Vraag & Antwoord
Trj/Delreg virus & HijackThis log
21 antwoorden
- Ten eerste was er een probleem bij het installeren van de Recovery Console. Nadat Panda die map die ik had gebruikt om de originele W2K CD te slipstreamen met de Unofficial SP 5.1.2195 had gedesinfecteerd, had ik deze opnieuw gebrand. Toen ik vanaf die CD-RW de Recovery Console probeerde te installeren, gaf deze een foutmelding over het ontbreken van biosinfo.inf. Omdat dit bestand volgens Panda was geïnfecteerd was met die Trj/Delreg virus, had Panda dit bestand verwijderd. Ik heb de Recovery Console dan maar geïnstalleerd vanaf de originele W2K CD.
Ik heb die Combofix gedownload. Antivirus en Firewall uitgeschakeld. En op de Combofix gedubbelklikt. Bij mij verscheen die eerste Bestand openen - Beveiligingswaarschuwing niet. Wel die Disclaimer venster. Toen ik klikte op Yes verscheen een ander venster dan afgebeeld in die Combofix instructie pagina.
[code:1:c1b48c194e]
Confirm
Roughly 1/100 machines failed to make it through the desinfection process!!
Are you sure to do this? Yes No
[/code:1:c1b48c194e] Is dat venster belangrijk? Als ik klik op Yes gaat deze verder volgens de Combofix instructie pagina. Ook je Hijackthis instructies heb ik uitgevoerd.
ComboFix rapport
[code:1:c1b48c194e]
ComboFix 08-06-07.3 - Joop 08-06-2008 8:14:38.1 - NTFSx86
Microsoft Windows 2000 Professional 5.0.2195.4.1252.1.1033.18.798 [GMT 2:00]
Running from: C:\Documents and Settings\Joop\Desktop\ComboFix.exe
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINNT\Web\default.htt
.
((((((((((((((((((((((((( Files Created from 2008-05-08 to 2008-06-08 )))))))))))))))))))))))))))))))
.
2008-06-08 07:26 . 08-06-08 07:26 16,384 –a—-t- C:\WINNT\system32\Perflib_Perfdata_240.dat
2008-05-29 20:25 . 29-05-08 20:25 <DIR> d——– C:\Program Files\Lavasoft
2008-05-29 20:25 . 29-05-08 20:27 <DIR> d——– C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-05-29 20:24 . 29-05-08 20:24 <DIR> d——– C:\Program Files\Common Files\Wise Installation Wizard
2008-05-29 19:51 . 29-05-08 19:51 <DIR> d——– C:\Program Files\Trend Micro
2008-05-29 05:57 . 29-05-08 05:57 <DIR> d——– C:\Documents and Settings\Joop\Application Data\Comodo
2008-05-29 05:57 . 29-05-08 05:57 <DIR> d——– C:\Documents and Settings\All Users\Application Data\Comodo
2008-05-29 05:54 . 29-05-08 05:54 <DIR> d——– C:\Program Files\Comodo
2008-05-29 05:46 . 29-05-08 05:46 <DIR> d——– C:\WINNT\system32\Macromed
2008-05-28 21:01 . 28-05-08 21:01 <DIR> d——– C:\Program Files\Alwil Software
2008-05-28 20:11 . 28-05-08 20:11 25 –a—— C:\WINNT\mixerdef.ini
2008-05-28 20:01 . 25-07-03 12:47 145,552 –a—— C:\WINNT\system32\drivers\portcls.sys
2008-05-28 20:01 . 25-07-03 12:47 145,552 –a–c— C:\WINNT\system32\dllcache\portcls.sys
2008-05-28 20:01 . 19-06-03 12:05 21,264 –a—— C:\WINNT\system32\wdmaud.drv
2008-05-27 21:01 . 27-05-08 21:01 <DIR> d–h-c— C:\WINNT\$SQLUninstallMDAC25SP3-KB927779-x86-ENU$
2008-05-27 21:01 . 05-01-07 08:49 22,752 –a—— C:\WINNT\system32\spupdsvc.exe
2008-05-27 20:56 . 27-05-08 20:56 <DIR> d——– C:\WINNT\mui
2008-05-27 20:56 . 27-05-08 20:56 957 –a—— C:\WINNT\setup.inf
2008-05-27 20:56 . 27-05-08 20:56 283 –a—— C:\WINNT\setup.rpt
2008-05-27 20:54 . 15-02-08 21:13 587,776 –a—— C:\WINNT\system32\WININET.DLL
2008-05-27 20:45 . 27-05-08 20:45 <DIR> d——– C:\Documents and Settings\Joop\Application Data\ATI
2008-05-27 20:40 . 27-05-08 20:40 <DIR> d——– C:\Program Files\Common Files\ATI Technologies
2008-05-27 20:36 . 27-05-08 20:36 <DIR> d——– C:\WINNT\winsxs
2008-05-27 20:36 . 27-05-08 20:36 <DIR> d——– C:\WINNT\PCHEALTH
2008-05-27 20:34 . 27-05-08 20:35 <DIR> d–h—– C:\Program Files\InstallShield Installation Information
2008-05-27 20:34 . 27-05-08 20:41 <DIR> d——– C:\Program Files\ATI Technologies
2008-05-27 20:34 . 02-08-06 17:27 520,192 ——— C:\WINNT\system32\ati2sgag.exe
2008-05-27 20:34 . 02-08-06 12:12 307,200 -ra—— C:\WINNT\system32\atiiiexx.dll
2008-05-27 20:34 . 02-08-06 10:14 133,246 -ra—— C:\WINNT\system32\atiicdxx.dat
2008-05-27 20:34 . 22-06-06 03:02 6,126 -ra—— C:\WINNT\system32\atifglpf.xml
2008-05-27 20:30 . 27-05-08 21:41 <DIR> d——– C:\programs
2008-05-27 20:28 . 27-05-08 20:34 <DIR> d——– C:\Program Files\Common Files\InstallShield
2008-05-27 20:28 . 27-05-08 20:28 <DIR> d——– C:\ATI
2008-05-27 20:13 . 30-07-07 19:19 549,720 –a—— C:\WINNT\system32\wuapi.dll
