Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

Laptop besmet met Zeus.Citadel virus , VPN geblokkeerd.

Anoniem
Abraham54
26 antwoorden
  • Hallo Abraham,

    Mijn vrouw maakt met de prive laptop via vpn contact met haar werk.
    Nu krijgen we van haar werkgever de volgende mededeling:

    <<<Afgelopen maandag 20-08-2012 om 17:24:47 is er bij ons een melding binnen gekomen van ons monitoringsysteem,
    dat uw werkstation (PC of laptop) waarop U gewerkt heeft een virus bevat. Dit is een Zeus/Citadel virus, die wellicht bestanden beschadigd.
    Hierdoor is uw account voor VPN tijdelijk geblokkeerd, om een verspreiding te verkomen.
    Graag zouden we willen dat dit station geschoond wordt of opnieuw geïnstalleerd (bij voorkeur). Is dit ook een station die u gebruikt in het XXX kan dit ook verspreiding veroorzaken.
    Als er vragen zijn kunt u contact opnemen met uw ICT-medewerker van uw afdeling.

    De melding uit ons systeem is het volgende :
    - Sasfis: Domain windows-update-server.com seen in connection with Zeus and Citadel network
    >>>

    Ik heb vorige week het domein windows update server.com in de firewall geblokked.
    Net een scan gedaan met Maleware bites, en F secure, nu draait de Eset online scaner.

    Kun je me adviseren welke stappen ik moet doen om er zeker van te zijn dat de vpn weer vrijgegeven kan worden.

    vr.gr.
    Frans
  • Beste wat je kan doen is contact opnemen met de IT afdeling van de werkgever en vragen of zij een tool hebben om het virus te detecteren. Dit is een heel gemeen virus. Het is een van de verdachten die de laatste uitbraak heeft veroorzaakt die laatst zo groot in het nieuws was. Het is een virus wat heel lastig te detecteren is en je moet zeker weten dat je een scanner hebt die de versie op jou pc herkend.

    Gezien de IT afdeling op de hoogte is zal hun scanner/anti virus product deze versie dus herkennen. Vergeet ook niet alle USB-sticks, externe harddisks en eventueel andere Windows computers in huis of die verbonden zijn of zijn geweest met de computer in de afgelopen zeg 2 maanden ook niet te scannen.

    Systemen waarbij het virus word gevonden worden bij ons bij voorkeur geherinstalleerd. Zorg dan wel voor een hele schone omgeving. Alles formatteren en liever geen oude data terug zetten.

    Tot op heden is er weinig bekend over dit virus, wat het doet en waar het zich ophoud. Af en toe duikt er wat van op.
  • Ik heb inmiddels ook met eset en comodo gescand, niks gevonden.

    Het is zo dat via mijn laptop de computer op de umc werkplek wordt overgenomen. Kan het zijn dat de besmetting zit op de overgenomen pc en niet op de laptop?

    vr.gr.
  • Zou kunnen dat idd je PC op het werk is besmet en niet je laptop. Dit ligt er aan hoe er precies is gescand. De IT afdeling zou moeten kunnen nagaan waar en wat er precies is gedetecteerd. Als er een PC-naam of ip-adres is geregistreerd zou te herleiden moeten zijn waar de oorzaak zit.
  • Betreft het een privé notebook dat ook voor werkconnectie wordt gebruikt of is het een notebook van de werkgever.
    In het eerste geval wil en kan ik je helpen, in het tweede geval doet of de ICT van het bdrijf het of geeft toestemming dat ik het alsnog mag doen.
    Want het is een vies kreng wat in dat notebook zit.
    En wat je probeert is leuk maar niet afdoende!
  • Hallo Abraham,

    Het is mijn prive laptop. Dus niet van de werkgever.

    vr.gr.
  • Dan gaan we beginnen.

  • Hallo Abraham,

    De link voor hitman werktniet, ik heb hem nu van http://www.surfright.nl/nl/hitmanpro/


    Hierbij de logs :

    .
    ==============================================
    System Restore Point Check:
    .
    TDSSKiller Starter Restore Point Created Succesfully
    ==============================================
    Registry Export
    .
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\DomainProfile\GloballyOpenPorts\List]
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    ==============================================
    EOF


    [code:1:061fee0b71]
    HitmanPro 3.6.1.164
    www.hitmanpro.com

    Computer name . . . . : FRANSENWIES-PC
    Windows . . . . . . . : 6.1.1.7601.X64/4
    User name . . . . . . : FransenWies-PC\Frans en Wies
    UAC . . . . . . . . . : Enabled
    License . . . . . . . : Free

    Scan date . . . . . . : 2012-08-23 21:16:49
    Scan mode . . . . . . : Normal
    Scan duration . . . . : 3m 52s
    Disk access mode . . : Direct disk access (SRB)
    Cloud . . . . . . . . : Internet
    Reboot . . . . . . . : No

    Threats . . . . . . . : 0
    Traces . . . . . . . : 0

    Objects scanned . . . : 1.426.323
    Files scanned . . . . : 16.705
    Remnants scanned . . : 301.222 files / 1.108.396 keys


    [/code:1:061fee0b71]
  • Oké, doe nu eerst het volgende: druk gelijktijdig de Windows toets + de R-toets in.
    Hierdoor start het venster [b:7fa4be2978]Uitvoeren[/b:7fa4be2978].

