Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

Hijackthis

formidable
5 antwoorden
  • Mijn PC heeft aardig de kuren. Ik kan het systeemherstel niet meer gebruiken en ik kan geen windows updates binnenhalen. Hij geeft iedere keer aan: Mod registry_IniGetString (Sfile=system.ini,sSection=boot,Svalue=shell) Hieronder vermeld hij nog volgende: error =//53 file not found
    Kunnen jullie hier naar kijken en mij hiermee helpen.
    Groetjes,
    Wil


    Logfile of HijackThis v1.99.1
    Scan saved at 2:04:27, on 4-6-2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
    C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
    C:\Program Files\Norton AntiVirus
    avapsvc.exe
    C:\Program Files\Norton AntiVirus\SAVScan.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
    C:\WINDOWS\htpatch.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\WINDOWS\Dit.exe
    C:\Program Files\Medion Home CinemaXL\PowerCinema\PCMService.exe
    C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
    C:\Program Files\Real\RealPlayer\RealPlay.exe
    C:\Program Files\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe
    C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
    D:\Winamp\winampa.exe
    C:\Program Files\Common Files\Symantec Shared\ccApp.exe
    C:\PROGRA~1\Aquatica\AQ3HEL~1.EXE
    C:\WINDOWS\DitExp.exe
    D:\MSN-PLUS7\MsgPlus1.exe
    C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\cdfoon\cdftray.exe
    C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\SoftwareDistribution\Download\Install\NDP1.0sp3-KB886906-X86-Nld.exe
    C:\WINDOWS\TEMP\SL9.tmp
    C:\WINDOWS\system32\msiexec.exe
    C:\WINDOWS\system32\MsiExec.exe
    c:\progra~1\intern~1\iexplore.exe
    C:\DOCUME~1\clevers\LOCALS~1\Temp\Tijdelijke map 11 voor hijackthis.zip\HijackThis.exe
    C:\PROGRA~1\MICROS~4\Office10\OUTLOOK.EXE
    C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
    C:\Program Files\Microsoft AntiSpyware\GIANTAntiSpywareMain.exe