2008-05-27 20:13 . 30-07-07 19:19 325,976 –a—— C:\WINNT\system32\wucltui.dll
2008-05-27 20:13 . 30-07-07 19:19 43,352 –a—— C:\WINNT\system32\wups2.dll
2008-05-27 20:13 . 30-07-07 19:18 34,136 –a—— C:\WINNT\system32\wucltui.dll.mui
2008-05-27 20:13 . 30-07-07 19:18 33,624 –a—— C:\WINNT\system32\wups.dll
2008-05-27 20:13 . 30-07-07 19:19 25,944 –a—— C:\WINNT\system32\wuaucpl.cpl.mui
2008-05-27 20:13 . 30-07-07 19:19 25,944 –a—— C:\WINNT\system32\wuapi.dll.mui
2008-05-27 20:13 . 30-07-07 19:18 20,312 –a—— C:\WINNT\system32\wuaueng.dll.mui
2008-05-27 20:12 . 27-05-08 20:12 <DIR> d—s—- C:\Documents and Settings\Joop\UserData
2008-05-27 20:11 . 27-05-08 20:11 8,192 –a—— C:\WINNT\REGLOCS.OLD
2008-05-16 11:58 . 16-05-08 11:58 12,632 –a—— C:\WINNT\system32\lsdelete.exe
2008-05-15 20:28 . 10-12-04 08:03 23,536 –a–c— C:\WINNT\system32\dllcache\usbstor.sys
2008-05-15 20:06 . 27-05-08 20:12 <DIR> d——– C:\Documents and Settings\Joop
2008-05-15 20:04 . 08-06-08 07:23 641,532 —h—– C:\WINNT\ShellIconCache
2008-05-15 06:00 . 15-05-08 06:00 973,072 –a—— C:\WINNT\system32\sfcfiles.dll
2008-05-15 06:00 . 15-05-08 06:00 6,234 –a—— C:\WINNT\system32\drivers\viaide.sys
2008-05-12 08:49 . 12-05-08 08:49 509,712 –a—— C:\WINNT\system32\syssetup.dll
2008-05-12 08:49 . 12-05-08 08:49 33,243 –a—— C:\WINNT\system32\drivers\Ultra.sys
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-15 15:22 ——— d—–w C:\Program Files\microsoft frontpage
2008-05-15 15:21 271 —h–w C:\Program Files\desktop.ini
2008-05-15 15:21 21,952 —h–w C:\Program Files\folder.htt
2008-05-15 15:19 ——— d—–w C:\Program Files\Accessories
2008-04-29 09:20 15,648 —-a-w C:\WINNT\system32\drivers\NSDriver.sys
2008-04-29 09:20 14,624 —-a-w C:\WINNT\system32\drivers\AWRTRD.sys
2008-04-29 09:20 12,192 —-a-w C:\WINNT\system32\drivers\AWRTPD.sys
2008-03-27 07:13 151,583 —-a-w C:\WINNT\system32\msjint40.dll
2008-03-27 07:06 355,104 —-a-w C:\WINNT\system32\msxbde40.dll
2008-03-27 07:05 838,432 —-a-w C:\WINNT\system32\mswdat10.dll
2008-03-27 07:05 621,344 —-a-w C:\WINNT\system32\mswstr10.dll
2008-03-27 07:05 264,992 —-a-w C:\WINNT\system32\mstext40.dll
2008-03-27 07:04 559,904 —-a-w C:\WINNT\system32\msrepl40.dll
2008-03-27 07:04 432,928 —-a-w C:\WINNT\system32\msrd2x40.dll
2008-03-27 07:04 322,336 —-a-w C:\WINNT\system32\msrd3x40.dll
2008-03-27 07:03 355,104 —-a-w C:\WINNT\system32\mspbde40.dll
2008-03-27 07:03 248,608 —-a-w C:\WINNT\system32\msjtes40.dll
2008-03-27 07:03 219,936 —-a-w C:\WINNT\system32\msltus40.dll
2008-03-27 07:02 60,192 —-a-w C:\WINNT\system32\msjter40.dll
2008-03-27 07:02 355,112 —-a-w C:\WINNT\system32\msjetoledb40.dll
2008-03-27 07:01 1,516,568 —-a-w C:\WINNT\system32\msjet40.dll
2008-03-27 07:00 518,944 —-a-w C:\WINNT\system32\msexch40.dll
2008-03-27 07:00 326,432 —-a-w C:\WINNT\system32\msexcl40.dll
2008-03-19 09:26 1,644,080 —-a-w C:\WINNT\system32\WIN32K.SYS
2005-01-10 09:37 32,528 —-a-w C:\WINNT\inf\wbfirdma.sys
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [07-12-99 14:00 20752 C:\WINNT\system32\internat.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe" [25-02-05 07:20 111376 C:\WINNT\system32\mobsync.exe]
"ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe" [10-05-06 11:12 90112]
"C-Media Mixer"="Mixer.exe" [15-10-02 18:00 1818624 C:\WINNT\mixer.exe]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [16-05-08 01:19 79224]
"COMODO Firewall Pro"="C:\Program Files\Comodo\Firewall\CPF.exe" [29-05-08 05:54 1115728]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [07-12-99 14:00 20752 C:\WINNT\system32\internat.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_3"="advpack.dll" [19-06-03 05:05 91136 C:\WINNT\system32\advpack.dll]
"^SetupICWDesktop"="C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe" [19-06-03 12:05 186640]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"= mmdrv.dll
R1 aswSP;avast! Self Protection;C:\WINNT\system32\drivers\aswSP.sys [16-05-08 01:20 ]
R2 aswMon;avast! Standard Shield Support;C:\WINNT\system32\drivers\aswMon.sys [17-01-08 18:34 ]
R3 EL90BC;3Com EtherLink XL B/C Adapter Driver;C:\WINNT\system32\DRIVERS\el90xbc5.sys [23-10-99 14:22 ]
*Newly Created Service* - CATCHME
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-08 08:15:53
Windows 5.0.2195 Service Pack 4 NTFS
scanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden files: 0
**************************************************************************
.