    Kopieer en plak [b:7fa4be2978]
  • Bij deze,

    ESETSmartInstaller@High as CAB hook log:
    OnlineScanner64.ocx - registred OK
    OnlineScanner.ocx - registred OK
    # version=7
    # OnlineScannerApp.exe=1.0.0.1
    # OnlineScanner.ocx=1.0.0.6528
    # api_version=3.0.2
    # EOSSerial=2fd86809013073409b988c3e6397c79d
    # end=finished
    # remove_checked=true
    # archives_checked=false
    # unwanted_checked=true
    # unsafe_checked=false
    # antistealth_checked=true
    # utc_time=2011-12-14 10:49:15
    # local_time=2011-12-14 11:49:15 (+0100, West-Europa (standaardtijd))
    # country="Netherlands"
    # lang=1043
    # osver=6.1.7601 NT Service Pack 1
    # compatibility_mode=512 16777215 100 0 13781259 13781259 0 0
    # compatibility_mode=1536 16777215 100 0 570221 570221 0 0
    # compatibility_mode=2304 16777215 100 0 0 0 0 0
    # compatibility_mode=5893 16776574 100 94 1812317 75485909 0 0
    # compatibility_mode=8192 67108863 100 0 13779653 13779653 0 0
    # scanned=147949
    # found=0
    # cleaned=0
    # scan_time=3696
    # version=7
    # OnlineScannerApp.exe=1.0.0.1
    # OnlineScanner.ocx=1.0.0.6528
    # api_version=3.0.2
    # EOSSerial=2fd86809013073409b988c3e6397c79d
    # end=finished
    # remove_checked=true
    # archives_checked=false
    # unwanted_checked=true
    # unsafe_checked=false
    # antistealth_checked=true
    # utc_time=2012-08-23 04:27:47
    # local_time=2012-08-23 06:27:47 (+0100, West-Europa (zomertijd))
    # country="Netherlands"
    # lang=1043
    # osver=6.1.7601 NT Service Pack 1
    # compatibility_mode=512 16777215 100 0 35661041 35661041 0 0
    # compatibility_mode=2304 16777215 100 0 0 0 0 0
    # compatibility_mode=5893 16776574 100 94 23692099 97365691 0 0
    # compatibility_mode=8192 67108863 100 0 35659435 35659435 0 0
    # scanned=142249
    # found=0
    # cleaned=0
    # scan_time=3426
  • We kijken verder:

    [b:725e7a9926]Welk programma[/b:725e7a9926]:
  • Hierbij de combofix log:

