Vraag & Antwoord

Beveiliging & privacy

Antimalware doctor, waarschuwing van ISP

64 antwoorden
  • Hallo Lord Wodan, onderstaand heb ik voor je de handelwijze om Antimalware Doctor uit je Windows te krijgen. Hou je exact aan de volgorde! Tip: kopieer de inhoud van deze post naar een kladblokdocument, dat je opslaat op je bureaublad! Indien de besmetting het onmogelijk maakt om de benodigde bestanden te downloaden, doe dit dan met een andere computer en transfereer dan de bestandeb via CD, USB-HD of USB-stick [color=#FF0000:0b40e2f816][b:0b40e2f816]Stap •1•[/b:0b40e2f816][/color:0b40e2f816] [b:0b40e2f816]controleer de Proxy instellingen van IE - Want deze zijn waarschijnlijk gemanipuleerd door de malware[/b:0b40e2f816] [list:0b40e2f816][*:0b40e2f816] Open Internet Explorer > menu extra (tools) > Internet opties > tabje "verbindingen" > klik op LAN-instellingen. [*:0b40e2f816] Haal het vinkje weg voor "Een proxyserver voor het LAN-netwerk gebruiken " [*:0b40e2f816] Zet een vinkje bij "instellingen automatisch detecteren" [*:0b40e2f816] klik OK [*:0b40e2f816] sluit IE[/list:u:0b40e2f816] [color=#FF0000:0b40e2f816][b:0b40e2f816]Stap •2•[/b:0b40e2f816][/color:0b40e2f816] [b:0b40e2f816]Download [url=http://download.bleepingcomputer.com/grinler/rkill.com]Rkill.com (Klik)[/url] naar je bureaublad.[/b:0b40e2f816] [list:0b40e2f816][*:0b40e2f816] Nadat het tool op je bureaublad is geland, erop dubbelklikken, zo dat het zal proberen de processen van de rogue te stoppen! [*:0b40e2f816] Wanneer het tool klaar is, zal het zwarte venster verdwijnen en kan je de volgende stap gaan doen! [*:0b40e2f816] Krijg je de waarschuwing dat Rkill een infektie is, dan is deze waarschuwing afkomstig van de malware. [*:0b40e2f816] Wordt Rkill echter gestopt, dan is het de truc de waarschuwing op hetscherm te laten staan en Rkill opnieuw op te starten. [*:0b40e2f816] Dus blijf geduldig proberen Rkill zijn werk te laten doen - alleen dan kan je door met de volgende stap.[/list:u:0b40e2f816] Indien je problemenen ondervindt om Rkill ye laten werken, dan kan je http://download.bleepingcomputer.com/grinler/iExplore.exe iE explore.exe of http://download.bleepingcomputer.com/grinler/eXplorer.exe eXplorer.exe downloaden - dit zijn hernoemde Rkill bestanden. [color=#FF0000:0b40e2f816][b:0b40e2f816]Stap •3•[/b:0b40e2f816][/color:0b40e2f816] [b:0b40e2f816][url=http://www.idealsoftware.nl/MBAM/][B]Download, installeer en blijf MBAM gebruiken[/b:0b40e2f816] (KLIK)[/url][/B] (klik op de blaue knop om de gratis versie te downloaden!) [list:0b40e2f816][*:0b40e2f816] Al meteen na de installatie wil [b:0b40e2f816]MBAM[/b:0b40e2f816] zijn database opwaarderen – toestaan dus. [*:0b40e2f816] Ook bij herhaald gebruik: eerst MBAM updaten via de tab [b:0b40e2f816]Update[/b:0b40e2f816]! [*:0b40e2f816] Start [b:0b40e2f816]MBAM[/b:0b40e2f816] en kies voor [b:0b40e2f816]Snelle Scan[/b:0b40e2f816] [*:0b40e2f816] [b:0b40e2f816]N.B.: Vista- en Windows 7-gebruik(st)ers starten MBAM middels rechtsklikken en dan kiezen voor Als Administrator uitvoeren.