Completion time: 08-06-2008 8:16:21
ComboFix-quarantined-files.txt 2008-06-08 06:16:18
Pre-Run: 7,346,966,528 bytes free
Post-Run: 7,428,767,744 bytes free
130
[/code:1:c1b48c194e]
HijackThis rapport
[code:1:c1b48c194e]
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 8:30:56, on 8-6-2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Comodo\Firewall\cmdagent.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Mixer.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINNT\system32\internat.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINNT\explorer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\Comodo\Firewall\CPF.exe" /background
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1211911957812
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Program Files\Comodo\Firewall\cmdagent.exe
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
–
End of file - 3378 bytes
[/code:1:c1b48c194e] - Toen ik op mijn oude AthlonXP 1700+ PC Service Pack 3 had geslipstreamed met de originele Windows XP CD en schoon geïnstalleerd, gaf Panda Antivirus + Firewall 2008 na een Scan mijn PC de volgende output
Panda Antivirus + Firewall 2008 incidenten rapport
[code:1:379391f02b]
geval datum resultaten bijkomende informatie
Einde van de scan 23/05/08 17:17:05 Scan: Deze computer
Update 23/05/08 17:06:49 Juist Signatures bedreigingen
Virus gedetecteerd: Trj/Delreg 23/05/08 16:57:48 Gedesinfecteerd Locatie: D:\WinK2CD\I386\BIOSINFO.INF
Virus gedetecteerd: Trj/Delreg 23/05/08 16:57:33 Gedesinfecteerd Locatie: D:\System Volume Information\_restore{3C8293F8-EB82-41F7-AB16-57B0B0D183BF}\RP27\A0010595.INF
Virus gedetecteerd: Trj/Delreg 23/05/08 16:57:15 Gedesinfecteerd Locatie: D:\System Volume Information\_restore{3C8293F8-EB82-41F7-AB16-57B0B0D183BF}\RP23\A0006010.INF
Scan gestart 23/05/08 16:50:14 Scan: Deze computer
Update 23/05/08 16:46:54 Juist Signatures bedreigingen
Update 23/05/08 16:46:31 Juist Nieuwe virusdefinitie: 618
[/code:1:379391f02b]
Dan gaat het me vooral om die: Virus gedetecteerd: Trj/Delreg 23/05/08 16:57:48 Gedesinfecteerd Locatie: D:\WinK2CD\I386\BIOSINFO.INF
Want daar staat de Unofficial SP 5.1.2195 geslipstreamed met de originele W2K CD. Volgens Panda staat dat virus dus ook op die W2K SP5.1 gebrande CD-RW, die ik op een oude Pentium 3 PC heb geïnstalleerd. (Volgens Panda is de originele W2K CD gewoon virus vrij.)
Ik heb voor dit virus gecheckt op de site van Panda. Daarop staat onder andere: Threat level:Low
Maar op http://www.spywaredb.com/remove-wininf-delreg-trojan/ staat daarentegen: Dangerous: Yes
Is dit iets wat ik serieus zou moeten nemen? Is het voldoende dat ik alleen die W2K SP5.1 CD opnieuw brand met die door Panda Gedesinfecteerde D:\WinK2CD\I386\I386\BIOSINFO.INF bestand. En die W2K SP5.1 installatie ook laat desinfecteren door Panda? Overigens verliep de W2K SP5.1 CD met die Trj/Delreg virus zonder foutmeldingen. Zoals is vermeldt in artikel 829784 van Microsoft http://support.microsoft.com/kb/829784
//Edit zondag 25 mei 2008
Ik heb vandaag op de oude AthlonXP 1700+ PC Panda Antivirus + Firewall 2008 nogmaals gedraaid: Scan mijn PC. Deze vond geen virussen meer. Via Diep online scannen met TotalPro, vond de snelle scan ook niets. Maar de Volledige scan vond weer die Trj/Delreg
[code:1:379391f02b]
ANALYSIS: 2008-05-25 11:05:42
PROTECTIONS: 1
MALWARE: 1
SUSPECTS: 0
PROTECTIONS
Description Version Active Updated
Panda Antivirus + Firewall 2008 7.01.00 Yes Yes
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
00017380 Trj/Delreg Virus/Trojan No 1 Yes No D:\System Volume Information\_restore{946E1A6E-FAF4-4F2E-9E61-873EFDF6A013}\RP3\A0000842.INF
SUSPECTS
Location
[/code:1:379391f02b] Ik heb vervolgens op de knop Desinfecteren geklikt. Er verscheen toen de melding: PC gedesinfecteerd. Is dit afdoende?
Omdat ik op die oude Pentium 3 PC W2K SP5.1 geïnstalleerd had toen die Trj/Delreg er nog opzat, zal deze ook nog gedesinfecteerd moeten worden. Volgens deze blog kan ik dat het beste doen met FREE avast! antivirus 4.x Home Edition. Klopt dit? Of kan dit niet omdat die Trj/Delreg virus er al opzat, voordat er een virusscanner geïnstalleerd kon worden.
Ik heb intussen van die gedesinfecteerde WinK2CD map, een nieuwe geslipsteamde W2K SP5.1 gebrand. (Op dezelfde CD-RW.) Die in de DVD-speler zat, toen ik via Diep online scannen met TotalPro, de Volledige scan deed. Of kan ik omdat een virusscanner eigenlijk op PC geïnstalleerd zou moeten zijn, als deze nog virusvrij is, beter met die nieuwe geslipsteamde W2K SP5.1 weer schoon opnieuw installeren? Of zijn er andere adviezen?