    ComboFix 12-08-22.03 - Frans en Wies 23-08-2012 22:40:49.2.4 - x64
    Microsoft Windows 7 Home Premium 6.1.7601.1.1252.31.1043.18.3886.2082 [GMT 2:00]
    Gestart vanuit: c:\users\Frans en Wies\Desktop\ComboFix.exe
    AV: Computer Security *Disabled/Updated* {15414183-282E-D62C-CA37-EF24860A2F17}
    FW: Computer Security *Enabled* {2D7AC0A6-6241-D774-E168-461178D9686C}
    SP: Computer Security *Disabled/Updated* {AE20A067-0E14-D9A2-F087-D456FD8D65AA}
    SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
    .
    .
    (((((((((((((((((((((((((((((((((( Andere Verwijderingen )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    c:\program files (x86)\Common Files\ASPG_icon.ico
    c:\windows\Downloaded Program Files\DM.0
    c:\windows\Downloaded Program Files\DM.1
    c:\windows\Downloaded Program Files\DM.1\DMService.exe
    c:\windows\Downloaded Program Files\DM.1\WhlMgr.dll
    c:\windows\msvcr71.dll
    .
    .
    ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    ——-\Legacy_KXESCORE
    ——-\Service_DMService
    ——-\Service_DMService
    .
    .
    (((((((((((((((((((( Bestanden Gemaakt van 2012-07-23 to 2012-08-23 ))))))))))))))))))))))))))))))
    .
    .
    2012-08-23 20:51 . 2012-08-23 20:51 ——– d—–w- c:\users\UpdatusUser\AppData\Local\temp
    2012-08-23 20:51 . 2012-08-23 20:51 ——– d—–w- c:\users\Public\AppData\Local\temp
    2012-08-23 20:51 . 2012-08-23 20:51 ——– d—–w- c:\users\Default\AppData\Local\temp
    2012-08-23 19:16 . 2012-08-23 19:16 ——– d—–w- c:\programdata\HitmanPro
    2012-08-23 19:06 . 2012-08-23 19:06 ——– d—–w- C:\TDSSStarter
    2012-08-15 11:31 . 2012-08-15 11:31 ——– d—–w- c:\program files (x86)\Malwarebytes' Anti-Malware
    2012-08-15 11:31 . 2012-07-03 11:46 24904 —-a-w- c:\windows\system32\drivers\mbam.sys
    2012-08-15 09:24 . 2012-05-05 08:36 503808 —-a-w- c:\windows\system32\srcore.dll
    2012-08-15 09:24 . 2012-05-05 07:46 43008 —-a-w- c:\windows\SysWow64\srclient.dll
    2012-08-15 09:23 . 2012-02-11 06:43 751104 —-a-w- c:\windows\system32\win32spl.dll
    2012-08-15 09:23 . 2012-02-11 06:36 559104 —-a-w- c:\windows\system32\spoolsv.exe
    2012-08-15 09:23 . 2012-02-11 06:36 67072 —-a-w- c:\windows\splwow64.exe
    2012-08-15 09:23 . 2012-02-11 05:43 492032 —-a-w- c:\windows\SysWow64\win32spl.dll
    2012-08-15 09:23 . 2012-07-04 22:16 73216 —-a-w- c:\windows\system32
    etapi32.dll
    2012-08-15 09:23 . 2012-07-04 22:13 59392 —-a-w- c:\windows\system32\browcli.dll
    2012-08-15 09:23 . 2012-07-04 22:13 136704 —-a-w- c:\windows\system32\browser.dll
    2012-08-15 09:23 . 2012-07-04 21:14 41984 —-a-w- c:\windows\SysWow64\browcli.dll
    2012-08-15 09:23 . 2012-07-18 18:15 3148800 —-a-w- c:\windows\system32\win32k.sys
    2012-08-15 09:23 . 2012-05-14 05:26 956928 —-a-w- c:\windows\system32\localspl.dll
    2012-08-11 10:29 . 2012-08-11 10:29 ——– d—–w- c:\users\Frans en Wies\AppData\Local\F-Secure
    2012-08-10 11:20 . 2012-07-02 09:57 58424 —-a-w- c:\windows\system32\drivers\fsccsys.sys
    2012-08-10 11:19 . 2012-08-10 11:19 42672 —-a-w- c:\windows\SysWow64\drivers\fsbts.sys
    2012-08-10 11:18 . 2012-03-15 16:00 46024 —-a-w- c:\windows\system32\drivers\fses.sys
    2012-08-10 11:18 . 2012-03-15 16:00 95112 —-a-w- c:\windows\system32\drivers\fsdfw.sys
    2012-07-27 20:51 . 2012-07-27 20:51 184248 —-a-w- c:\program files (x86)\Internet Explorer\Plugins
    ppdf32.dll
    .
    .
    .
    ((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2012-08-23 09:09 . 2012-03-31 08:47 696520 —-a-w- c:\windows\SysWow64\FlashPlayerApp.exe
    2012-08-23 09:09 . 2012-03-05 18:27 73416 —-a-w- c:\windows\SysWow64\FlashPlayerCPLApp.cpl
    2012-08-15 13:42 . 2012-05-09 10:08 56016 —-a-w- c:\windows\system32\drivers\fsbts.sys
    2012-08-15 09:25 . 2010-10-07 17:43 62134624 —-a-w- c:\windows\system32\MRT.exe
    2012-06-25 14:04 . 2012-06-25 14:04 1394248 —-a-w- c:\windows\SysWow64\msxml4.dll
    2012-06-09 05:43 . 2012-07-12 08:40 14172672 —-a-w- c:\windows\system32\shell32.dll
    2012-06-06 18:59 . 2012-06-06 18:59 1070152 —-a-w- c:\windows\SysWow64\MSCOMCTL.OCX
    2012-06-06 06:06 . 2012-07-12 08:41 2004480 —-a-w- c:\windows\system32\msxml6.dll
    2012-06-06 06:06 . 2012-07-12 08:41 1881600 —-a-w- c:\windows\system32\msxml3.dll
    2012-06-06 06:02 . 2012-07-12 08:40 1133568 —-a-w- c:\windows\system32\cdosys.dll
    2012-06-06 05:05 . 2012-07-12 08:41 1390080 —-a-w- c:\windows\SysWow64\msxml6.dll
    2012-06-06 05:05 . 2012-07-12 08:41 1236992 —-a-w- c:\windows\SysWow64\msxml3.dll
    2012-06-06 05:03 . 2012-07-12 08:40 805376 —-a-w- c:\windows\SysWow64\cdosys.dll
    2012-06-02 22:19 . 2012-06-21 08:49 38424 —-a-w- c:\windows\system32\wups.dll
    2012-06-02 22:19 . 2012-06-21 08:49 2428952 —-a-w- c:\windows\system32\wuaueng.dll
    2012-06-02 22:19 . 2012-06-21 08:49 57880 —-a-w- c:\windows\system32\wuauclt.exe
    2012-06-02 22:19 . 2012-06-21 08:49 44056 —-a-w- c:\windows\system32\wups2.dll
    2012-06-02 22:19 . 2012-06-21 08:49 701976 —-a-w- c:\windows\system32\wuapi.dll