    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    R3 - URLSearchHook: (no name) - _{00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
    F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
    O2 - BHO: (no name) - {613B1DCF-4594-F0C6-E786-813EB1CEE600} - C:\DOCUME~1
    ick\APPLIC~1\SITENU~1\Doeserror.exe (file missing)
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [Dit] Dit.exe
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
    O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
    O4 - HKLM\..\Run: [PCMService] C:\Program Files\Medion Home CinemaXL\PowerCinema\PCMService.exe
    O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
    O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
    O4 - HKLM\..\Run: [Ulead Memory Card Detector] C:\Program Files\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe
    O4 - HKLM\..\Run: [WinampAgent] D:\Winamp\winampa.exe
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [AQ3HelperStartUp] C:\PROGRA~1\Aquatica\AQ3HEL~1.EXE /partner AQ3
    O4 - HKLM\..\Run: [bitjrxcibcm] C:\WINDOWS\System32\wuukimcf.exe
    O4 - HKLM\..\Run: [upload regs warn joy] C:\Documents and Settings\All Users\Application Data\show mode upload regs\intramess.exe
    O4 - HKLM\..\Run: [AXGi0xM] C:\WINDOWS\eiecl.exe
    O4 - HKLM\..\Run: [AXGi09¿Ì*ú]Mú*ÀaîžaC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\eiecl.exe
    O4 - HKLM\..\Run: [AXGi09¿Ì*ú*ÀaîžaaøYC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\eiecl.exe
    O4 - HKLM\..\Run: [AXGi09¿Ì*ú*ÀaîžaaîžC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\eiecl.exe
    O4 - HKLM\..\Run: [AXGi09¿Ì*ÀaîžaaøY§C:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\eiecl.exe
    O4 - HKLM\..\Run: [AXGi09¿Ì*ÀaîžaaîžaaC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\eiecl.exe
    O4 - HKLM\..\Run: [-
    ] C:\WINDOWS\eiecl.exe
    O4 - HKLM\..\Run: [Lcibtplm] C:\Program Files\Oiqfea\Gdxg.exe
    O4 - HKLM\..\Run: [MessengerPlus3] "D:\MSN-PLUS7\MsgPlus1.exe"
    O4 - HKLM\..\Run: [Isass] C:\WINDOWS\system32\Isass.exe
    O4 - HKLM\..\Run: [TeamSaveTheChin] C:\Documents and Settings\All Users\Application Data\skip flap team save\Rect That.exe
    O4 - HKLM\..\Run: [ImInstaller_IncrediMail] C:\DOCUME~1\maike\LOCALS~1\Temp\ImInstaller\IncrediMail\incredimail_install.exe -startup -product IncrediMail -skip_dialog language -skip_dialog info
    O4 - HKLM\..\Run: [Windows Workstation Service (32-bits)] wkssvc32.exe
    O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
    O4 - HKLM\..\Run: [Spyware Stormer] C:\Program Files\Spyware Stormer\SpywareStormer.Exe
    O4 - HKLM\..\RunServices: [Isass] C:\WINDOWS\system32\Isass.exe
    O4 - HKLM\..\RunServices: [Windows Workstation Service (32-bits)] wkssvc32.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [CDFoon System-Tray] C:\cdfoon\cdftray.exe
    O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
    O4 - HKCU\..\Run: [areslite] "C:\Documents and Settings\clevers\Mijn documenten\Mijn muziek\Ares Lite Edition\AresLite.exe" -h
    O4 - HKCU\..\Run: [modeping] C:\DOCUME~1\clevers\APPLIC~1\DVDMFC~1\eq trust deaf.exe
    O4 - HKCU\..\Run: [WeatherCast] "C:\Program Files\WeatherCast\Weather.exe" /q
    O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
    O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
    O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZSzeb029
    O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
    O8 - Extra context menu item: Gelijkwaardige pagina's - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
    O8 - Extra context menu item: Koppelingspagina's - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
    O8 - Extra context menu item: Opgeslagen momentopname van de pagina - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
    O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O12 - Plugin for .png: C:\Program Files\Internet Explorer\PLUGINS
    pqtplugin3.dll
    O12 - Plugin for ôå: C:\Program Files\Internet Explorer\PLUGINS
    pqtplugin.dll
    O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
    O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
    O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab
    O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
    O16 - DPF: {3F2705D0-C9D8-4020-A15C-E495A0050EC6} (Easywebinstaller Control) - http://s7.blingblingcontent.com/toolbarcash/activex/easywebinstaller.ocx
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
    O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.cab
    O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab30149.cab
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
    O23 - Service: Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus
    avapsvc.exe
    O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
    O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
    O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe




  • Kan je dat niet beter in Beveiliging & privacy posten? Vraag een moderator of 'ie je topic kan verplaatsen…
  • Waarschijnlijk ook op die link geklikt die via de Messenger kwam binnenwaaien, er zijn inmiddels een aantal topics hier met deze infectie.
    [b:de7f66f5d5]O4 - HKLM\..\RunServices: [Windows Workstation Service (32-bits)] wkssvc32.exe
    O4 - HKLM\..\Run: [Windows Workstation Service (32-bits)] wkssvc32.exe [/b:de7f66f5d5]

    De foutmeldingen die je krijgt zijn heel kenmerkend voor deze infectie.
    Lees ook hier: http://forum.computertotaal.nl/phpBB/viewtopic.php?t=145184

    In je log zijn ook een aantal andere infecties zichtbaar
  • Download the hoster: http://www.funkytoad.com/download/hoster.zip . Unzip het programma, run het, klik op Restore Original Hosts, klik op OK en sluit het programma af.

    Download Pocket Killbox: http://www.bleepingcomputer.com/files/spyware/KillBox.zip
    Plaats killbox.exe op je bureaublad.
    Dubbelklik op killbox.exe om het programma te starten.
    Selecteer de optie “Delete on reboot”.
    Kopieer onderstaande bestanden:
    [code:1:b636125987]C:\a.bat
    C:\b.bat
    C:\sirh0t32.pif
    C:\system.ini
    C:\system.exe
    C:\WINDOWS\System32\wkssvc32.exe[/code:1:b636125987]

    Kies in het menu File voor “Paste from clipboard”.
    Klik op de rode knop met het witte kruis om de bestanden te verwijderen. Wanneer je de melding krijgt “All listed files will be deleted on next reboot”, klik je op Yes.
    In het scherm “files will be removed on reboot, do you want to reboot now?” klik je op Yes.
    Als Killbox deze vraag niet stelt, of als je een foutmelding krijgt, herstart je de computer zelf.