//Nogmaals edit op zondag-avond
Ik vond al googlend deze site met informatie over Virus Scanning Windows from Knoppix Ik heb die oude Pentium 3 PC met die geslipstreamde PC W2K SP5.1 installatie, waar waarschijnlijk dat Trj/Delreg virus opstaat, opgestart vanaf Knoppix 5.3.1 DVD. En de instructies van die site opgevolgd. Dus de W2K partitie mounten voor lezen en schrijven. De nieuwste versie van clamav installeren en de virus definities updaten. Clamav vond echter geen virussen. Dit is het clamlog
[code:1:379391f02b]
/media/hde1/AUTOEXEC.BAT: Empty file
/media/hde1/CONFIG.SYS: Empty file
/media/hde1/Documents and Settings/Administrator/SendTo/Desktop (create shortcut).DeskLink: Empty file
/media/hde1/Documents and Settings/Administrator/SendTo/Mail Recipient.MAPIMail: Empty file
/media/hde1/Documents and Settings/Administrator/SendTo/My Documents.mydocs: Empty file
/media/hde1/Documents and Settings/Default User/SendTo/Desktop (create shortcut).DeskLink: Empty file
/media/hde1/Documents and Settings/Default User/SendTo/Mail Recipient.MAPIMail: Empty file
/media/hde1/Documents and Settings/Default User/SendTo/My Documents.mydocs: Empty file
/media/hde1/Documents and Settings/Joop/SendTo/Desktop (create shortcut).DeskLink: Empty file
/media/hde1/Documents and Settings/Joop/SendTo/Mail Recipient.MAPIMail: Empty file
/media/hde1/Documents and Settings/Joop/SendTo/My Documents.mydocs: Empty file
/media/hde1/IO.SYS: Empty file
/media/hde1/MSDOS.SYS: Empty file
/media/hde1/WINNT/control.ini: Empty file
/media/hde1/WINNT/Debug/ipsecpa.log: Empty file
/media/hde1/WINNT/Debug/ipsecpa.log.last: Empty file
/media/hde1/WINNT/Debug/oakley.log: Empty file
/media/hde1/WINNT/Debug/oakley.log.sav: Empty file
/media/hde1/WINNT/Debug/PASSWD.LOG: Empty file
/media/hde1/WINNT/Sti_Trace.log: Empty file
/media/hde1/WINNT/system32/config/TempKey.LOG: Empty file
———– SCAN SUMMARY ———–
Known viruses: 300886
Engine version: 0.93
Scanned directories: 352
Scanned files: 6421
Infected files: 0
Data scanned: 654.17 MB
Time: 515.387 sec (8 m 35 s)
[/code:1:379391f02b]
Op http://forums.whirlpool.net.au/forum-replies-archive.cfm/410554.html werd ook wel BartPE met Anti-Virus plug-in genoemd. En ik heb de Magazine voor computer techniek van maart 2008 nog bewaard. Waarvan de c't-rescue-cd PE buidler is uitgebreid met 20 handige utilities, waaronder virus scanner Gdata AntiVirus 2008. Ik zou daarmee morgen een BartPE CD me kunnen branden. Welke plug-ins zou ik verder nog kunnen toevoegen?
//Edit maandag avond
Ik heb inmiddels de BartPE CD gebrand. De W2K SP5.1 PC ermee opgestart. GData Anti-Virus gestart en de Anti-Virus definities laten updaten. Echter ook deze vond na 7017 bestanden te hebben gecontroleerd, geen virussen op harde schijf. Geïnfecteerd: 0. Verdacht: 0. Ik heb ook nog even gecheckt vanuit Ubuntu Linux. Deze vond de bestand die volgens Panda Antivirus + Firewall 2008 geïnfecteerd zou zijn in C:\WINT\inf\biosinfo.inf Daarin staat zo te zien alleen platte tekst. Hoe kan daar een Virus in? Zijn er nog adviezen?
//Edit donderdag avond 29 mei 2008
Voor alle zekerheid voeg ik er toch nog maar een HijackThis log aan toe van de W2K SP5.1 PC. Zover ik kan beoordelen zijn er geen problemen te zien op die PC. De reden van plaatsing is dus alleen die ene Trj/Delreg virus melding op de oude AthlonXP 1700+ PC waarop ik die Unofficial Service Pack 5.1.2195 had geslipstreamed met de originele W2K CD.
[code:1:379391f02b]
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:52:47, on 29-5-2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Comodo\Firewall\cmdagent.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINNT\Explorer.EXE
C:\WINNT\Mixer.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\Program Files\Comodo\Firewall\CPF.exe
C:\WINNT\system32\internat.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINNT\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\Comodo\Firewall\CPF.exe" /background
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1211911957812
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Program Files\Comodo\Firewall\cmdagent.exe
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
–
End of file - 3256 bytes
[/code:1:379391f02b]
Hierbij ook nog een AdAware 2008 Free logje van diezelfde PC
[code:1:379391f02b]
Scanmodus: Full
Scantijd: 00:04:46
Aantal gescande objecten: 80519
Aantal gevonden infecties: 26
Kritiek: 0
Privacyobjecten: 26
Verwijderde infecties: 0
Aantal infecties in quarantaine: 0
Aantal infecties door scanner genegeerd: 0
[/code:1:379391f02b] - Zou iemand voor alle zekerheid kunnen bevestigen dat die Trj/Delreg een virus is of een hoax? En is mijn HijackThis Logfile nu echt schoon?
- Volg de instructies zoals beschreven op de volgende pagina: hoe-dient-combofix-gebruikt-te-worden
Gebruik je Vista, dan hoeft de Recovery Console niet te worden geinstalleerd.
Is er iets niet duidelijk, dan vraag je het.
Als het tooltje klaar is, opent er een logfile (C:\combofix.txt).
Post de inhoud van dit bestandje samen met een nieuwe hijackthislog.
Start Hijackthis op en kies voor 'Do a system scan only'
Selecteer alleen de items die hieronder zijn genoemd:
[b:1ee109ec19]
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
[/b:1ee109ec19]
Klik op 'Fix checked' om de items te verwijderen. - Volgens mij weer netjes hoor, nog klachten ?
Doe dan
Download ATF cleaner (gemaakt door Atribune)
Dubbelklik op ATF cleaner om het programma te starten.
Op het tabblad "Main", plaats je een vinkje bij [b:f1cbe468ad]Select All[/b:f1cbe468ad].
Klik op de knop [b:f1cbe468ad]Empty Selected[/b:f1cbe468ad].
Het volgende doen als je ook FireFox als browser hebt:
Klik op tabblad "Firefox", plaats een vinkje bij [b:f1cbe468ad]Select All[/b:f1cbe468ad].