    2012-06-02 22:15 . 2012-06-21 08:49 2622464 —-a-w- c:\windows\system32\wucltux.dll
    2012-06-02 22:15 . 2012-06-21 08:49 99840 —-a-w- c:\windows\system32\wudriver.dll
    2012-06-02 13:19 . 2012-06-21 08:48 186752 —-a-w- c:\windows\system32\wuwebv.dll
    2012-06-02 13:15 . 2012-06-21 08:48 36864 —-a-w- c:\windows\system32\wuapp.exe
    2012-06-02 05:50 . 2012-07-12 08:40 458704 —-a-w- c:\windows\system32\drivers\cng.sys
    2012-06-02 05:48 . 2012-07-12 08:40 95600 —-a-w- c:\windows\system32\drivers\ksecdd.sys
    2012-06-02 05:48 . 2012-07-12 08:40 151920 —-a-w- c:\windows\system32\drivers\ksecpkg.sys
    2012-06-02 05:45 . 2012-07-12 08:40 340992 —-a-w- c:\windows\system32\schannel.dll
    2012-06-02 05:44 . 2012-07-12 08:40 307200 —-a-w- c:\windows\system32
    crypt.dll
    2012-06-02 04:40 . 2012-07-12 08:40 22016 —-a-w- c:\windows\SysWow64\secur32.dll
    2012-06-02 04:40 . 2012-07-12 08:40 225280 —-a-w- c:\windows\SysWow64\schannel.dll
    2012-06-02 04:39 . 2012-07-12 08:40 219136 —-a-w- c:\windows\SysWow64
    crypt.dll
    2012-06-02 04:34 . 2012-07-12 08:40 96768 —-a-w- c:\windows\SysWow64\sspicli.dll
    2009-04-08 17:31 . 2009-04-08 17:31 106496 —-a-w- c:\program files (x86)\Common Files\CPInstallAction.dll
    2008-08-12 04:45 . 2008-08-12 04:45 155648 —-a-w- c:\program files (x86)\Common Files\MSIactionall.dll
    .
    .
    ((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond
    REGEDIT4
    .
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Gadwin PrintScreen"="c:\program files (x86)\Gadwin Systems\PrintScreen\PrintScreen.exe" [2012-05-30 1842384]
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
    "ATKOSD2"="c:\program files (x86)\ASUS\ATK Package\ATKOSD2\ATKOSD2.exe" [2010-01-13 7109248]
    "ATKMEDIA"="c:\program files (x86)\ASUS\ATK Package\ATK Media\DMedia.exe" [2010-01-05 170624]
    "HControlUser"="c:\program files (x86)\ASUS\ATK Package\ATK Hotkey\HControlUser.exe" [2009-06-19 105016]
    "GrooveMonitor"="c:\program files (x86)\Microsoft Office\Office12\GrooveMonitor.exe" [2009-02-26 30040]
    "Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-07-27 919008]
    "SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2012-01-17 252296]
    "QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" [2012-04-18 421888]
    "APSDaemon"="c:\program files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-05-30 59280]
    "iTunesHelper"="c:\program files (x86)\iTunes\iTunesHelper.exe" [2012-06-07 421776]
    "F-Secure Hoster (54599)"="c:\program files (x86)\F-Secure\fshoster32.exe" [2012-06-21 163536]
    "F-Secure Manager"="c:\program files (x86)\F-Secure\apps\ComputerSecurity\Common\FSM32.EXE" [2012-03-15 311976]
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "ConsentPromptBehaviorAdmin"= 5 (0x5)
    "ConsentPromptBehaviorUser"= 3 (0x3)
    "EnableUIADesktopToggle"= 0 (0x0)
    .
    [HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\windows]
    "AppInit_DLLs"=c:\windows\SysWOW64
    vinit.dll
    .
    [HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
    "aux"=wdmaud.drv
    .
    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
    Security Packages REG_MULTI_SZ kerberos msv1_0 schannel wdigest tspkg pku2u livessp
    .
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\hitmanpro36]
    @=""
    .
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\hitmanpro36.sys]
    @=""
    .
    R0 dcmwwg;dcmwwg; [x]
    R0 jllwdb;jllwdb; [x]
    R0 vqdtrh;vqdtrh; [x]
    R0 zvijcv;zvijcv; [x]
    R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
    R3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-08-23 250568]
    R3 afcdp;afcdp;c:\windows\system32\DRIVERS\afcdp.sys [2011-03-01 285280]
    R3 AmUStor;AM USB Stroage Driver;c:\windows\system32\drivers\AmUStor.SYS [2009-08-21 44032]
    R3 gupdate;Google Update Service (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-03-27 135664]
    R3 gupdatem;Google Update-service (gupdatem);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-03-27 135664]
    R3 nvUpdatusService;NVIDIA Update Service Daemon;c:\program files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe [2012-05-15 1262400]
    R3 Prot6Flt;Prot6Flt;c:\windows\system32\DRIVERS\Prot6Flt.sys [x]
    R3 Revoflt;Revoflt;c:\windows\system32\DRIVERS\revoflt.sys [2009-12-30 31800]
    R3 SiSGbeLH;SiS191/SiS190 Ethernet Device NDIS 6.0 Driver;c:\windows\system32\DRIVERS\SiSG664.sys [2009-06-10 56832]
    R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 59392]
    R3 WatAdminSvc;Windows Activation Technologies-service;c:\windows\system32\Wat\WatAdminSvc.exe [2010-10-04 1255736]
    R4 afcdpsrv;Acronis Nonstop Backup-service ;c:\program files (x86)\Common Files\Acronis\CDP\afcdpsrv.exe [2011-03-01 3246040]
    R4 TouchServicePen;Wacom Consumer Touch Service;c:\program files\Tablet\Pen\Pen_TouchService.exe [2011-09-08 528760]
    R4 wlcrasvc;Windows Live Mesh remote connections service;c:\program files\Windows Live\Mesh\wlcrasvc.exe [2010-09-22 57184]