[/b:0b40e2f816] [*:0b40e2f816] Het scannen kan een tijdje duren, dus wees geduldig. [*:0b40e2f816] Indien de scan voltooid is, klik dan op de knop [b:0b40e2f816]OK[/b:0b40e2f816] [*:0b40e2f816] Klik daarna op de knop [b:0b40e2f816]Bekijk Resultaten[/b:0b40e2f816] om de resultaten te zien. [*:0b40e2f816] Zorg ervoor, dat alles aangevinkt is. [*:0b40e2f816] Vervolgens klik je op: [b:0b40e2f816]Verwijder geselecteerde[/b:0b40e2f816] . [*:0b40e2f816] Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. [*:0b40e2f816] Het log wordt automatisch bewaard door [b:0b40e2f816]MBAM[/b:0b40e2f816] en dat kan je terugvinden door op de tab [b:0b40e2f816]Logs[/b:0b40e2f816] te klikken in [b:0b40e2f816]MBAM[/b:0b40e2f816] . [*:0b40e2f816] Indien [b:0b40e2f816]MBAM[/b:0b40e2f816] moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven – dan telkens op [b:0b40e2f816]OK[/b:0b40e2f816] klikken! [*:0b40e2f816] Daarna zal [b:0b40e2f816]MBAM[/b:0b40e2f816] vragen om de Computer opnieuw op te starten - dus sta toe dat de computer opnieuw opgestart wordt.[/list:u:0b40e2f816] Indien er de rootkit (TDSS) aanwezig is, zal MBAM ook vragen te herstarten. Doe dit dan ook. MBAM zal dan na de herstart opnieuw scannen en de rootkit verwijderen. [b:0b40e2f816]Hierna post je de inhoud van de volgende logs:[/b:0b40e2f816] [list:0b40e2f816][*:0b40e2f816] een nieuw Hijackthis-log [*:0b40e2f816] MBAM scanlog[/list:u:0b40e2f816] [list:0b40e2f816][b:0b40e2f816]Tevens een Uninstall-lijst posten:[/b:0b40e2f816] [*:0b40e2f816] start HijackThis, [*:0b40e2f816] klik op de knop [b:0b40e2f816]Open the Misc Tools section[/b:0b40e2f816], [*:0b40e2f816] klik op de knop [b:0b40e2f816]Open Uninstall Manager[/b:0b40e2f816] [*:0b40e2f816] Klik op de knop [b:0b40e2f816]Save[/b:0b40e2f816].[/list:u:0b40e2f816]
  • Hi Blij dat je er nog bent!! Voordat ik van alles doe, hoe kan je nu zien dat het er nog zit? alle andere proggies zeggen dat ik schoon ben?
  • Mbam geeft ook groen licht trouwens.
  • Hoi Lord Wodan, dan gaan we dieper in jouw Windows kijken! [url=http://download.bleepingcomputer.com/sUBs/ComboFix.exe][b:33dda2d91e]Laat Combofix jouw Windows scannen[/b:33dda2d91e] (klik)[/url]. [url=http://www.bleepingcomputer.com/combofix/nl/hoe-dient-combofix-gebruikt-te-worden][b:33dda2d91e]Hoe Combofix goed te gebruiken[/b:33dda2d91e] (klik)[/url] [b:33dda2d91e]Aanvulling: om Combofix te kunnen gebruiken geldt het volgende: [color=red:33dda2d91e]• er mogen geen webbrowsers openstaan • antivirus moet geheel gedeaktiveerd zijn • actieve mal- en spywarescanners moeten gedeaktiveerd zijn.[/b:33dda2d91e][/color:33dda2d91e] Niet in het actieve Combofixvnster klikken – dit zal Combofix doen bevriezen! Combofix sluit de internet verbinding – probeer deze tussentijds niet te niet te herstellen! [B]• [color=darkblue]Indien de Recovery Console niet geïnstalleerd is, dan wordt je gevraagd om dit alsnog te doen door op 'JA' te klikken in het "Query - Recovery Console" venster. Klik daarom op 'OK' en 'Ja' om automatisch de Recovery Console te laten installeren. Klik na afloop hiervan wederom op 'Ja', om het scannen op malware te starten.