Wil je de door Firefox opgeslagen wachtwoorden behouden, dan klik je in het venster dat verschijnt op "No".
(dit haalt het vinkje weer weg bij "Firefox saved passwords"
Klik op de knop [b:f1cbe468ad]Empty Selected[/b:f1cbe468ad].
Het volgende doen als je ook Opera als browser hebt:
Klik op tabblad "Opera", plaats een vinkje bij [b:f1cbe468ad]Select All[/b:f1cbe468ad].
Wil je de door Opera opgeslagen wachtwoorden behouden, dan klik je in het venster dat verschijnt op "No".
Klik op de knop [b:f1cbe468ad]Empty Selected[/b:f1cbe468ad].
Ga naar het tabblad "Main" en klik op de knop [b:f1cbe468ad]Exit[/b:f1cbe468ad] om het programma af te sluiten.
Download Malwarebytes' Anti-Malware via [b:f1cbe468ad]hier[/b:f1cbe468ad] of [b:f1cbe468ad]hier[/b:f1cbe468ad].
Dubbelklik mbam-setup.exe om het programma te installeren.[list:f1cbe468ad]
[*:f1cbe468ad]Zorg ervoor dat er een vinkje geplaatst is voor [b:f1cbe468ad]Update Malwarebytes' Anti-Malware[/b:f1cbe468ad] en [b:f1cbe468ad]Launch Malwarebytes' Anti-Malware[/b:f1cbe468ad], Klik daarna op "finish".
[*:f1cbe468ad]Indien een update gevonden werd, zal het die downloaden en de laatste versie installeren.
[*:f1cbe468ad]Wanneer het programma volledig up to date is, selecteer "[b:f1cbe468ad]Perform Quick Scan[/b:f1cbe468ad]", daarna klik [b:f1cbe468ad]Scan[/b:f1cbe468ad].
[*:f1cbe468ad]Het scannen kan een tijdje duren, dus wees geduldig.
[*:f1cbe468ad]Wanneer de scan voltooid is, klik OK, daarna "Show Results" om de resultaten te zien.
[*:f1cbe468ad]Zorg ervoor dat daar [b:f1cbe468ad]alles aangevinkt is[/b:f1cbe468ad], daarna klik: [b:f1cbe468ad]Remove Selected[/b:f1cbe468ad].
[*:f1cbe468ad]Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie extra nota onderaan)
[*:f1cbe468ad]De log wordt automatisch bewaard door MBAM die je kan zien door de "Logs" tab te klikken in MBAM.
[*:f1cbe468ad]Kopieer en plak de resultaten van de log in je volgend antwoord, samen met een nieuw HijackThislog.
[/list:u:f1cbe468ad]
Extra opmerking:
[b:f1cbe468ad]Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de Computer opnieuw op te starten… dus sta toe dat MBAM de computer opnieuw opstart.[/b:f1cbe468ad]
Herstart de computer en plaats ook een nieuw HJT logje
Plaats de logjes niet in [code:1:f1cbe468ad]code[/code:1:f1cbe468ad] aub. - [quote:b561af3bfa="juisterr"]Volgens mij weer netjes hoor, nog klachten ? [/quote:b561af3bfa] Er zijn nog wel enkele warnings in de Windows Logboeken.
Deze
Type Date Time Source Category Event User Computer
Warning 10-6-2008 20:40:37 EventSystem Firing Agent 4100 N/A CONROE-WIN2000
Warning 10-6-2008 20:40:16 WinMgmt None 35 N/A CONROE-WIN2000
Warning 10-6-2008 20:40:16 WinMgmt None 35 N/A CONROE-WIN2000
En deze
Type Date Time Source Category Event User Computer
Information 10-6-2008 21:03:38 Removable Storage Service None 134 N/A CONROE-WIN2000
Warning 10-6-2008 20:43:35 Dnscache None 11050 N/A CONROE-WIN2000
Information 10-6-2008 20:39:43 Tcpip None 4201 N/A CONROE-WIN2000
Error 10-6-2008 20:39:59 Service Control Manager None 7000 N/A CONROE-WIN2000
Die ATF cleaner instructies heb ik zonder problemen kunnen uitvoeren. Bij het klikken op die 2 links van mbam was er wel iets merkwaardigs. De beide links leken even niet te werken. Pagina kon niet worden getoond. Een paar minuten later werkte deze beide weer wel.
Tijdens de mbam scan sloeg de Commode Firewall Pro alarm over mbam.
CLI application (Command Line Interface) tracht te verbinden met internet. Wat wilt u doen?
Detailes
Toepassing CLI.exe
Op afstand IP : 127.0.0.1 Port : 3010 – TCP
Veiligheidsoverwegingen
C:\Program Files\Malware' Anti-Malware\mbam wijzigde CLI.exe in het geheugen. Dit is een typisch gedrag van Virus, Trojaans paard en spyware.
Mbam log
Malwarebytes' Anti-Malware 1.17
Database versie: 850
21:01:21 12-6-2008
mbam-log-6-12-2008 (21-01-21).txt
Scan type: Snelle Scan
Objecten gescand: 33643
Verstreken tijd: 2 minute(s), 58 second(s)
Geheugenprocessen geïnfecteerd: 0
Geheugenmodulen geïnfecteerd: 0
Registersleutels geïnfecteerd: 2
Registerwaarden geïnfecteerd: 0
Registerdata bestanden geïnfecteerd: 0
Mappen geïnfecteerd: 0
Bestanden geïnfecteerd: 0
Geheugenprocessen geïnfecteerd:
(Geen kwaadaardige items gevonden)
Geheugenmodulen geïnfecteerd:
(Geen kwaadaardige items gevonden)
Registersleutels geïnfecteerd:
HKEY_CLASSES_ROOT\Typelib\{f9fa603d-697c-4900-a950-e54f08324a24} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\nmwegbsf.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
Registerwaarden geïnfecteerd:
(Geen kwaadaardige items gevonden)
Registerdata bestanden geïnfecteerd:
(Geen kwaadaardige items gevonden)
Mappen geïnfecteerd:
(Geen kwaadaardige items gevonden)
Bestanden geïnfecteerd:
(Geen kwaadaardige items gevonden)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:06:38, on 12-6-2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Comodo\Firewall\cmdagent.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINNT\Explorer.EXE
C:\WINNT\Mixer.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\Program Files\Comodo\Firewall\CPF.exe
C:\WINNT\system32\internat.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
04 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\Comodo\Firewall\CPF.exe" /background
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1211911957812
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Program Files\Comodo\Firewall\cmdagent.exe
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
–
End of file - 3498 bytes
Is/was er in de logjes dan niets gerelateerd tot die Trj/Delreg virus van die PC waarop ik die Service Pack sliptreamde met de originele W2K CD. En heb je van die PC nog logjes nodig?
