Vraag & Antwoord

Beveiliging & privacy

Antivirus waring / MSA security center

Anoniem
None
10 antwoorden
 • Help!
  Vandaag is mijn PC geïnfecteerd met een heel vervelende malware.
  Na het opstarten verschijnt plotseling een scherm met [b:36420cc1dc] MSA - security Center [/b:36420cc1dc]en die begint mijn PC te scannen en komt met een waslijst valse meldingen. Verder komen er ook steeds Antivirus WARNING schermen. Ik heb malwarebytes anti-malware al geprobeerd, maar die zegt dat mijn PC niet is besmet. Mijn Avast scanner lijkt te zijn gesaboteerd, die doet het niet meer !

  Hier een Hijackthis logje:

  Logfile of Trend Micro HijackThis v2.0.2
  Scan saved at 23:34:13, on 30-8-2008
  Platform: Windows XP SP3 (WinNT 5.01.2600)
  MSIE: Internet Explorer v7.00 (7.00.6000.20861)
  Boot mode: Normal

  Running processes:
  C:\WINDOWS\System32\smss.exe
  C:\WINDOWS\system32\winlogon.exe
  C:\WINDOWS\system32\services.exe
  C:\WINDOWS\system32\lsass.exe
  C:\WINDOWS\system32\svchost.exe
  C:\WINDOWS\System32\svchost.exe
  C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
  C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
  C:\Program Files\Alwil Software\Avast4\ashServ.exe
  C:\WINDOWS\system32\spoolsv.exe
  C:\WINDOWS\Explorer.EXE
  C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
  C:\WINDOWS\eHome\ehRecvr.exe
  C:\WINDOWS\eHome\ehSched.exe
  C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
  C:\WINDOWS\system32\nvsvc32.exe
  C:\WINDOWS\system32\oodag.exe
  C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
  C:\WINDOWS\system32\STacSV.exe
  C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
  C:\WINDOWS\system32\svchost.exe
  C:\WINDOWS\system32\dllhost.exe
  C:\WINDOWS\System32\vssvc.exe
  C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
  C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
  C:\WINDOWS\system32\dllhost.exe
  C:\WINDOWS\system32\RUNDLL32.EXE
  C:\Program Files\SigmaTel\C-Major Audio\WDM\stsystra.exe
  C:\WINDOWS\VistaDrive\VistaDrive.exe
  C:\WINDOWS\ehome\ehtray.exe
  C:\WINDOWS\OEM02Mon.exe
  C:\Program Files\Dell\QuickSet\quickset.exe
  C:\Program Files\Fingerprint Reader Suite\psqltray.exe
  C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
  C:\WINDOWS\eHome\ehmsas.exe
  C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
  C:\WINDOWS\system32\rundll32.exe
  C:\Program Files\MSA\MSA.exe
  C:\WINDOWS\system32\ctfmon.exe
  C:\Program Files\Windows Sidebar\sidebar.exe
  C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
  C:\Program Files\Windows Sidebar\sidebar.exe
  C:\Program Files\Windows Sidebar\sidebar.exe
  C:\Program Files\Mozilla Firefox\firefox.exe
  C:\Program Files\Intel\Wireless\Bin\Dot1XCfg.exe
  C:\WINDOWS\system32\wuauclt.exe
  C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.nl
  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.nl
  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
  R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
  R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
  O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
  O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
  O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
  O4 - HKLM\..\Run: [SigmatelSysTrayApp] %ProgramFiles%\SigmaTel\C-Major Audio\WDM\stsystra.exe
  O4 - HKLM\..\Run: [VistaDrive] C:\WINDOWS\VistaDrive\VistaDrive.exe
  O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
  O4 - HKLM\..\Run: [PSQLLauncher] "C:\Program Files\Fingerprint Reader Suite\launcher.exe" /startup
  O4 - HKLM\..\Run: [OEM02Mon.exe] C:\WINDOWS\OEM02Mon.exe
  O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe
  O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"
  O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
  O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
  O4 - HKLM\..\Run: [Antivirus] C:\Program Files\MSA\MSA.exe
  O4 - HKLM\..\Run: [\VIE2.exe] C:\Windows\System32\VIE2.exe
  O4 - HKLM\..\Run: [\VIE4.exe] C:\Windows\System32\VIE4.exe
  O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
  O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
  O4 - HKCU\..\Run: [\VIE2.exe] C:\Windows\System32\VIE2.exe
  O4 - HKCU\..\Run: [\VIE4.exe] C:\Windows\System32\VIE4.exe
  O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Lokale service')
  O4 - HKUS\S-1-5-19\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'Lokale service')
  O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Netwerkservice')
  O4 - HKUS\S-1-5-20\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'Netwerkservice')
  O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
  O4 - HKUS\S-1-5-18\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SYSTEM')
  O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
  O4 - HKUS\.DEFAULT\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'Default user')
  O4 - Global Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
  O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
  O9 - Extra button: MS-KB - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)
  O9 - Extra 'Tools' menuitem: MS-KB - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)
  O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
  O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
  O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
  O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
  O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
  O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
  O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
  O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
  O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
  O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
  O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
  O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
  O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\WINDOWS\system32\STacSV.exe
  O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
  O24 - Desktop Component AutorunsDisabled: (no name) - (no file)