    S0 fsbts;fsbts;c:\windows\system32\Drivers\fsbts.sys [2012-08-15 56016]
    S0 lullaby;lullaby;c:\windows\system32\DRIVERS\lullaby.sys [2009-06-18 15928]
    S0 nvpciflt;nvpciflt;c:\windows\system32\DRIVERS
    vpciflt.sys [2012-05-15 28992]
    S0 tdrpman273;Acronis Try&Decide and Restore Points filter (build 273);c:\windows\system32\DRIVERS\tdrpm273.sys [2011-03-01 1263200]
    S1 F-Secure HIPS;F-Secure HIPS Driver;c:\program files (x86)\F-Secure\apps\ComputerSecurity\HIPS\drivers\fshs.sys [2012-08-10 62032]
    S1 FSES;F-Secure Email Scanning Driver;c:\windows\system32\drivers\fses.sys [2012-03-15 46024]
    S1 FSFW;F-Secure Firewall Driver;c:\windows\system32\drivers\fsdfw.sys [2012-03-15 95112]
    S1 fsvista;F-Secure Vista Support Driver;c:\program files (x86)\F-Secure\apps\ComputerSecurity\Anti-Virus\minifilter\fsvista.sys [2012-03-15 15016]
    S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-14 59904]
    S2 AFBAgent;AFBAgent;c:\windows\system32\FBAgent.exe [2009-09-17 359552]
    S2 ASMMAP64;ASMMAP64;c:\program files (x86)\ASUS\ATK Package\ATKGFNEX\ASMMAP64.sys [2009-07-03 15416]
    S2 fshoster;F-Secure Dll Hoster;c:\program files (x86)\F-Secure\fshoster32.exe [2012-06-21 163536]
    S2 FSORSPClient;F-Secure ORSP Client;c:\program files (x86)\F-Secure\apps\CCF_Reputation\fsorsp.exe [2012-03-15 62160]
    S2 TabletServicePen;TabletServicePen;c:\program files\Tablet\Pen\Pen_Tablet.exe [2011-09-08 6583160]
    S2 TomTomHOMEService;TomTomHOMEService;c:\program files (x86)\TomTom HOME 2\TomTomHOMEService.exe [2012-01-23 92592]
    S2 uagqecsvc;Microsoft Forefront UAG Quarantine Enforcement Client;c:\program files\Microsoft Forefront UAG\Endpoint Components\3.1.0\uagqecsvc.exe [2011-09-22 150928]
    S3 AdobeARMservice;Adobe Acrobat Update Service;c:\program files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe [2012-07-27 63960]
    S3 ETD;ELAN PS/2 Port Input Device;c:\windows\system32\DRIVERS\ETD.sys [2009-10-15 117760]
    S3 F-Secure Gatekeeper;F-Secure Gatekeeper;c:\program files (x86)\F-Secure\apps\ComputerSecurity\Anti-Virus\minifilter\fsgk.sys [2012-08-10 199888]
    S3 fsccsys1344597619;F-Secure Content Control Driver;c:\windows\System32\drivers\fsccsys.sys [2012-07-02 58424]
    S3 HECIx64;Intel(R) Management Engine Interface;c:\windows\system32\DRIVERS\HECIx64.sys [2009-09-17 56344]
    S3 Impcd;Impcd;c:\windows\system32\DRIVERS\Impcd.sys [2009-10-26 151936]
    S3 IntcDAud;Intel(R) Display Audio;c:\windows\system32\DRIVERS\IntcDAud.sys [2009-10-29 244736]
    S3 L1C;NDIS Miniport Driver for Atheros AR813x/AR815x PCI-E Ethernet Controller (NDIS 6.20);c:\windows\system32\DRIVERS\L1C62x64.sys [2009-09-04 62464]
    S3 UNS;Intel(R) Management & Security Application User Notification Service;c:\program files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [2009-10-01 2314240]
    S3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [2009-07-14 17920]
    S3 wacmoumonitor;Wacom Mode Helper;c:\windows\system32\DRIVERS\wacmoumonitor.sys [2011-09-08 13312]
    .
    .
    — Andere Services/Drivers In Geheugen —
    .
    *NewlyCreated* - WS2IFSL
    .
    Inhoud van de 'Gedeelde Taken' map
    .
    2012-08-23 c:\windows\Tasks\Adobe Flash Player Updater.job
    - c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-03-31 09:09]
    .
    2012-08-23 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-03-27 08:25]
    .
    2012-08-23 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-03-27 08:25]
    .
    .
    ——— X64 Entries ———–
    .
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\AsusWSShellExt_B]
    @="{6D4133E5-0742-4ADC-8A8C-9303440F7190}"
    [HKEY_CLASSES_ROOT\CLSID\{6D4133E5-0742-4ADC-8A8C-9303440F7190}]
    2009-11-26 05:49 70656 —-a-w- c:\program files (x86)\ASUS\ASUS WebStorage\SERVICE\AsusWSShellExt64.dll
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\AsusWSShellExt_O]
    @="{64174815-8D98-4CE6-8646-4C039977D808}"
    [HKEY_CLASSES_ROOT\CLSID\{64174815-8D98-4CE6-8646-4C039977D808}]
    2009-11-26 05:49 70656 —-a-w- c:\program files (x86)\ASUS\ASUS WebStorage\SERVICE\AsusWSShellExt64.dll
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ETDWare"="c:\program files\Elantech\ETDCtrl.exe" [2009-09-30 621440]
    "combofix"="c:\combofix\CF20010.3XE" [2010-11-20 345088]
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "LoadAppInit_DLLs"=0x1
    "AppInit_DLLs"=c:\windows\System32
    vinitx.dll c:\windows\System32
    vinitx.dll
    .
    ——- Bijkomende Scan ——-
    .
    uStart Page = hxxp://www.telegraaf.nl/
    uLocal Page = c:\windows\system32\blank.htm
    uInternet Settings,ProxyOverride = *.local
    Trusted Zone: airmilesshop.nl\www
    TCP: DhcpNameServer = 192.168.178.1
    .
    - - - - ORPHANS VERWIJDERD - - - -
    .
    Toolbar-Locked - (no file)
    AddRemove-ASUS_N_Series_Screensaver - c:\windows\system32\ASUS_N_Series_Screensaver.scr
    .
    .
    .