  • Schiet mij maar lek.. Combofix doet niets?? De eerste keer starten gaf hij een fout en vervolgens een reboot. Na de reboot heeft hij een half uur niet staan doen, alleen dat blauwe console venstertje. Daarna meerdere malen herstart, herstelpunt teruggezet, alle combofix mappen verwijderd en opnieuw geprobeerd.. Nada.. help? :x
  • Hoi Lord Wodan, wil je lek geschoten worden? Ik kan pijl en boog momenteel even niet vinden! Maar terzake - ik denk dat er toch meer mis is met jouw Windows dan jij mogelijk denkt! Laten we nu eerst eens opnieuw een HijackThis log doen. Daarbij deïnstalleer je de huidige versie in jouw Windows en die vervang je door de nieuwste versie! [url=http://free.antivirus.com/hijackthis/][b:b8d7ecbd97]Download en installeer HijackThis Versie 2.04[/b:b8d7ecbd97] (klik)[/url] [list:b8d7ecbd97]• Installeer HijackThis op de aangegeven lokatie - alleen dan kan HijackThis back-ups maken! • N.B.: Gebruikers/sters van Windows Vista en Windows 7 gaan naar de installatielokatie van HijackThis, klikken hijackthis.exe met rechts aan, kiezen Eigenschappen, klikken op de tab Comptabiliteit en zetten dan een vinkje bij Als Administrator uitvoeren. • Sluit nu alle openstaande vensters en start vervolgens [b:b8d7ecbd97]HijackThis[/b:b8d7ecbd97] en kies voor [b:b8d7ecbd97]Do a system scan and save a logfile[/b:b8d7ecbd97] • Kopieer en plak de inhoud van de logfile in je aansluitende bericht.[/list:u:b8d7ecbd97]
  • Ik kwam zelf ook al eea tegen, MBAM vond weer een worm in de temporary internet files map en heeft die verwijderd. Daarna ging ik eens in die map kijken.. .kon ik hem niet vinden?? alleen als ik hem direct in de adresbalk benaderde lukte het. De map is nu leeg en weer zichtbaar?!? Logje: Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 22:08:23, on 18-8-2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Avira\AntiVir Desktop\avgnt.exe C:\Program Files\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe C:\Program Files\AGEIA Technologies\TrayIcon.exe C:\WINDOWS\RTHDCPL.EXE C:\Program Files\Common Files\Nokia\MPlatform\NokiaMServer.exe C:\WINDOWS\vVX1000.exe C:\Program Files\FTD Watchdog\FtdMonitor.exe C:\Program Files\Avira\AntiVir Desktop\avguard.exe C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe C:\Program Files\Logitech\SetPoint\SetPoint.exe C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\Program Files\Java\jre6\bin\jqs.exe C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe C:\Program Files\Microsoft LifeCam\MSCamS32.exe C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe C:\Program Files\CDBurnerXP\NMSAccessU.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe C:\WINDOWS\system32\vmnat.exe F:\Program Files\VMware\VMware Server\tomcat\bin\Tomcat6.exe C:\WINDOWS\system32\vmnetdhcp.exe F:\Program Files\VMware\VMware Server\vmware-authd.exe F:\Program Files\VMware\VMware Server\vmware-hostd.