Vraag & Antwoord

Beveiliging & privacy

Virus, zie HijackThis logje...

Anoniem
None
4 antwoorden
  • Hey,

    Momenteel geeft mijn computer weer meldingen van virussen weer.
    Ik heb een HijackThis logje geplaatst.

    Hopelijk kan iemand mij advies geven over wat ik moet verwijderen.

    Dank bij voorbaat

    Tim

    Logfile of HijackThis v1.99.1
    Scan saved at 20:16:45, on 9-12-2006
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\csrss.exe
    C:\WINNT\SYSTEM32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    C:\WINNT\asuskbservice.exe
    C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    C:\WINNT\System32\svchost.exe
    C:\WINNT\system32\nvsvc32.exe
    C:\WINNT\system32\MSTask.exe
    C:\Program Files\Spyware Doctor\sdhelp.exe
    C:\WINNT\dmrproc.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\System32\svchost.exe
    C:\WINNT\Explorer.EXE
    C:\WINNT\system32\GSICON.EXE
    C:\WINNT\system32\dslagent.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
    C:\WINNT\system32\ltmsg.exe
    C:\WINNT\system32\RUNDLL32.EXE
    C:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\CreateCD.exe
    C:\WINNT\system32\internat.exe
    C:\Program Files\WinZip\WZQKPICK.EXE
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Documents and Settings\Paul\Bureaublad\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.be/0SENLBE/SAOS01
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.be/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\nl-be\msntb.dll
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
    O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
    O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
    O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
    O4 - HKLM\..\Run: [LTWinModem1] ltmsg.exe 9
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [anvshell] anvshell.exe
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\CreateCD.exe -r
    O4 - HKLM\..\RunServices: [MS System Call Function] MSSCF32.exe
    O4 - HKLM\..\RunServices: [Windows Management] stmng32.exe
    O4 - HKCU\..\Run: [internat.exe] internat.exe
    O4 - HKCU\..\Run: [MS System Call Function] MSSCF32.exe
    O4 - HKCU\..\Run: [Windows Management] stmng32.exe
    O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O4 - Global Startup: Adobe Reader Snelle start.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
    O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
    O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{DD1F5518-2959-433C-85B0-388FE563B501}: NameServer = 195.238.2.21 195.238.2.22
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: ASUSKeyboardService - ASUSTeK COMPUTER INC. - C:\WINNT\asuskbservice.exe
    O23 - Service: Autodesk Licensing Service - Unknown owner - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    O23 - Service: Logical Disk Manager Administrative-service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
    O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
    O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp.exe
    O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
    O23 - Service: Microsoft Windows DMR Service (Windows DMR Service) - Unknown owner - C:\WINNT\dmrproc.exe
  • Start HJT opnieuw en doe een systemscan only, vink onderstaande regel aan sluit alle vensters behalve HJT en klik op fix checked.


    [b:731b164eb9]
    O4 - HKLM\..\RunServices: [MS System Call Function] MSSCF32.exe
    O4 - HKLM\..\RunServices: [Windows Management] stmng32.exe
    O4 - HKCU\..\Run: [MS System Call Function] MSSCF32.exe
    O4 - HKCU\..\Run: [Windows Management] stmng32.exe
    [/b:731b164eb9]


