Vraag & Antwoord
Virus, zie HijackThis logje...
4 antwoorden
- Hey,
Momenteel geeft mijn computer weer meldingen van virussen weer.
Ik heb een HijackThis logje geplaatst.
Hopelijk kan iemand mij advies geven over wat ik moet verwijderen.
Dank bij voorbaat
Tim
Logfile of HijackThis v1.99.1
Scan saved at 20:16:45, on 9-12-2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\SYSTEM32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\asuskbservice.exe
C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\MSTask.exe
C:\Program Files\Spyware Doctor\sdhelp.exe
C:\WINNT\dmrproc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\GSICON.EXE
C:\WINNT\system32\dslagent.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINNT\system32\ltmsg.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\CreateCD.exe
C:\WINNT\system32\internat.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Paul\Bureaublad\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.be/0SENLBE/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.be/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\nl-be\msntb.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [LTWinModem1] ltmsg.exe 9
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\CreateCD.exe -r
O4 - HKLM\..\RunServices: [MS System Call Function] MSSCF32.exe
O4 - HKLM\..\RunServices: [Windows Management] stmng32.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MS System Call Function] MSSCF32.exe
O4 - HKCU\..\Run: [Windows Management] stmng32.exe
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Reader Snelle start.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DD1F5518-2959-433C-85B0-388FE563B501}: NameServer = 195.238.2.21 195.238.2.22
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ASUSKeyboardService - ASUSTeK COMPUTER INC. - C:\WINNT\asuskbservice.exe
O23 - Service: Autodesk Licensing Service - Unknown owner - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Logical Disk Manager Administrative-service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
O23 - Service: Microsoft Windows DMR Service (Windows DMR Service) - Unknown owner - C:\WINNT\dmrproc.exe - Start HJT opnieuw en doe een systemscan only, vink onderstaande regel aan sluit alle vensters behalve HJT en klik op fix checked.
[b:731b164eb9]
O4 - HKLM\..\RunServices: [MS System Call Function] MSSCF32.exe
O4 - HKLM\..\RunServices: [Windows Management] stmng32.exe
O4 - HKCU\..\Run: [MS System Call Function] MSSCF32.exe
O4 - HKCU\..\Run: [Windows Management] stmng32.exe
[/b:731b164eb9]
Download [b:731b164eb9] naar je Bureaublad:[list:731b164eb9][*:731b164eb9]Dubbelklik [b:731b164eb9]drweb-cureit.exe[/b:731b164eb9] Klik op udate
[*:731b164eb9]Na de update verschijnt er een nieuw icoontje op je buroblad "CureIt.exe" dubbelklik het en klik op Scan, sta het toe om de express scan te starten.
[*:731b164eb9]Dit zal de bestanden scannen die momenteel in het geheugen geladen zijn en wanneer er iets gevonden wordt,
klik de [b:731b164eb9]Yes to all[/b:731b164eb9] knop bij de vraag 'cure it?'. Dit is enkel een korte scan.
[*:731b164eb9]Eenmaal de korte scan is beëindigd, kan je de drives selecteren die je wilt laten scannen.
[*:731b164eb9]Selecteer hier [b:731b164eb9]alle drives[/b:731b164eb9]. Een rood bolletje zal dan tevoorschijn komen op de drives die je laat scannen.
[*:731b164eb9]Klik daarna de [b:731b164eb9]groene pijl[/b:731b164eb9] rechts om de scan te starten.
[*:731b164eb9]Klik [b:731b164eb9]Yes to all[/b:731b164eb9] wanneer er gevraagd wordt om cure of move uit te voeren.
[*:731b164eb9]Wanneer de scan beëindigd is, kijk of je kunt op het icoontje naast de gevonden bestanden klikken: [img:731b164eb9]http://users.telenet.be/bluepatchy/miekiemoes/images/check.gif[/img:731b164eb9]
[*:731b164eb9]Indien ja,klik er op en klik vervolgens op het icoontje er juist onder en selecteer [b:731b164eb9]Move incurable[/b:731b164eb9] zoals je hier ziet:
[img:731b164eb9]http://users.telenet.be/bluepatchy/miekiemoes/images/move.gif[/img:731b164eb9]
Dit verplaatst gevonden bestanden naar de "%userprofile%\DoctorWeb\quarantaine-map" indien herstel niet mogelijk is.
[*:731b164eb9]Nadat de scan gedaan is, in het menu bovenaan, klik [b:731b164eb9]File[/b:731b164eb9] en kies [b:731b164eb9]Save report List[/b:731b164eb9]. Bewaar het op je Bureaublad.
[*:731b164eb9]Sluit daarna Dr.Web Cureit.
[*:731b164eb9][b:731b164eb9]Herstart[/b:731b164eb9] je computer!! [i:731b164eb9]Belangrijke stap, want het kan zijn dat Dr.Web Cureit bestanden zal verplaatsen/verwijderen tijdens herstart[/i:731b164eb9].
[*:731b164eb9]Na het herstarten, [b:731b164eb9]kopieer en plak de inhoud van die log die je eerder hebt bewaard in je volgende post[/b:731b164eb9].
[/list:u:731b164eb9]
Negeer popups over Buy of 50% korting
Start opnieuw op en maak ook een nieuw HJT logje aub.
Vertel eens of je problemen al over zijn.