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\PC Connectivity Solution\ServiceLayer.exe C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe C:\Program Files\PC Connectivity Solution\Transports\NclToBTSrv.exe C:\Program Files\Google\Chrome\Application\chrome.exe C:\Program Files\Google\Chrome\Application\chrome.exe C:\Program Files\Google\Chrome\Application\chrome.exe C:\Program Files\Google\Chrome\Application\chrome.exe C:\Documents and Settings\Sander\Mijn documenten\Downloads\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: Windows Live Aanmelden - Help - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [ITSecMng] %ProgramFiles%\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe /START O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun O4 - HKLM\..\Run: [AGEIA PhysX SysTray] C:\Program Files\AGEIA Technologies\TrayIcon.exe O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [NokiaMServer] C:\Program Files\Common Files\Nokia\MPlatform\NokiaMServer /watchfiles startup O4 - HKLM\..\Run: [NokiaMusic FastStart] "C:\Program Files\Nokia\Ovi Player\NokiaOviPlayer.exe" /command:faststart O4 - HKLM\..\Run: [VX1000] C:\WINDOWS\vVX1000.exe O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe" O4 - HKCU\..\Run: [FTD Watchdog Monitor] "C:\Program Files\FTD Watchdog\FtdMonitor.exe" O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user') O4 - Global Startup: Bluetooth Manager.lnk = ? O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: f:\program files\vmware\vmware server\vsocklib.dll O10 - Unknown file in Winsock LSP: f:\program files\vmware\vmware server\vsocklib.dll O16 - DPF: {0067DBFC-A752-458C-AE6E-B9C7E63D4824} (Apparaatdetectie) - http://www.logitech.com/devicedetector/plugins/LogitechDeviceDetection32.cab O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.systemrequirementslab.com/srl_bin/sysreqlab_srl.cab O16 - DPF: {B94C2238-346E-4C5E-9B36-8CC627F35574} (VMware Remote Console Plug-in 2.5.0.00000) - O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O16 - DPF: {EDFCB7CB-942C-4822-AF14-F0B687409848} (Image Uploader Control) - http://cache.hyves-static.net/statics/Aurigma/ImageUploader4.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O22 - SharedTaskScheduler: Preloader van browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Cache-daemon voor onderdeelcategorieën - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Google Updateservice (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logishrd\Bluetooth\LBTServ.exe O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: ServiceLayer - Nokia - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe O23 - Service: StarOpen - Avira GmbH - (no file) O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - F:\Program Files\VMware\VMware Server\vmware-authd.exe O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe O23 - Service: VMware Host Agent (VMwareHostd) - Unknown owner - F:\Program Files\VMware\VMware Server\vmware-hostd.exe O23 - Service: VMware Server Web Access (VMwareServerWebAccess) - Apache Software Foundation - F:\Program Files\VMware\VMware Server\tomcat\bin\Tomcat6.exe O23 - Service: VMware VSS Writer (vmwriter) - VMware, Inc. - F:\Program Files\VMware\VMware Server\vmVssWriter.exe -- End of file - 9508 bytes
  • Hallo Lord Wodan, je log ziet er goed uit. Vraag - toen je CombFix startte, had je toen Avira al gedeaktiveerd?