    Download [b:731b164eb9] naar je Bureaublad:[list:731b164eb9][*:731b164eb9]Dubbelklik [b:731b164eb9]drweb-cureit.exe[/b:731b164eb9] Klik op udate
    [*:731b164eb9]Na de update verschijnt er een nieuw icoontje op je buroblad "CureIt.exe" dubbelklik het en klik op Scan, sta het toe om de express scan te starten.
    [*:731b164eb9]Dit zal de bestanden scannen die momenteel in het geheugen geladen zijn en wanneer er iets gevonden wordt,
    klik de [b:731b164eb9]Yes to all[/b:731b164eb9] knop bij de vraag 'cure it?'. Dit is enkel een korte scan.
    [*:731b164eb9]Eenmaal de korte scan is beëindigd, kan je de drives selecteren die je wilt laten scannen.
    [*:731b164eb9]Selecteer hier [b:731b164eb9]alle drives[/b:731b164eb9]. Een rood bolletje zal dan tevoorschijn komen op de drives die je laat scannen.
    [*:731b164eb9]Klik daarna de [b:731b164eb9]groene pijl[/b:731b164eb9] rechts om de scan te starten.
    [*:731b164eb9]Klik [b:731b164eb9]Yes to all[/b:731b164eb9] wanneer er gevraagd wordt om cure of move uit te voeren.
    [*:731b164eb9]Wanneer de scan beëindigd is, kijk of je kunt op het icoontje naast de gevonden bestanden klikken: [img:731b164eb9]http://users.telenet.be/bluepatchy/miekiemoes/images/check.gif[/img:731b164eb9]
    [*:731b164eb9]Indien ja,klik er op en klik vervolgens op het icoontje er juist onder en selecteer [b:731b164eb9]Move incurable[/b:731b164eb9] zoals je hier ziet:
    [img:731b164eb9]http://users.telenet.be/bluepatchy/miekiemoes/images/move.gif[/img:731b164eb9]
    Dit verplaatst gevonden bestanden naar de "%userprofile%\DoctorWeb\quarantaine-map" indien herstel niet mogelijk is.
    [*:731b164eb9]Nadat de scan gedaan is, in het menu bovenaan, klik [b:731b164eb9]File[/b:731b164eb9] en kies [b:731b164eb9]Save report List[/b:731b164eb9]. Bewaar het op je Bureaublad.
    [*:731b164eb9]Sluit daarna Dr.Web Cureit.
    [*:731b164eb9][b:731b164eb9]Herstart[/b:731b164eb9] je computer!! [i:731b164eb9]Belangrijke stap, want het kan zijn dat Dr.Web Cureit bestanden zal verplaatsen/verwijderen tijdens herstart[/i:731b164eb9].
    [*:731b164eb9]Na het herstarten, [b:731b164eb9]kopieer en plak de inhoud van die log die je eerder hebt bewaard in je volgende post[/b:731b164eb9].
    [/list:u:731b164eb9]

    Negeer popups over Buy of 50% korting



    Start opnieuw op en maak ook een nieuw HJT logje aub.
    Vertel eens of je problemen al over zijn.

    J
  • Het probleem is helaas nog niet opgelost…

    Dit is het logje van de Dr Web curit:

    dmrproc.exe c:\winnt Win32.HLLW.MyBot Will be cured after reboot.
    vtutuut.dll c:\winnt\system32 Trojan.Virtumod Will be cured after reboot.
    dmrproc.exe C:\WINNT Win32.HLLW.MyBot Deleted.
    jnlwkxhg.exe C:\WINNT\system32 Adware.SearchColours Incurable.Moved.
    rqrsqro.dll C:\WINNT\system32 Trojan.Virtumod Deleted.
    ngphcdcb.exe C:\WINNT\system32 Adware.SearchColours Incurable.Moved.
    vkmyoewv.exe C:\WINNT\system32 Adware.TopSearch Incurable.Moved.
    skahnylp.exe C:\WINNT\system32 Adware.SearchColours Incurable.Moved.
    process.exe C:\WINNT\system32 Tool.Prockill Incurable.Moved.
    restart.exe C:\WINNT\system32 Tool.ShutDown.11 Incurable.Moved.
    vtutuut.dll C:\WINNT\system32 Trojan.Virtumod Will be cured after reboot.
    tuvtrrs.dll C:\WINNT\system32 Trojan.Virtumod Deleted.
    jkkjhef.dll C:\WINNT\system32 Trojan.Virtumod Deleted.
    nnnmjih.dll C:\WINNT\system32 Trojan.Virtumod Deleted.
    yayawww.dll C:\WINNT\system32 Trojan.Virtumod Deleted.
    nnnnoon.dll C:\WINNT\system32 Trojan.Virtumod Deleted.
    opnkjhg.dll C:\WINNT\system32 Trojan.Virtumod Deleted.
    tuvtutq.dll C:\WINNT\system32 Trojan.Virtumod Deleted.
    vtuspqr.dll C:\WINNT\system32 Trojan.Virtumod Deleted.
    urqnllj.dll C:\WINNT\system32 Trojan.Virtumod Deleted.
    vtuusst.dll C:\WINNT\system32 Trojan.Virtumod Deleted.