    Verwijder de map c:\windows\system32\software.

    Ga naar start – uitvoeren en tik in:
    [code:1:b636125987]
    sc delete GencTurK RootKit Driver [/code:1:b636125987]
    Klik op OK

    Darna geef je het volgende commando in:
    [code:1:b636125987]sc delete GencTurK RootKit[/code:1:b636125987]
    Klik op OK

    Open een klablokbestand.
    Kopieer onderstaande code in dit kladblokbestand.
    Ga naar Bestand - Opslaan als.
    Bij "Opslaan in" kies je: Bureaublad
    Bij "Bestandsnaam" zet je: fix.reg
    Bij "Opslaan als type" selecteer je: Alle bestanden (*.*).
    Klik op de knop Opslaan.
    [code:1:b636125987]REGEDIT4

    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\GencTurK RootKit Driver]

    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\GencTurK RootKit]

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Safeboot\Minimal\GencTurK RootKit]

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Safeboot\Network\GencTurK RootKit]

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GencTurk RootKit]

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GencTurk RootKit Driver]

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Safeboot\Minimal\GencTurK RootKit]

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Safeboot\Network\GencTurK RootKit]

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\GencTurk RootKit]

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\GencTurk RootKit Driver]

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Safeboot\Minimal\GencTurK RootKit]

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Safeboot\Network\GencTurK RootKit]

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\GencTurk RootKit]

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\GencTurk RootKit Driver]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Windows Workstation Service (32-bits)"=-

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
    "Windows Workstation Service (32-bits)"=-

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    "Windows Workstation Service (32-bits)"=-

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
    "Start"=dword:00000002

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CiSvc]
    "Start"=dword:00000003

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSDTC]
    "Start"=dword:00000003

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc]
    "Start"=dword:00000002

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv]
    "Start"=dword:00000002

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
    "EnableDCOM"="Y"
    "EnableRemoteConnect"="Y"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
    "restrictanonymous"=dword:00000000

    [HKEY_CURRENT_USER\Software\Kazaa\LocalContent]
    "Dir0"=-

    [/code:1:b636125987]
    Dubbelklik op de fix.reg file en laat de wijzigingen aan het register toevoegen.

    Herstart de computer .

    Download en installeer CCleaner.
    Gebruik het programma nog niet.

    Je hebt HijackThis gestart vanuit de zip in je Temp-map. Unzip HijackThis, en plaats HijackThis.exe in een eigen map (vb.: c:\hijackthis). Start HijackThis uit deze map. De reden hiervoor is dat HijackThis backups maakt van de sleutels die je verwijdert, en misschien kunnen we deze backups wel eens een keer nodig hebben. In je Temp-map gaan deze backups heel makkelijk verloren.

    Start de computer op in veilige modus. Hoe je dit doet kan je hier lezen.

    Sluit alle open vensters, run HijackThis nog een keer en plaats een vinkje bij de volgende items:

    [b:b636125987]R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
    R3 - URLSearchHook: (no name) - _{00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
    F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
    O2 - BHO: (no name) - {613B1DCF-4594-F0C6-E786-813EB1CEE600} - C:\DOCUME~1
    ick\APPLIC~1\SITENU~1\Doeserror.exe (file missing)
    O4 - HKLM\..\Run: [bitjrxcibcm] C:\WINDOWS\System32\wuukimcf.exe
    O4 - HKLM\..\Run: [upload regs warn joy] C:\Documents and Settings\All Users\Application Data\show mode upload regs\intramess.exe
    O4 - HKLM\..\Run: [AXGi0xM] C:\WINDOWS\eiecl.exe
    O4 - HKLM\..\Run: [AXGi09¿Ì*ú]Mú*ÀaîžaC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\eiecl.exe
    O4 - HKLM\..\Run: [AXGi09¿Ì*ú*ÀaîžaaøYC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\eiecl.exe
    O4 - HKLM\..\Run: [AXGi09¿Ì*ú*ÀaîžaaîžC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\eiecl.exe
    O4 - HKLM\..\Run: [AXGi09¿Ì*ÀaîžaaøY§C:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\eiecl.exe
    O4 - HKLM\..\Run: [AXGi09¿Ì*ÀaîžaaîžaaC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\eiecl.exe
    O4 - HKLM\..\Run: [-
    ] C:\WINDOWS\eiecl.exe
    O4 - HKLM\..\Run: [Lcibtplm] C:\Program Files\Oiqfea\Gdxg.exe
    O4 - HKLM\..\Run: [Isass] C:\WINDOWS\system32\Isass.exe
    O4 - HKLM\..\Run: [TeamSaveTheChin] C:\Documents and Settings\All Users\Application Data\skip flap team save\Rect That.exe
    O4 - HKLM\..\Run: [Spyware Stormer] C:\Program Files\Spyware Stormer\SpywareStormer.Exe
    O4 - HKLM\..\RunServices: [Isass] C:\WINDOWS\system32\Isass.exe
    O4 - HKCU\..\Run: [modeping] C:\DOCUME~1\clevers\APPLIC~1\DVDMFC~1\eq trust deaf.exe
    O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZSzeb029
    O16 - DPF: {3F2705D0-C9D8-4020-A15C-E495A0050EC6} (Easywebinstaller Control) - http://s7.blingblingcontent.com/toolbarcash/activex/easywebinstaller.ocx[/b:b636125987]