[quote:b561af3bfa="juisterr"]Plaats de logjes niet in Code [/quote:b561af3bfa] Waarom niet eigenlijk? Daarvoor is de Code toch juist voor bedoeld. - Waarom niet, omdat ik dat lastig lezen vind.
Volg de instructies zoals beschreven op de volgende pagina: hoe-dient-combofix-gebruikt-te-worden
Gebruik je Vista, dan hoeft de Recovery Console niet te worden geinstalleerd.
Is er iets niet duidelijk, dan vraag je het.
Als het tooltje klaar is, opent er een logfile (C:\combofix.txt).
Post de inhoud van dit bestandje samen met een nieuwe hijackthislog. - [quote:9bc924df46="juisterr"] Is er iets niet duidelijk, dan vraag je het. [/quote:9bc924df46] Wellicht zou je (deels) kunnen quoten, zodat ik makkelijker kan zien waar je op in gaat. Want een ComboFix van die dual Pentium 3 met die Windows 2000 SP5 (Unofficial) had ik toch al gepost in mijn derde bericht van deze topic. Of is het gebruikelijk deze na mbam nogmaals te draaien?
Of bedoel je deze keer combofix en een nieuwe hijackthislog van die andere in de startposte genoemde PC. Een AthlonXP met XP SP3. De PC waarop ik die W2K had geslipstreamed, en waarop Panda Antivirus + Firewall 2008 dat Trj/Delreg virus vond, en had verwijderd. - Eigenlijk wil ik dus dat je de huidige combofix die je al had gebruikt verwijderd.
Onderstaande werkt alleen als je combofix op je bureaublad hebt staan waar die hoort.
Verwijder ComboFix via [b:49f77e746a]Start[/b:49f77e746a] > [b:49f77e746a]Uitvoeren[/b:49f77e746a], kopiëer en plak [b:49f77e746a]Combofix /U[/b:49f77e746a]
Klik op OK of toets Enter.
Dit verwijdert zowel ComboFix, als je oude systeemherstelpunten (met eventuele restanten van malware), en maakt een nieuw systeemherstelpunt aan.
[img:49f77e746a]http://hicheckthis.gethost.nl/images/Uninstall_combofix.JPG[/img:49f77e746a]
download nu opnieuw de combofix en voer uit wat op de pagina staat.
[code:1:49f77e746a]aub[/code:1:49f77e746a] - [quote:7bcca9772e="juisterr"]Verwijder ComboFix via Start > Uitvoeren, kopiëer en plak Combofix /U [/quote:7bcca9772e] Dat is gelukt zonder fouten.
[quote:7bcca9772e="juisterr"]download nu opnieuw de combofix en voer uit wat op de pagina staat. [/quote:7bcca9772e] Inmiddels ook gedaan. Net zoals de vorige keer verscheen na die Disclaimer venster ook weer die
Confirm
Roughly 1/100 machines failed to make it through the desinfection process!!
Are you sure to do this? Yes No
Ook deze keer begon het scannen, na op yes te hebben geklikt
ComboFix 08-06-11.7 - Joop 13-06-2008 15:28:16.2 - NTFSx86
Microsoft Windows 2000 Professional 5.0.2195.4.1252.1.1033.18.788 [GMT 2:00]
Running from: C:\Documents and Settings\Joop\Desktop\ComboFix.exe
.
((((((((((((((((((((((((( Files Created from 2008-05-13 to 2008-06-13 )))))))))))))))))))))))))))))))
.
2008-06-13 13:12 . 13-06-08 13:12 16,384 –a—-t- C:\WINNT\system32\Perflib_Perfdata_244.dat
2008-06-12 20:23 . 12-06-08 20:23 <DIR> d——– C:\Program Files\Malwarebytes' Anti-Malware
2008-06-12 20:23 . 12-06-08 20:23 <DIR> d——– C:\Documents and Settings\Joop\Application Data\Malwarebytes
2008-06-12 20:23 . 12-06-08 20:23 <DIR> d——– C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-06-12 20:23 . 10-06-08 19:02 34,296 –a—— C:\WINNT\system32\drivers\mbamcatchme.sys
2008-06-12 20:23 . 10-06-08 19:02 15,864 –a—— C:\WINNT\system32\drivers\mbam.sys
2008-06-12 19:33 . 18-04-08 17:55 587,776 –a—— C:\WINNT\system32\WININET.DLL
2008-05-29 20:25 . 29-05-08 20:25 <DIR> d——– C:\Program Files\Lavasoft
2008-05-29 20:25 . 29-05-08 20:27 <DIR> d——– C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-05-29 20:24 . 29-05-08 20:24 <DIR> d——– C:\Program Files\Common Files\Wise Installation Wizard
2008-05-29 19:51 . 29-05-08 19:51 <DIR> d——– C:\Program Files\Trend Micro
2008-05-29 05:57 . 29-05-08 05:57 <DIR> d——– C:\Documents and Settings\Joop\Application Data\Comodo
2008-05-29 05:57 . 29-05-08 05:57 <DIR> d——– C:\Documents and Settings\All Users\Application Data\Comodo
2008-05-29 05:54 . 29-05-08 05:54 <DIR> d——– C:\Program Files\Comodo
2008-05-29 05:46 . 29-05-08 05:46 <DIR> d——– C:\WINNT\system32\Macromed
2008-05-28 21:01 . 28-05-08 21:01 <DIR> d——– C:\Program Files\Alwil Software
2008-05-28 20:11 . 28-05-08 20:11 25 –a—— C:\WINNT\mixerdef.ini
2008-05-28 20:01 . 25-07-03 12:47 145,552 –a—— C:\WINNT\system32\drivers\portcls.sys
2008-05-28 20:01 . 25-07-03 12:47 145,552 –a–c— C:\WINNT\system32\dllcache\portcls.sys
2008-05-28 20:01 . 19-06-03 12:05 21,264 –a—— C:\WINNT\system32\wdmaud.drv
2008-05-27 21:01 . 27-05-08 21:01 <DIR> d–h-c— C:\WINNT\$SQLUninstallMDAC25SP3-KB927779-x86-ENU$