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\fshoster]
    "ImagePath"="\"c:\program files (x86)\F-Secure\fshoster32.exe\" -hosterid:0"
    .
    ——————— VERGRENDELDE REGISTER SLEUTELS ———————
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
    @Denied: (A 2) (Everyone)
    @="FlashBroker"
    "LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_4_402_265_ActiveX.exe,-101"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
    "Enabled"=dword:00000001
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
    @="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_4_402_265_ActiveX.exe"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
    @Denied: (A 2) (Everyone)
    @="IFlashBroker5"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
    @="{00020424-0000-0000-C000-000000000046}"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
    "Version"="1.0"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
    @Denied: (A 2) (Everyone)
    @="FlashBroker"
    "LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_4_402_265_ActiveX.exe,-101"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
    "Enabled"=dword:00000001
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
    @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_4_402_265_ActiveX.exe"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
    @Denied: (A 2) (Everyone)
    @="Shockwave Flash Object"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
    @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_4_402_265.ocx"
    "ThreadingModel"="Apartment"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
    @="0"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
    @="ShockwaveFlash.ShockwaveFlash.11"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
    @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_4_402_265.ocx, 1"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
    @="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
    @="1.0"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
    @="ShockwaveFlash.ShockwaveFlash"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
    @Denied: (A 2) (Everyone)
    @="Macromedia Flash Factory Object"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
    @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_4_402_265.ocx"
    "ThreadingModel"="Apartment"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
    @="FlashFactory.FlashFactory.1"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
    @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_4_402_265.ocx, 1"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
    @="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
    @="1.0"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
    @="FlashFactory.FlashFactory"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
    @Denied: (A 2) (Everyone)
    @="IFlashBroker5"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
    @="{00020424-0000-0000-C000-000000000046}"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
    "Version"="1.0"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\F-Secure\My Services Agent\Protected]
    @Denied: ) (Everyone)
    "AgentIdentifier"="504abe00-9cc6-46f0-9daf-20092fea01ab"
    "AuthorizationCode"="92X4L88rEyuQ2hwfuIPWtNlpEqM-LbG6tT5khU5b9T7xNyQDMqaGQQ"
    "54599_AgentIdentifier"="504abe00-9cc6-46f0-9daf-20092fea01ab"
    "54599_AuthorizationCode"="92X4L88rEyuQ2hwfuIPWtNlpEqM-LbG6tT5khU5b9T7xNyQDMqaGQQ"
    .
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
    @Denied: (Full) (Everyone)
    .
    ———————— Andere Aktieve Processen ————————
    .
    c:\program files (x86)\ASUS\ATK Package\ATK Hotkey\ASLDRSrv.exe
    c:\program files (x86)\ASUS\ATK Package\ATKGFNEX\GFNEXSrv.exe
    c:\program files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
    c:\program files (x86)\ASUS\SmartLogon\sensorsrv.exe
    c:\program files (x86)\ASUS\ControlDeck\ControlDeckStartUp.exe
    c:\program files (x86)\F-Secure\apps\ComputerSecurity\Anti-Virus\FSGK32.EXE
    c:\program files (x86)\F-Secure\apps\ComputerSecurity\Common\FSMA32.EXE
    c:\program files (x86)\F-Secure\apps\ComputerSecurity\Anti-Virus\fssm32.exe
    c:\program files (x86)\ASUS\ATK Package\ATK Hotkey\HControl.exe
    c:\program files (x86)\ASUS\ATK Package\ATK Hotkey\ATKOSD.exe
    c:\program files (x86)\ASUS\ATK Package\ATK Hotkey\KBFiltr.exe
    c:\program files (x86)\ASUS\ATK Package\ATK Hotkey\WDC.exe
    c:\program files (x86)\Cisco Systems\VPN Client\cvpnd.exe
    c:\program files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
    c:\program files (x86)\CyberLink\Shared files\RichVideo.exe
    .
    **************************************************************************
    .
    Voltooingstijd: 2012-08-23 23:10:51 - machine werd herstart
    ComboFix-quarantined-files.txt 2012-08-23 21:10
    .
    Pre-Run: 63.498.391.552 bytes beschikbaar
    Post-Run: 62.980.349.952 bytes beschikbaar
    .
    - - End Of File - - A2C449A77F0E82F0DEFE61C0C67D1BC4