  • ja
  • en weer schoon, vaag: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Databaseversie: 4446 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 18-8-2010 22:51:15 mbam-log-2010-08-18 (22-51-15).txt Scantype: Snelle scan Objecten gescand: 131465 Verstreken tijd: 3 minuut/minuten, 40 seconde(n) Geheugenprocessen geïnfecteerd: 0 Geheugenmodulen geïnfecteerd: 0 Registersleutels geïnfecteerd: 0 Registerwaarden geïnfecteerd: 0 Registerdata geïnfecteerd: 0 Mappen geïnfecteerd: 0 Bestanden geïnfecteerd: 0 Geheugenprocessen geïnfecteerd: (Geen kwaadaardige objecten gedetecteerd) Geheugenmodulen geïnfecteerd: (Geen kwaadaardige objecten gedetecteerd) Registersleutels geïnfecteerd: (Geen kwaadaardige objecten gedetecteerd) Registerwaarden geïnfecteerd: (Geen kwaadaardige objecten gedetecteerd) Registerdata geïnfecteerd: (Geen kwaadaardige objecten gedetecteerd) Mappen geïnfecteerd: (Geen kwaadaardige objecten gedetecteerd) Bestanden geïnfecteerd: (Geen kwaadaardige objecten gedetecteerd)
  • De het volgende: download [b:1974262102][url=ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe]Dr.Web CureIt[/url][/b:1974262102] en plaats het op je bureaublad. [list:1974262102] [*:1974262102] Dubbelklik cureit.exe en sta het toe om te express scan te starten. Indien er een popup verschijnt met het voorstel tot kopen/50% korting mag je deze sluiten. [*:1974262102] De express scan zal de bestanden scannen die momenteel in het geheugen geladen zijn. Wanneer er iets gevonden wordt klik op '[b:1974262102]alles selecteren[/b:1974262102]' kies nu voor '[b:1974262102] repareren[/b:1974262102]' en uit het kleine menutje dat verschijnt kies je '[b:1974262102]verplaatsen[/b:1974262102]'. [*:1974262102] Kies bovenaan in het menu voor [b:1974262102]Language/Taal[/b:1974262102] en wijzig deze naar [b:1974262102]Dutch (Nederlands)[/b:1974262102] indien deze bij jou anders staat ingesteld. [*:1974262102] Druk op [b:1974262102]F9[/b:1974262102], kies daarna voor het tabblad [b:1974262102]Acties[/b:1974262102] en stel daar het volgende in onder [b:1974262102]Malware:[/b:1974262102][list:1974262102] [*:1974262102] [b:1974262102]Adware[/b:1974262102]: Verplaats [*:1974262102] [b:1974262102]Dialers[/b:1974262102]: Verplaats [*:1974262102] [b:1974262102]Jokes[/b:1974262102]: Rapportage [*:1974262102] [b:1974262102]Riskware[/b:1974262102]: Rapportage [*:1974262102] [b:1974262102]Hacktools[/b:1974262102]: Verplaats [*:1974262102] Haal dan het vinkje weg bij '[b:1974262102]Prompt bij actie[/b:1974262102]'.[/list:u:1974262102] [*:1974262102] Kies daarna voor het tabblad [b:1974262102]Scan[/b:1974262102] en verwijder het vinkje bij [b:1974262102]Heuristische analyse[/b:1974262102]. Druk vervolgens op [b:1974262102]Toepassen[/b:1974262102] gevolgd door [b:1974262102]OK[/b:1974262102]. [*:1974262102] Eenmaal als de korte scan is beeindigd vink je aan: [b:1974262102]Volledige scan[/b:1974262102]. Druk daarna op het [b:1974262102][color=#006400:1974262102]groene pijltje[/color:1974262102][/b:1974262102] (start knop) om de scan te starten. [*:1974262102] Gevonden bestanden worden naar '%USERPROFILE%\DocterWeb\Quarantine' -map verplaatst indien het herstellen niet mogelijk is. [*:1974262102] Nadat de scan gedaan is ga dan naar [b:1974262102]Bestand[/b:1974262102] en kies [b:1974262102]Rapportage lijst opslaan[/b:1974262102]. Bewaar deze op je bureaublad en sluit daarna Dr.Web CureIt. [*:1974262102] [b:1974262102]Herstart vervolgens de computer!![/b:1974262102] Dit is een belangrijke stap want het kan zijn dat Dr.Web CureIt bestanden zal verplaatsen/verwijderen tijdens herstart. [*:1974262102] Na het herstarten, [b:1974262102]kopieer en plak de inhoud van die log die je eerder hebt bewaard in je volgende post[/b:1974262102].[/list:u:1974262102]
  • Veel kwam er niet uit: Proces in geheugen: C:\WINDOWS\System32\svchost.exe:1280;;BackDoor.Tdss.565;Uitgeroeid.; deze was dus al plat want ik had geen optie om te verwijderen. Oh, express, bedoel je daar geen Enhanced mee? (EPM) veel andere keuzes had ik niet
  • Wat mij nu interesseert: krijg je nog meldingen van Alice?