  End of file - 7418 bytes

  Wie kan mij helpen?[b:36420cc1dc][/b:36420cc1dc]
 • Start Hijackthis op en kies voor 'Do a system scan only'. Selecteer alleen de items hieronder genoemd:

  [b:266422f035]O4 - HKLM\..\Run: [Antivirus] C:\Program Files\MSA\MSA.exe
  O4 - HKLM\..\Run: [\VIE2.exe] C:\Windows\System32\VIE2.exe
  O4 - HKLM\..\Run: [\VIE4.exe] C:\Windows\System32\VIE4.exe
  O4 - HKCU\..\Run: [\VIE2.exe] C:\Windows\System32\VIE2.exe
  O4 - HKCU\..\Run: [\VIE4.exe] C:\Windows\System32\VIE4.exe
  O9 - Extra button: MS-KB - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)
  O9 - Extra 'Tools' menuitem: MS-KB - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)
  O24 - Desktop Component AutorunsDisabled: (no name) - (no file)[/b:266422f035]

  Klik op 'Fix checked' om de items te verwijderen.

  Download [b:266422f035]Combofix[/b:266422f035] hier : http://download.bleepingcomputer.com/sUBs/ComboFix.exe en zet het op je Bureaublad.

  Indien je Combofix al eerder hebt gebruikt, gelieve die versie te verwijderen en Combofix opnieuw te downloaden via bovenstaande link, want Combofix wordt dagelijks geupdate.

  Dubbelklik op Combofix.exe en volg de instructies, aanvaard de disclaimer door y te typen. Tijdens het runnen van de fix, NIET in het venster klikken, want dit zal je pc doen vasthangen.
  Wanneer de fix voltooid is en na herstart, zal de log combofix.txt openen.

  Indien je, tijdens of na het downloaden van Combofix of tijdens het gebruik van Combofix een melding krijgt van je antivirus- of een andere realtime scanner, schakel dan deze scanner uit en download Combofix opnieuw.
  Sommige scanners zien bepaalde componenten die Combofix gebruikt als verdacht en gaan deze blokkeren of verwijderen!

  Hang het log van Combofix aan je volgende bericht, samen met een nieuw log van HJT.
 • Nadat de regels met HJT zijn verwijderd, zijn start de malware gelukkig niet meer! :)
  Hier de logjes:

  ComboFix 08-08-30.03 - Administrator 2008-08-31 11:12:27.2 - NTFSx86
  Microsoft Windows XP Professional 5.1.2600.3.1252.31.1043.18.2504 [GMT 2:00]
  Gestart vanuit: C:\Documents and Settings\Administrator\Bureaublad\ComboFix.exe
  * Nieuw herstelpunt werd aangemaakt

 • Zou je ook eens een actueel logje van Malwarebytes kunnen posten ?
 • Oke!

