Vraag & Antwoord

Beveiliging & privacy

Malware...

Anoniem
None
29 antwoorden
  • Tja, niet zo best eerlijk gezegd.

    Na de fix was alles supersnel, echter na verloop van tijd werd het weer slechter. Zojuist kon ik zelfs internet niet meer op, toen ik mijn browser startte crashte hij direkt (meerdere malen geprobeerd). Heb toen met combofix mijn pc weer opnieuw opgestart in ieder geval en nu werkt het wel weer…

    Lijkt er dus op dat de besmette files iedere keer gewoon weer terugkomen…
  • Verwijder msn aub en start opnieuw op, doe een scan met combofix en plaats het logje aub samen met een HJT logje.
  • U bedoelt windows live messenger? Ben ik dan niet al mijn kontakten kwijt? Heb zojuist wel de msn toolbar verwijderd.
  • Ja die, je kan eerst natuurlijk al je contacten opslaan. Eventuele emoos achtergronden ed. ben je kwijt. (maar ook de besmetting) niet er weer opzetten voor we klaar zijn.

    Run de combofix nogmaals.
  • Ok, msn is eraf…

    ComboFix 07-08-09.3 - "Robert" 2007-08-13 20:09:15.6 - NTFSx86
    Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1043.18.684 [GMT 2:00]


    ((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


    C:\DOCUME~1\Robert\APPLIC~1\tmp104.tmp.exe
    C:\DOCUME~1\Robert\APPLIC~1\tmp9E.tmp.exe
    C:\WINDOWS\system32\_000008_.tmp.dll
    C:\WINDOWS\system32\_000009_.tmp.dll
    C:\WINDOWS\system32\awtsttr.dll
    C:\WINDOWS\system32\dn50d8897b.dat
    C:\WINDOWS\system32\dsauans.dll
    C:\WINDOWS\system32\vtutspn.dll


    ((((((((((((((((((((((((( Files Created from 2007-07-13 to 2007-08-13 )))))))))))))))))))))))))))))))


    2007-08-13 19:55 <DIR> d——– C:\WINDOWS\LastGood.Tmp
    2007-08-10 23:44 <DIR> d——– C:\WWE Monday Night Raw 2007-08-06 XviD-SC-SDH
    2007-08-10 23:26 32,312 –a—— C:\WINDOWS\system32\RemoveVideoActiveXObject.reg
    2007-08-10 23:26 <DIR> d——– C:\WINDOWS\system32\RVAXO
    2007-08-09 23:18 512,096 –a—— C:\WINDOWS\system32\drivers\amon.sys
    2007-08-09 23:18 298,104 –a—— C:\WINDOWS\system32\imon.dll
    2007-08-09 23:18 15,424 –a—— C:\WINDOWS\system32\drivers\nod32drv.sys
    2007-08-09 19:06 2,184,704 —–c— C:\WINDOWS\system32\dllcache\ntoskrnl.exe
    2007-08-09 19:06 2,140,672 —–c— C:\WINDOWS\system32\dllcache\ntkrnlmp.exe
    2007-08-09 19:06 2,061,952 —–c— C:\WINDOWS\system32\dllcache\ntkrnlpa.exe
    2007-08-09 19:06 2,020,352 —–c— C:\WINDOWS\system32\dllcache\ntkrpamp.exe
    2007-08-09 18:51 51,200 –a—— C:\WINDOWS\nircmd.exe
    2007-08-05 19:47 25,664 –a—— C:\WINDOWS\system32\DYGoC76h.exe
    2007-07-23 23:10 <DIR> d——– C:\Program Files\MSECache
    2007-07-14 13:04 <DIR> d——– C:\Program Files\Canon
    2007-07-14 12:54 <DIR> d——– C:\DOCUME~1\ALLUSE~1.WIN\APPLIC~1\ScanSoft