  • Hallo, indien niet gebruik wordt gemaakt van de [b:1a4693689b]ASUS WebStorage\SERVICE[/b:1a4693689b], dan deze Asus service via [b:1a4693689b]
  • Hallo Abraham,

    Ik heb asus webstore verwijderd.
    Verder kan ik word en excel documenten normaal openen.
    Hieronder de log:

    Emsisoft Emergency Kit - Versie 2.0
    Laatste Update: 24-8-2012 10:18:50

    Scaninstellingen:

    Scantype: Diepe scan
    Objecten: Rootkits, Geheugen, Sporen, C:\, D:\
    Scan archieven: Aan
    ADS Scan: Aan

    Scan gestart: 24-8-2012 10:19:55

    Value: hkey_classes_root\arlnk –> url protocol Ontdekt: Trace.Registry.ares galaxy p2p plus!E1
    Value: hkey_local_machine\software\classes\arlnk –> url protocol Ontdekt: Trace.Registry.ares galaxy p2p plus!E1

    Gescand 572654
    Gevonden 2

    Scan geëindigd: 24-8-2012 10:58:13
    Scantijd: 0:38:18

    Value: hkey_classes_root\arlnk –> url protocol Verwijderd Trace.Registry.ares galaxy p2p plus!E1
    Value: hkey_local_machine\software\classes\arlnk –> url protocol Verwijderd Trace.Registry.ares galaxy p2p plus!E1

    Verwijderd 2
  • Hoe gaat het nu met Windows zelf.