    Klik daarna op "Fix checked" en sluit HijackThis af.

    Herstart de computer.

    Start HijackThis opnieuw, maak een nieuwe log en post deze.

    Open een klablokbestand.
    Kopieer onderstaande code in dit kladblokbestand.
    Ga naar Bestand - Opslaan als.
    Bij "Opslaan in" kies je: Bureaublad
    Bij "Bestandsnaam" zet je: vindjob.bat
    Bij "Opslaan als type" selecteer je: Alle bestanden (*.*).
    Klik op de knop Opslaan.
    [code:1:b636125987]dir %Windir%\tasks /a:h > files.txt
    notepad files.txt[/code:1:b636125987]
    Dubbelklik op vindjob.bat.
    Er opent een kladblokbestand. Post de inhoud van dit kladblokbestand.
  • Samen met M@rc ben ik het afgelopen weekend bezig geweest om te analiseren welke impact deze trojan had op de PC. Dit ging met -tig mailtjes heen en weer.

    Uiteindelijk heeft M@rc enkele bestanden in elkaar gezet en in een zip-file geplaatst.

    Download het bestand GencTurk.zip
    Pak het uit op je op het bureaublad. Er wordt een folder [b:f4a0650e98]gencturkfix[/b:f4a0650e98] aangemaakt.
    Dubbelklik op deze folder en klik op [b:f4a0650e98]removeserv.bat[/b:f4a0650e98]
    Dit verwijdert de opstartsleutels en de ongewenste services uit het register en het past een aantal instellingen aan die door de infectie veroorzaakt zijn.

    Er verschijnt even een dosscherm. Wanneer dit sluit herstart je de computer.
    Na de computer opnieuw gestart te hebben, dubbelklik je op [b:f4a0650e98]delfiles.bat[/b:f4a0650e98].
    Hierdoor worden de bestanden van de trojan verwijderd.

    Nu heb je nog de mogelijkheid om de start-status van enkele services aab te passen.
    Dit kan door op het bijbehorende reg-bestand te klikken en de wijzigingen aan het register toe te laten voegen.

    [b:f4a0650e98]update.reg[/b:f4a0650e98]:
    Schakelt de Automatische updates service weer in.

    [b:f4a0650e98]security_center.reg[/b:f4a0650e98]:
    Schakelt het Security Center weer in. Alleen voor SP2

    [b:f4a0650e98]msdtc.reg[/b:f4a0650e98]:
    zet de service Distributed Transaction Coördinator op handmatig.

    [b:f4a0650e98]indexing_service.reg[/b:f4a0650e98]: zet de Indexing Service op handmatig.

    [b:f4a0650e98]wf_ics.reg[/b:f4a0650e98]:
    zet de service Windows Firewall (WF) / Internet-verbinding delen (ICS) weer op ingeschakeld.

    [b:f4a0650e98]netwerk_shares.reg[/b:f4a0650e98]:
    herstelt netwerkshares voor als je via een netwerk de bestanden deelt.

    Om deze services werkelijk te activeren zul je de PC nogmaals moeten herstarten.

    Sjaak & M@rc

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.