijken?

    Verwijderde files:
    C:\windows\system\32\drivers\UACglhboppj.sys
    C:\windows\system\32\UACxvkkdash.dll
    C:\windows\system\32\UAComyxirno.dat
    C:\windows\system\32\UACewmjbwwk.dll
    C:\windows\system\32\UACrwcwuiui.dll
    C:\windows\system\32\UACrrssqbf.db
    C:\windows\system\32\UACrkduimxf.dll
    C:\windows\system\32\UACqwtasgqv.dll
    C:\windows\system\32\UACvsrubqay.log
    C:\windows\system\32\UACirolrvw.log
    C:\windows\system\32\UAChcsjtnnx.log

    En de log:

    ComboFix 09-03-03.01 - Yuri 2009-03-04 13:02:39.1 - NTFSx86
    Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1043.18.703.498 [GMT 1:00]
    Gestart vanuit: c:\documents and settings\Yuri\Bureaublad\FixCombo.exe
    * Resident AV is active

    .

    (((((((((((((((((((((((((((((((((( Andere Verwijderingen )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\documents and settings\All Users.WINDOWS\Application Data\CrucialSoft Ltd
    c:\windows\exefld
    c:\windows\system32\drivers\UACqlhboppj.sys
    c:\windows\system32\UACewmjbwwk.dll
    c:\windows\system32\UAChcsjtnnx.log
    c:\windows\system32\UACirjolrvw.log
    c:\windows\system32\UAComyxirno.dat
    c:\windows\system32\UACqwtasgqv.dll
    c:\windows\system32\UACrkduimxf.dll
    c:\windows\system32\UACrwcwuiui.dll
    c:\windows\system32\UACvsrubqay.log
    c:\windows\system32\UACxvkkdasb.dll
    c:\windows\system32\UACyrrssqpf.db

    .
    ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    ——-\Service_UACd.sys


    (((((((((((((((((((( Bestanden Gemaakt van 2009-02-04 to 2009-03-04 ))))))))))))))))))))))))))))))
    .

    2009-03-04 11:27 . 2009-03-04 11:27 <DIR> d——– c:\documents and settings\Yuri\Application Data\U3
    2009-03-04 09:21 . 2009-03-04 12:42 1,896,749 –a—— c:\windows\system32\uactmp.db
    2009-03-03 15:44 . 2009-03-04 09:22 5,162 –a—— c:\windows\system32\uacinit.dll

    .
    ((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2009-03-02 08:21 ——— d—–w c:\program files\Microsoft Silverlight
    2009-02-24 09:21 ——— d—–w c:\program files\Google
    2009-01-22 08:55 ——— d—–w c:\program files\PDFCreator
    2008-12-20 23:03 826,368 —-a-w c:\windows\system32\wininet.dll
    2008-11-05 09:48 32,768 –sha-w c:\windows\system32\config\systemprofile\Local Settings\Geschiedenis\History.IE5\MSHist012008110520081106\index.dat
    .

    ((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
    "MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]
    "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-09-07 68856]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952]
    "PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
    "PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
    "VSOCheckTask"="c:\progra~1\McAfee.com\VSO\mcmnhdlr.exe" [2005-07-08 151552]
    "VirusScan Online"="c:\program files\McAfee.com\VSO\mcvsshld.exe" [2005-08-10 163840]
    "OASClnt"="c:\program files\McAfee.com\VSO\oasclnt.exe" [2005-08-11 53248]
    "MCAgentExe"="c:\progra~1\mcafee.com\agent\mcagent.exe" [2005-09-22 303104]
    "MCUpdateExe"="c:\progra~1\mcafee.com\agent\mcupdate.exe" [2006-01-11 212992]
    "MPFEXE"="c:\progra~1\McAfee.com\PERSON~1\MpfTray.exe" [2005-11-11 1005096]
    "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
    "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-01-31 385024]
    "SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
    "VTTimer"="VTTimer.exe" [2004-10-22 c:\windows\system32\VTTimer.exe]
    "VTTrayp"="VTtrayp.exe" [2008-06-11 c:\windows\system32\VTTrayp.exe]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

    c:\documents and settings\Admin\Menu Start\Programma's\Opstarten\
    Adobe Gamma Loader.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2005-11-02 113664]
    Adobe Reader Snelle start.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696]
    InterVideo WinCinema Manager.lnk - c:\program files\InterVideo\Common\Bin\WinCinemaMgr.exe [2005-12-07 278528]
    Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-03-22 65588]

    c:\documents and settings\FU\Menu Start\Programma's\Opstarten\
    Adobe Gamma Loader.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2005-11-02 113664]
    Adobe Reader Snelle start.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696]
    InterVideo WinCinema Manager.lnk - c:\program files\InterVideo\Common\Bin\WinCinemaMgr.exe [2005-12-07 278528]
    Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-03-22 65588]

    c:\documents and settings\All Users.WINDOWS\Menu Start\Programma's\Opstarten\
    Adobe Gamma Loader.exe.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2005-11-02 113664]
    Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696]
    Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-03-22 65588]

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "AntiVirusDisableNotify"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]
    "DisableMonitoring"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
    "c:\\Program Files\\Skype\\Phone\\Skype.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\MSN Messenger\\livecall.exe"=

    S3 S3chipid;S3chipid;c:\documents and settings\Admin\Mijn documenten\Mijn afbeeldingen\K8M800_WinXP_16944206_WIShld_logod\K8M800_WinXP_16944206_WIShld_logod\s3chipid.sys [2003-01-23 3712]
    S4 Rpcmudvemrc;Rpcmudvemrc;c:\windows\system32\drivers\mouclass.sys [2004-08-04 23552]

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
    \Shell\AutoRun\command - E:\LaunchU3.exe -a
    .
    Inhoud van de 'Gedeelde Taken' map

    2009-02-13 c:\windows\Tasks\AppleSoftwareUpdate.job
    - c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

    2009-03-04 c:\windows\Tasks\User_Feed_Synchronization-{89090CB3-5A10-4D86-B4DA-5FA86078658F}.job
    - c:\windows\system32\msfeedssync.exe [2007-08-13 18:36]
    .
    - - - - ORPHANS VERWIJDERD - - - -

    HKLM-Run-Cmaudio - cmicnfg.cpl


    .
    ——- Bijkomende Scan ——-
    .
    uStart Page = hxxp://www.google.nl/ig?hl=nl
    FF - ProfilePath - c:\documents and settings\Yuri\Application Data\Mozilla\Firefox\Profiles\ar70i1fu.default\
    .

    **************************************************************************

    catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2009-03-04 13:10:02
    Windows 5.1.2600 Service Pack 3 NTFS

    scannen van verborgen processen …

    scannen van verborgen autostart items …

    scannen van verborgen bestanden …

    Scan succesvol afgerond
    verborgen bestanden: 0

    **************************************************************************
    .
    Voltooingstijd: 2009-03-04 13:12:22
    ComboFix-quarantined-files.txt 2009-03-04 12:12:08

    Pre-Run: 20,417,081,344 bytes beschikbaar
    Post-Run: 21,200,343,040 bytes beschikbaar

    WindowsXP-KB310994-SP2-Home-BootDisk-NLD.exe
    [boot loader]
    timeout=2
    default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
    [operating systems]
    c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
    multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

    134 — E O F — 2009-02-26 16:31:38

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.