    Want wat het bedrijf dus meldde, klopt niet.
    Ik vermoed namelijk dat de VPN-software zelf besmet was, daar ComboFix een aantal bestanden en services heeft uitgeschakeld!
  • Hallo Abraham,

    Windows draait verder goed. Ik had zelf geen problemen.
    Ik ga contact opnemen met de ict afdeling van de werkgever. Ik koppel dit nog wel even terug aan je.
    Tot zover bedankt!

    vr.gr.
    Frans
  • Hallo Abraham,

    Heb je nog speciale opruim tips. Staat me bij dat combofix op een eigenwijze verwijdert moet worden.

    vr.gr
    Frans
  • Heeft de ICT afdeling inmiddels gereageerd?

    En opruimen doen we nog, nu eerst dit: een test, om te kijken hoe goed de huidige veiligheidssituatie in Windows is.

    Download naar je bureaublad [b:4b83f9577f].
    [list:4b83f9577f][*:4b83f9577f] Klik/dubbelklik op [b:4b83f9577f]SecurityCheck.exe[/b:4b83f9577f] en let op de instrukties in het zwarte venster.
    [*:4b83f9577f] Een Kladblok document genaamd [b:4b83f9577f]checkup.txt[/b:4b83f9577f] dient automatisch open te gaan; sluit dit document via opslaan op het bureaublad.
    [*:4b83f9577f] Indien een van je veiligheidstools rapporteert, dat DIG.EXE het internet op wil, sta dit dan toe.[/list:u:4b83f9577f]
    Post de inhoud van [b:4b83f9577f]checkup.txt [/b:4b83f9577f]in je volgende post.
  • Hallo,

    De ict afd. heeft nog niet gereageerd.
    Hier de log.

    Results of screen317's Security Check version 0.99.46
    Windows 7 Service Pack 1 x64 (UAC is enabled)
    Internet Explorer 9
    [b:af1f9d7cc5][u:af1f9d7cc5]``````````````Antivirus/Firewall Check:``````````````[/b:af1f9d7cc5][/u:af1f9d7cc5]
    Computer Security
    Antivirus up to date!
    [b:af1f9d7cc5][u:af1f9d7cc5]`````````Anti-malware/Other Utilities Check:`````````[/b:af1f9d7cc5][/u:af1f9d7cc5]
    Malwarebytes Anti-Malware versie 1.62.0.1300
    Eusing Free Registry Cleaner
    JavaFX 2.1.1
    Java(TM) 7 Update 5
  • Ik heb java geupdate. Zie log.

    Results of screen317's Security Check version 0.99.46
    Windows 7 Service Pack 1 x64 (UAC is enabled)
    Internet Explorer 9
    [b:4c538e86a4][u:4c538e86a4]``````````````Antivirus/Firewall Check:``````````````[/b:4c538e86a4][/u:4c538e86a4]
    Computer Security
    Antivirus up to date!
    [b:4c538e86a4][u:4c538e86a4]`````````Anti-malware/Other Utilities Check:`````````[/b:4c538e86a4][/u:4c538e86a4]
    Malwarebytes Anti-Malware versie 1.62.0.1300
    Eusing Free Registry Cleaner
    JavaFX 2.1.1
    Java 7 Update 6
    Adobe Reader X (10.1.4)
    Google Chrome 21.0.1180.79
    Google Chrome 21.0.1180.83
    [b:4c538e86a4][u:4c538e86a4]````````Process Check: objlist.exe by Laurent````````[/b:4c538e86a4][/u:4c538e86a4]
    F-Secure apps ComputerSecurity Anti-Virus\FSGK32.EXE
    F-Secure apps ComputerSecurity Anti-Virus\fssm32.exe
    [b:4c538e86a4][u:4c538e86a4]`````````````````System Health check`````````````````[/b:4c538e86a4][/u:4c538e86a4]
    Total Fragmentation on Drive C: 0%
    [b:4c538e86a4][u:4c538e86a4]````````````````````End of Log``````````````````````[/b:4c538e86a4][/u:4c538e86a4]

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.