J - Het probleem is helaas nog niet opgelost…
Dit is het logje van de Dr Web curit:
dmrproc.exe c:\winnt Win32.HLLW.MyBot Will be cured after reboot.
vtutuut.dll c:\winnt\system32 Trojan.Virtumod Will be cured after reboot.
dmrproc.exe C:\WINNT Win32.HLLW.MyBot Deleted.
jnlwkxhg.exe C:\WINNT\system32 Adware.SearchColours Incurable.Moved.
rqrsqro.dll C:\WINNT\system32 Trojan.Virtumod Deleted.
ngphcdcb.exe C:\WINNT\system32 Adware.SearchColours Incurable.Moved.
vkmyoewv.exe C:\WINNT\system32 Adware.TopSearch Incurable.Moved.
skahnylp.exe C:\WINNT\system32 Adware.SearchColours Incurable.Moved.
process.exe C:\WINNT\system32 Tool.Prockill Incurable.Moved.
restart.exe C:\WINNT\system32 Tool.ShutDown.11 Incurable.Moved.
vtutuut.dll C:\WINNT\system32 Trojan.Virtumod Will be cured after reboot.
tuvtrrs.dll C:\WINNT\system32 Trojan.Virtumod Deleted.
jkkjhef.dll C:\WINNT\system32 Trojan.Virtumod Deleted.
nnnmjih.dll C:\WINNT\system32 Trojan.Virtumod Deleted.
yayawww.dll C:\WINNT\system32 Trojan.Virtumod Deleted.
nnnnoon.dll C:\WINNT\system32 Trojan.Virtumod Deleted.
opnkjhg.dll C:\WINNT\system32 Trojan.Virtumod Deleted.
tuvtutq.dll C:\WINNT\system32 Trojan.Virtumod Deleted.
vtuspqr.dll C:\WINNT\system32 Trojan.Virtumod Deleted.
urqnllj.dll C:\WINNT\system32 Trojan.Virtumod Deleted.
vtuusst.dll C:\WINNT\system32 Trojan.Virtumod Deleted.
En dit is het nieuw HijackThis logje:
Logfile of HijackThis v1.99.1
Scan saved at 15:49:31, on 17-12-2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\SYSTEM32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\asuskbservice.exe
C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\MSTask.exe
C:\Program Files\Spyware Doctor\sdhelp.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\GSICON.EXE
C:\WINNT\system32\dslagent.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINNT\system32\ltmsg.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\CreateCD.exe
C:\WINNT\system32\internat.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Paul\Bureaublad\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.be/0SENLBE/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.be/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\nl-be\msntb.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [LTWinModem1] ltmsg.exe 9
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINNT\system32\winIogon.exe
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINNT\system32\dkruelce.dll",setvm
O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\CreateCD.exe -r
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Reader Snelle start.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DD1F5518-2959-433C-85B0-388FE563B501}: NameServer = 195.238.2.21 195.238.2.22
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ASUSKeyboardService - ASUSTeK COMPUTER INC. - C:\WINNT\asuskbservice.exe
O23 - Service: Autodesk Licensing Service - Unknown owner - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Logical Disk Manager Administrative-service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
O23 - Service: Microsoft Windows DMR Service (Windows DMR Service) - Unknown owner - C:\WINNT\dmrproc.exe (file missing) - Download [b:3710f2adf0]Combofix[/b:3710f2adf0] naar je Bureaublad.[list:3710f2adf0]
[b:3710f2adf0]nog even niks mee doen[/b:3710f2adf0]
Start HJT nogmaals en doe een systemscan only, vink onderstaande regels aan sluit alle vensters behalve HJT en klik op fix checked.
[b:3710f2adf0]O4 - HKLM\..\Run: [Windows Logon Application] C:\WINNT\system32\winIogon.exe
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINNT\system32\dkruelce.dll",setvm[/b:3710f2adf0]
Start je verkenner en zoek naar onderstaande bestanden(dikgedrukt en indien aanwezig) en verwijder die.
C:\WINNT\system32\[b:3710f2adf0]winIogon.exe[/b:3710f2adf0]
C:\WINNT\system32\[b:3710f2adf0]dkruelce.dll[/b:3710f2adf0]
Open een kladblok bestand en kopieer onderstaande vetgedrukte tekst in dat kladblokbestand:
[b:3710f2adf0]cd..
cd..
sc delete Windows DMR Service [/b:3710f2adf0]
Sla het op op je bureaublad als sc.bat met als type "alle bestanden"
Dubbelklik sc.bat.
Herstart je pc.
Doe dan dit.
Dubbelklik [b:3710f2adf0]Combofix.exe[/b:3710f2adf0]
Volg de instructies, aanvaard de disclaimer door "y" of "Y" te typen.
Tijdens het runnen van de fix, [b:3710f2adf0]NIET[/b:3710f2adf0] in het venster klikken, want dit zal je pc doen vasthangen.[/list:u:3710f2adf0]
Wanneer de fix voltooid is en na herstart, zal de log [b:3710f2adf0]combofix.txt[/b:3710f2adf0] openen.
[i:3710f2adf0]Plaats deze log in je volgende post samen met een nieuw HijackThis log.[/i:3710f2adf0]
NOTA: Indien je virusscanner reageert met een melding van een scriptuitvoering, mag je dit negeren.
Juisterr
Beantwoord deze vraag
Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.