  • nog niet. Maar dat was de laatste keer ook pas na 5 dagen
  • En wat ik zelf belangrijk vind. Waarom vond dat virus mij zo snel terug?
  • dat is een van de redenen, waarom ik je ComboFix wou laten doen! Dat brengt me overigens op het volgende: [b:7d64a81302][url=http://support.kaspersky.com/downloads/utils/tdsskiller.zip]download tdsskiller naar je bureaublad (klik)[/url][/b:7d64a81302] [list:7d64a81302][*:7d64a81302] pak het bestand uit en klik\dubbelkik erop om het op te starten [*:7d64a81302] indien de scan klaar is, vindt je het log in de C:\ partitie [*:7d64a81302] Post de inhoud van dat log[/list:u:7d64a81302]
  • Ook schoon :o Daardoor heeft hij wss geen log gemaakt want ik kan niets vinden
  • WTF!! Ik zit nu alleen ff te browsen op C!Totaal, Ubuntu forum en Facebook en komt avira in de lucht met: Virus or unwanted program 'TR/Dropper.Gen [trojan]' detected in file 'C:\WINDOWS\temp\mulo.tmp\setup.exe. Action performed: Deny access Alles was 10 minuten geleden clean gemeld door de tools die hier gegeven waren plus: Mbam Spybot Hijack.. Ik krijg er wat van.. Zelfs msn oid staat nu niet aan!
  • Ik heb mijn laptop er maar even bijgepakt. De desktop pc is voor de 4e keer bezig met Cureit. Elke keer vindt hij die worm. En elke keer zegt hij hem uitgeroeid te hebben. Mbam ziet hem niet maar Avira struikelt steeds. Verwijderen ho maar.. What to do? Een fresh install vertik ik... het moet anders kunnen ;-)
  • Hi, Een tijdje geleden had ik op 1 of andere manier last van de Antimalware doctor roque. Er was niets meer te starten of scannen en uiteindelijk heb ik via de safe-mode MBAM, spybot etc kunnen updaten en gebruiken en het leek verdwenen. Een paar dagen later kreeg ik van mijn ISP (Alice) te horen dat ik op een blacklist was komen te staan vanwege spam. De tijden van de overlast klopten met mijn ge-emmer met de doctor dus prima, mailtje naar Alice en alles was weer in orde! Niet dus... Gisteravond weer.. Avira ging volledig door het lint met allerlei meldingen maar voorkomen/genezen ho maar! Waar heb ik dan een F*ing virusscanner voor?? Weer oa antimalware doctor en nog vele, vele andere meldingen in Mbam en spybot. Allerlei fake.alert, trojans, roques etc. Damn.. weer een avond kwijt. Inmiddels lijkt de boel weer schoon, dankzij Mbam Spybot en hiJack maar kan een echte expert eens kijken? Want hoe weet dat ding mij steeds te vinden? Ik kom niet op vreemde sites, download af en toe wel een torrent maar thats it. Geen cracks, keygens etc. Welke rapporten kan ik hier het beste plaatsen naar Hijack? Die van Mbam is schoon, maar als het moet kan ik hem nog een keer draaien. Hijack (ja, er staat te veel bluetooth in.. nog niet gefixt.. :wink: ) : Logfile of Trend Micro HijackThis v2.0.3 (BETA) Scan saved at 19:52:49, on 17-8-2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Avira\AntiVir Desktop\avguard.exe C:\Program Files\Avira\AntiVir Desktop\avgnt.exe C:\Program Files\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe C:\Program Files\AGEIA Technologies\TrayIcon.exe C:\WINDOWS\RTHDCPL.EXE C:\Program Files\Common Files\Nokia\MPlatform\NokiaMServer.exe C:\WINDOWS\vVX1000.exe C:\Program Files\FTD Watchdog\FtdMonitor.exe C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\Program Files\Logitech\SetPoint\SetPoint.exe C:\Program Files\Java\jre6\bin\jqs.exe C:\Program Files\Microsoft LifeCam\MSCamS32.exe C:\Program Files\CDBurnerXP\NMSAccessU.exe C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE C:\WINDOWS\system32\svchost.exe C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe C:\WINDOWS\system32\vmnat.exe F:\Program Files\VMware\VMware Server\tomcat\bin\Tomcat6.exe C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe C:\WINDOWS\system32\vmnetdhcp.exe F:\Program Files\VMware\VMware Server\vmware-authd.exe C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosAVRC.exe F:\Program Files\VMware\VMware Server\vmware-hostd.exe C:\Program Files\Toshiba\Bluetooth Toshiba Stack\tosOBEX.exe C:\Program Files\Toshiba\Bluetooth Toshiba Stack\tosBtProc.