    (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

    2007-08-13 20:06 ——— d——– C:\Program Files\MSN Messenger
    2007-08-13 19:55 ——— d——– C:\Program Files\eMule
    2007-08-12 14:48 ——— d——– C:\DOCUME~1\Robert\APPLIC~1\Canon
    2007-07-14 13:04 ——— d–h—– C:\Program Files\InstallShield Installation Information
    2007-07-14 12:56 ——— d——– C:\Program Files\ewido anti-malware
    2007-07-14 12:53 ——— d——– C:\Program Files\Common Files\ScanSoft Shared
    2007-07-13 18:12 53418 –a—— C:\WINDOWS\system32\perfc013.dat
    2007-07-13 18:12 364330 –a—— C:\WINDOWS\system32\perfh013.dat
    2007-07-10 19:01 ——— d——– C:\Program Files\QuickTime
    2007-07-10 19:00 ——— d——– C:\Program Files\The Rosetta Stone
    2007-07-10 18:04 ——— d——– C:\Program Files\Google
    2007-07-05 14:38 ——— d——– C:\Program Files\SPAMfighter
    2007-07-05 14:38 ——— d——– C:\Program Files\Common Files\Ankiro
    2007-07-05 14:38 ——— d——– C:\DOCUME~1\Robert\APPLIC~1\SPAMfighter
    2007-07-05 14:37 ——— d——– C:\Program Files\Common Files\Application
    2007-06-25 15:04 1184400 –a—— C:\WINDOWS\system32\FreeImage.dll
    2001-11-23 06:08 712704 –a—— C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
    2006-06-27 18:34:53 952 –sha-w C:\WINDOWS\system32\KGyGaAvL.sys


    ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


    *Note* empty entries & legit default entries are not shown

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Cmaudio"="cmicnfg.cpl" []
    "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50]
    "Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-06 23:46]
    "Omnipage"="C:\Program Files\ScanSoft\OmniPageSE\opware32.exe" [2002-06-03 12:38]
    "SPAMfighter Agent"="C:\Program Files\SPAMfighter\SFAgent.exe" [2007-06-25 15:03]
    "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-07-10 19:01]
    "nod32kui"="C:\Program Files\Eset\nod32kui.exe" [2007-08-09 23:17]

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00]
    "MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" []
    "swg"="C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe" []

    C:\Documents and Settings\All Users.WINDOWS\Menu Start\Programma's\Opstarten\
    Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26]

    R1 nod32drv;nod32drv;C:\WINDOWS\system32\drivers\nod32drv.sys
    R3 cmuda;C-Media WDM Audio Interface;C:\WINDOWS\system32\drivers\cmuda.sys
    R3 FETNDIS;VIA PCI 10/100Mb Fast Ethernet-adapter - NT-stuurprogramma;C:\WINDOWS\system32\DRIVERS\fetnd5.sys


    **************************************************************************

    catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-08-13 20:12:28
    Windows 5.1.2600 Service Pack 2 NTFS

    scanning hidden processes …

    scanning hidden registry entries …

    scanning hidden files …

    scan completed successfully
    hidden files: 0

    **************************************************************************

    Completion time: 2007-08-13 20:13:24 - machine was rebooted
    C:\ComboFix-quarantined-files.txt … 2007-08-13 20:13
    C:\ComboFix2.txt … 2007-08-12 22:21
    C:\ComboFix3.txt … 2007-08-12 17:38

    — E O F —

    Logfile of HijackThis v1.99.1
    Scan saved at 20:15:06, on 13-8-2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\cmd.exe
    C:\Program Files\Eset\nod32krn.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\RunDll32.exe
    C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
    C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
    C:\Program Files\SPAMfighter\SFAgent.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\Eset\nod32kui.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    C:\WINDOWS\system32\ntvdm.exe
    C:\WINDOWS\system32\msiexec.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Downloads\hijackthis\HijackThis.exe
    C:\WINDOWS\SoftwareDistribution\Download\c8bab159b9c07d81733343728e91f022\update\update.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?linkid=677
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
    O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
    O4 - HKLM\..\Run: [Omnipage] C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
    O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Program Files\SPAMfighter\SFAgent.exe" update delay 60
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
    O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1150639646484
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
  • Ik begrijp dat er geen oplossing meer is voor die malware? Misschien dan maar windows opnieuw installeren?
  • Zo te zien is het er toch vanaf nu hoor, heb je nog steeds problemen dan?
  • Ik had inderdaad nog steeds problemen, had nog even gescanned met adaware en toch weer zo'n 40 meldingen. Weer verwijderd, met combofix weer opgestart (en tevens weer een aantal bestanden verwijderd) en nu dan eindelijk geen problemen tot nog toe… laten we hopen dat ze zo blijft…

    In ieder geval bedankt voor alle hulp!
  • Lijkt me wel hoor, ik hoor het wel.

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.