2008-05-27 21:01 . 05-01-07 08:49 22,752 –a—— C:\WINNT\system32\spupdsvc.exe
2008-05-27 20:56 . 27-05-08 20:56 <DIR> d——– C:\WINNT\mui
2008-05-27 20:56 . 27-05-08 20:56 957 –a—— C:\WINNT\setup.inf
2008-05-27 20:56 . 27-05-08 20:56 283 –a—— C:\WINNT\setup.rpt
2008-05-27 20:45 . 27-05-08 20:45 <DIR> d——– C:\Documents and Settings\Joop\Application Data\ATI
2008-05-27 20:40 . 27-05-08 20:40 <DIR> d——– C:\Program Files\Common Files\ATI Technologies
2008-05-27 20:36 . 27-05-08 20:36 <DIR> d——– C:\WINNT\winsxs
2008-05-27 20:36 . 27-05-08 20:36 <DIR> d——– C:\WINNT\PCHEALTH
2008-05-27 20:34 . 27-05-08 20:35 <DIR> d–h—– C:\Program Files\InstallShield Installation Information
2008-05-27 20:34 . 27-05-08 20:41 <DIR> d——– C:\Program Files\ATI Technologies
2008-05-27 20:34 . 02-08-06 17:27 520,192 ——— C:\WINNT\system32\ati2sgag.exe
2008-05-27 20:34 . 02-08-06 12:12 307,200 -ra—— C:\WINNT\system32\atiiiexx.dll
2008-05-27 20:34 . 02-08-06 10:14 133,246 -ra—— C:\WINNT\system32\atiicdxx.dat
2008-05-27 20:34 . 22-06-06 03:02 6,126 -ra—— C:\WINNT\system32\atifglpf.xml
2008-05-27 20:30 . 27-05-08 21:41 <DIR> d——– C:\programs
2008-05-27 20:28 . 27-05-08 20:34 <DIR> d——– C:\Program Files\Common Files\InstallShield
2008-05-27 20:28 . 27-05-08 20:28 <DIR> d——– C:\ATI
2008-05-27 20:13 . 30-07-07 19:19 549,720 –a—— C:\WINNT\system32\wuapi.dll
2008-05-27 20:13 . 30-07-07 19:19 325,976 –a—— C:\WINNT\system32\wucltui.dll
2008-05-27 20:13 . 30-07-07 19:19 43,352 –a—— C:\WINNT\system32\wups2.dll
2008-05-27 20:13 . 30-07-07 19:18 34,136 –a—— C:\WINNT\system32\wucltui.dll.mui
2008-05-27 20:13 . 30-07-07 19:18 33,624 –a—— C:\WINNT\system32\wups.dll
2008-05-27 20:13 . 30-07-07 19:19 25,944 –a—— C:\WINNT\system32\wuaucpl.cpl.mui
2008-05-27 20:13 . 30-07-07 19:19 25,944 –a—— C:\WINNT\system32\wuapi.dll.mui
2008-05-27 20:13 . 30-07-07 19:18 20,312 –a—— C:\WINNT\system32\wuaueng.dll.mui
2008-05-27 20:12 . 27-05-08 20:12 <DIR> d—s—- C:\Documents and Settings\Joop\UserData
2008-05-27 20:11 . 27-05-08 20:11 8,192 –a—— C:\WINNT\REGLOCS.OLD
2008-05-16 11:58 . 16-05-08 11:58 12,632 –a—— C:\WINNT\system32\lsdelete.exe
2008-05-15 20:28 . 10-12-04 08:03 23,536 –a–c— C:\WINNT\system32\dllcache\usbstor.sys
2008-05-15 20:06 . 27-05-08 20:12 <DIR> d——– C:\Documents and Settings\Joop
2008-05-15 20:04 . 12-06-08 21:45 642,052 —h—– C:\WINNT\ShellIconCache
2008-05-15 06:00 . 15-05-08 06:00 973,072 –a—— C:\WINNT\system32\sfcfiles.dll
2008-05-15 06:00 . 15-05-08 06:00 6,234 –a—— C:\WINNT\system32\drivers\viaide.sys
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-15 15:22 ——— d—–w C:\Program Files\microsoft frontpage
2008-05-15 15:21 271 —h–w C:\Program Files\desktop.ini
2008-05-15 15:21 21,952 —h–w C:\Program Files\folder.htt
2008-05-15 15:19 ——— d—–w C:\Program Files\Accessories
2008-05-12 06:49 509,712 —-a-w C:\WINNT\system32\syssetup.dll
2008-05-12 06:49 33,243 —-a-w C:\WINNT\system32\drivers\Ultra.sys
2008-04-30 20:16 1,222,656 —-a-w C:\WINNT\system32\quartz.dll
2008-04-29 09:20 15,648 —-a-w C:\WINNT\system32\drivers\NSDriver.sys
2008-04-29 09:20 14,624 —-a-w C:\WINNT\system32\drivers\AWRTRD.sys
2008-04-29 09:20 12,192 —-a-w C:\WINNT\system32\drivers\AWRTPD.sys
2008-03-27 07:13 151,583 —-a-w C:\WINNT\system32\msjint40.dll
2008-03-27 07:06 355,104 —-a-w C:\WINNT\system32\msxbde40.dll
2008-03-27 07:05 838,432 —-a-w C:\WINNT\system32\mswdat10.dll
2008-03-27 07:05 621,344 —-a-w C:\WINNT\system32\mswstr10.dll
2008-03-27 07:05 264,992 —-a-w C:\WINNT\system32\mstext40.dll
2008-03-27 07:04 559,904 —-a-w C:\WINNT\system32\msrepl40.dll
2008-03-27 07:04 432,928 —-a-w C:\WINNT\system32\msrd2x40.dll
2008-03-27 07:04 322,336 —-a-w C:\WINNT\system32\msrd3x40.dll
2008-03-27 07:03 355,104 —-a-w C:\WINNT\system32\mspbde40.dll
2008-03-27 07:03 248,608 —-a-w C:\WINNT\system32\msjtes40.dll
2008-03-27 07:03 219,936 —-a-w C:\WINNT\system32\msltus40.dll
2008-03-27 07:02 60,192 —-a-w C:\WINNT\system32\msjter40.dll
2008-03-27 07:02 355,112 —-a-w C:\WINNT\system32\msjetoledb40.dll
2008-03-27 07:01 1,516,568 —-a-w C:\WINNT\system32\msjet40.dll
2008-03-27 07:00 518,944 —-a-w C:\WINNT\system32\msexch40.dll
2008-03-27 07:00 326,432 —-a-w C:\WINNT\system32\msexcl40.dll
2008-03-19 09:26 1,644,080 —-a-w C:\WINNT\system32\WIN32K.SYS
2005-01-10 09:37 32,528 —-a-w C:\WINNT\inf\wbfirdma.sys
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [07-12-99 14:00 20752 C:\WINNT\system32\internat.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe" [25-02-05 07:20 111376 C:\WINNT\system32\mobsync.exe]
"ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe" [10-05-06 11:12 90112]
"C-Media Mixer"="Mixer.exe" [15-10-02 18:00 1818624 C:\WINNT\mixer.exe]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [16-05-08 01:19 79224]
"COMODO Firewall Pro"="C:\Program Files\Comodo\Firewall\CPF.exe" [29-05-08 05:54 1115728]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [07-12-99 14:00 20752 C:\WINNT\system32\internat.exe]
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:31:56, on 13-6-2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Comodo\Firewall\cmdagent.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Mixer.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\WINNT\system32\internat.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINNT\explorer.exe
C:\WINNT\system32\notepad.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\Comodo\Firewall\CPF.exe" /background
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1211911957812
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Program Files\Comodo\Firewall\cmdagent.exe
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
–
End of file - 3381 bytes - Ik neem aan dat dat aan het systeem ligt ?
Ik zie geen bedreigingen in je HJT logje, dus de vraag hoe gaat het nu ? - [quote:a56f12d110="juisterr"] Ik zie geen bedreigingen in je HJT logje, dus de vraag hoe gaat het nu ?[/quote:a56f12d110] Behalve de eerder geposte warnings en Errors in de Windows Logboeken, lijkt alles in orde. Maar waren de dingen die je me had laten verwijderen, dan wel gerelateerd aan virus- en/of spyware?[quote:a56f12d110="juisterr"] Ik neem aan dat dat aan het systeem ligt ? [/quote:a56f12d110] Dat wat aan het systeem ligt? Bedoel je die eerder geposte warnings en Errors in de Windows Logboeken? Of bedoel je die Combofix error
[quote:a56f12d110="jolo"]
Confirm
Roughly 1/100 machines failed to make it through the desinfection process!!
Are you sure to do this? Yes No [/quote:a56f12d110]
Juisterr, ieder geval alvast bedankt voor het meedenken. - http://www.castlecops.com/o9list-12.html
plak deze code in het zoekvenster
c95fe080-8f5d-11d2-a20b-00aa003c157a
en deze natuurlijk.
Registersleutels geïnfecteerd:
HKEY_CLASSES_ROOT\Typelib\{f9fa603d-697c-4900-a950-e54f08324a24} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\nmwegbsf.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
ik denk dat combofix zich verslikt in jouw ( met respect ) wat oudere windows. - [quote:ae1ccc73e7="juisterr"] http://www.castlecops.com/o9list-12.html [/quote:ae1ccc73e7] Ik heb wel even die site gezien. Ik zie daar geen zoekvenster. Er staat wel
O9 List of Internet Explorer Extra Buttons
Field Value
CLSID c95fe080-8f5d-11d2-a20b-00aa003c157a
Name Related
Status O
Description Alexa_registry_entry Registry key that creates a menu item that points to a local web page that points to an MSN search page that uses the Alexa engine.
Maar wat de bedoeling daarvan is, is me niet duidelijk. Ik zie dus niet iets waarin ik iets kan inplakken. De site is soms niet bereikbaar. Nu zag ik enig tijd in IE6
The page cannot be displayed.
Need help gaf ook even die melding. Even later gaf deze weer wel info. Het is zo te zien een forum.
Die twee geïnfecteerde registersleutels waren toch al verwijderd door mbam. - Probeer deze link even
http://www.castlecops.com/O9.html
gewoon blijven proberen want die site laad nog langzamer dan deze. - Dan zie ik wel een zoekvenster. Als ik daarin die c95fe080-8f5d-11d2-a20b-00aa003c157a kopieer en plak, zie ik die: Description Alexa_registry_entry Registry key that creates a menu item that points to a local web page that points to an MSN search page that uses the Alexa engine.
Maar op het kopiëren/plakken van die Registersleutel(s) geeft deze geen info. Is dit goed? - Hoe bedoel je precies ?
- Dat het kopiëren/plakken van die geïnfecteerd Registersleutels (of een gedeelte daarvan) in dat zoekvenster van die laatst genoemde link, geen info oplevert. Was dat de bedoeling? Of had er wel uitleg behoren te verschijnen?
- Een korte uitleg met wat het is en eventueel aangevuld met links in het meest rechtervakje.
- [quote:7371fb7be3="juisterr"] Een korte uitleg met wat het is en eventueel aangevuld met links in het meest rechtervakje. [/quote:7371fb7be3] Dat is dan duidelijk. Alleen nog niet waarom je voorstelde die geïnfecteerd Registersleutels in dat zoekvenster van jouw linkje te plakken. Want een druk op de knop search levert geen info.
Beantwoord deze vraag
Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.