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\Google\Chrome\Application\chrome.exe C:\Program Files\Google\Chrome\Application\chrome.exe C:\Program Files\Google\Chrome\Application\chrome.exe C:\Program Files\Google\Chrome\Application\chrome.exe C:\Program Files\TrendMicro\HiJackThis\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: Windows Live Aanmelden - Help - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [ITSecMng] %ProgramFiles%\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe /START O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun O4 - HKLM\..\Run: [AGEIA PhysX SysTray] C:\Program Files\AGEIA Technologies\TrayIcon.exe O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [NokiaMServer] C:\Program Files\Common Files\Nokia\MPlatform\NokiaMServer /watchfiles startup O4 - HKLM\..\Run: [NokiaMusic FastStart] "C:\Program Files\Nokia\Ovi Player\NokiaOviPlayer.exe" /command:faststart O4 - HKLM\..\Run: [VX1000] C:\WINDOWS\vVX1000.exe O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe" O4 - HKCU\..\Run: [FTD Watchdog Monitor] "C:\Program Files\FTD Watchdog\FtdMonitor.exe" O4 - HKCU\..\Run: [newsecureapp70700.exe] C:\Documents and Settings\Sander\Application Data\AF3EAE3006A9E9E6FFA8034DFE16EC4B\newsecureapp70700.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user') O4 - Global Startup: Bluetooth Manager.lnk = ? O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: f:\program files\vmware\vmware server\vsocklib.dll O10 - Unknown file in Winsock LSP: f:\program files\vmware\vmware server\vsocklib.dll O16 - DPF: {0067DBFC-A752-458C-AE6E-B9C7E63D4824} (Apparaatdetectie) - http://www.logitech.com/devicedetector/plugins/LogitechDeviceDetection32.cab O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.systemrequirementslab.com/srl_bin/sysreqlab_srl.cab O16 - DPF: {B94C2238-346E-4C5E-9B36-8CC627F35574} (VMware Remote Console Plug-in 2.5.0.00000) - O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O16 - DPF: {EDFCB7CB-942C-4822-AF14-F0B687409848} (Image Uploader Control) - http://cache.hyves-static.net/statics/Aurigma/ImageUploader4.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O22 - SharedTaskScheduler: Preloader van browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Cache-daemon voor onderdeelcategorieën - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Google Updateservice (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logishrd\Bluetooth\LBTServ.exe O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: ServiceLayer - Nokia - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe O23 - Service: StarOpen - Avira GmbH - (no file) O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - F:\Program Files\VMware\VMware Server\vmware-authd.exe O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe O23 - Service: VMware Host Agent (VMwareHostd) - Unknown owner - F:\Program Files\VMware\VMware Server\vmware-hostd.exe O23 - Service: VMware Server Web Access (VMwareServerWebAccess) - Apache Software Foundation - F:\Program Files\VMware\VMware Server\tomcat\bin\Tomcat6.exe O23 - Service: VMware VSS Writer (vmwriter) - VMware, Inc. - F:\Program Files\VMware\VMware Server\vmVssWriter.exe -- End of file - 9567 bytes

Beantwoord deze vraag

Weet jij het antwoord op deze vraag? Registreer of meld je aan met je account

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.