    En dit is het nieuw HijackThis logje:

    Logfile of HijackThis v1.99.1
    Scan saved at 15:49:31, on 17-12-2006
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\csrss.exe
    C:\WINNT\SYSTEM32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    C:\WINNT\asuskbservice.exe
    C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    C:\WINNT\System32\svchost.exe
    C:\WINNT\system32\nvsvc32.exe
    C:\WINNT\system32\MSTask.exe
    C:\Program Files\Spyware Doctor\sdhelp.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\System32\svchost.exe
    C:\WINNT\Explorer.EXE
    C:\WINNT\system32\GSICON.EXE
    C:\WINNT\system32\dslagent.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
    C:\WINNT\system32\ltmsg.exe
    C:\WINNT\system32\RUNDLL32.EXE
    C:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\CreateCD.exe
    C:\WINNT\system32\internat.exe
    C:\Program Files\WinZip\WZQKPICK.EXE
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Documents and Settings\Paul\Bureaublad\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.be/0SENLBE/SAOS01
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.be/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\nl-be\msntb.dll
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
    O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
    O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
    O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
    O4 - HKLM\..\Run: [LTWinModem1] ltmsg.exe 9
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [anvshell] anvshell.exe
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [Windows Logon Application] C:\WINNT\system32\winIogon.exe
    O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINNT\system32\dkruelce.dll",setvm
    O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\CreateCD.exe -r
    O4 - HKCU\..\Run: [internat.exe] internat.exe
    O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O4 - Global Startup: Adobe Reader Snelle start.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
    O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
    O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{DD1F5518-2959-433C-85B0-388FE563B501}: NameServer = 195.238.2.21 195.238.2.22
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: ASUSKeyboardService - ASUSTeK COMPUTER INC. - C:\WINNT\asuskbservice.exe
    O23 - Service: Autodesk Licensing Service - Unknown owner - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    O23 - Service: Logical Disk Manager Administrative-service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
    O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
    O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp.exe
    O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
    O23 - Service: Microsoft Windows DMR Service (Windows DMR Service) - Unknown owner - C:\WINNT\dmrproc.exe (file missing)
  • Download [b:3710f2adf0]Combofix[/b:3710f2adf0] naar je Bureaublad.[list:3710f2adf0]

    [b:3710f2adf0]nog even niks mee doen[/b:3710f2adf0]

    Start HJT nogmaals en doe een systemscan only, vink onderstaande regels aan sluit alle vensters behalve HJT en klik op fix checked.


    [b:3710f2adf0]O4 - HKLM\..\Run: [Windows Logon Application] C:\WINNT\system32\winIogon.exe
    O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINNT\system32\dkruelce.dll",setvm[/b:3710f2adf0]

    Start je verkenner en zoek naar onderstaande bestanden(dikgedrukt en indien aanwezig) en verwijder die.

    C:\WINNT\system32\[b:3710f2adf0]winIogon.exe[/b:3710f2adf0]
    C:\WINNT\system32\[b:3710f2adf0]dkruelce.dll[/b:3710f2adf0]


    Open een kladblok bestand en kopieer onderstaande vetgedrukte tekst in dat kladblokbestand:
    [b:3710f2adf0]cd..
    cd..
    sc delete Windows DMR Service [/b:3710f2adf0]

    Sla het op op je bureaublad als sc.bat met als type "alle bestanden"
    Dubbelklik sc.bat.

    Herstart je pc.

    Doe dan dit.


    Dubbelklik [b:3710f2adf0]Combofix.exe[/b:3710f2adf0]
    Volg de instructies, aanvaard de disclaimer door "y" of "Y" te typen.
    Tijdens het runnen van de fix, [b:3710f2adf0]NIET[/b:3710f2adf0] in het venster klikken, want dit zal je pc doen vasthangen.[/list:u:3710f2adf0]
    Wanneer de fix voltooid is en na herstart, zal de log [b:3710f2adf0]combofix.txt[/b:3710f2adf0] openen.
    [i:3710f2adf0]Plaats deze log in je volgende post samen met een nieuw HijackThis log.[/i:3710f2adf0]

    NOTA: Indien je virusscanner reageert met een melding van een scriptuitvoering, mag je dit negeren.


    Juisterr

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.