  Malwarebytes geupdate en een snelle scan gedaan.
  Deze vond 3 infecties:

  Malwarebytes' Anti-Malware 1.25
  Database versie: 1101
  Windows 5.1.2600 Service Pack 3

  11:43:25 31-8-2008
  mbam-log-08-31-2008 (11-43-25).txt

  Scan type: Snelle Scan
  Objecten gescand: 41499
  Verstreken tijd: 2 minute(s), 0 second(s)

  Geheugenprocessen geïnfecteerd: 0
  Geheugenmodulen geïnfecteerd: 0
  Registersleutels geïnfecteerd: 2
  Registerwaarden geïnfecteerd: 0
  Registerdata bestanden geïnfecteerd: 0
  Mappen geïnfecteerd: 0
  Bestanden geïnfecteerd: 1

  Geheugenprocessen geïnfecteerd:
  (Geen kwaadaardige items gevonden)

  Geheugenmodulen geïnfecteerd:
  (Geen kwaadaardige items gevonden)

  Registersleutels geïnfecteerd:
  HKEY_CLASSES_ROOT\lsx (Trojan.FakeAlert) -> Quarantined and deleted successfully.
  HKEY_CLASSES_ROOT\toolie.bho (Trojan.FakeAlert) -> Quarantined and deleted successfully.

  Registerwaarden geïnfecteerd:
  (Geen kwaadaardige items gevonden)

  Registerdata bestanden geïnfecteerd:
  (Geen kwaadaardige items gevonden)

  Mappen geïnfecteerd:
  (Geen kwaadaardige items gevonden)

  Bestanden geïnfecteerd:
  C:\WINDOWS\system32\MSA.cpl (Rogue.MSAntivirus) -> Quarantined and deleted successfully.
 • Dat was wat ik eigenlijk verwachtte. Je laatste logje klopt niet met je eerste bericht dat Malwarebytes op je PC geen besmetting had gevonden. Want die MSA is nu net iets dat MBAM wel opruimt (zoals je nu ook kan zien).

  Je logje van HJT ziet er nu ook goed uit. Blijft de cruciale vraag : heb je nu nog problemen ?
 • Ja het is heel gek dat Malwarebytes gisteren niets had gevonden, mede omdat ik ook een update had gedaan.

  Hier even nog het logje van gisterenavond :

  Malwarebytes' Anti-Malware 1.25
  Database versie: 1062
  Windows 5.1.2600 Service Pack 3

  23:26:07 30-8-2008
  mbam-log-08-30-2008 (23-26-07).txt

  Scan type: Volledige Scan (C:\|D:\|E:\|)
  Objecten gescand: 154583
  Verstreken tijd: 19 minute(s), 3 second(s)

  Geheugenprocessen geïnfecteerd: 0
  Geheugenmodulen geïnfecteerd: 0
  Registersleutels geïnfecteerd: 0
  Registerwaarden geïnfecteerd: 0
  Registerdata bestanden geïnfecteerd: 0
  Mappen geïnfecteerd: 0
  Bestanden geïnfecteerd: 0

  Geheugenprocessen geïnfecteerd:
  (Geen kwaadaardige items gevonden)

  Geheugenmodulen geïnfecteerd:
  (Geen kwaadaardige items gevonden)

  Registersleutels geïnfecteerd:
  (Geen kwaadaardige items gevonden)

  Registerwaarden geïnfecteerd:
  (Geen kwaadaardige items gevonden)

  Registerdata bestanden geïnfecteerd:
  (Geen kwaadaardige items gevonden)

  Mappen geïnfecteerd:
  (Geen kwaadaardige items gevonden)

  Bestanden geïnfecteerd:
  (Geen kwaadaardige items gevonden)

  ====================================

  De problemen lijken nu te zijn opgelost!
  Met welk programma kan ik het beste in het vervolg dergelijke infecties blokkeren?
  Ik denk hierbij aan Spybot S&D en aanverwanten.

  Hartelijk dank voor de snelle service !

  Groet, Emiel
 • Problemen van de baan, dan is het tijd voor de “grote schoonmaak” : verwijderen van gebruikte programma’s, een cleaning en het verwijderen van de besmette herstelpunten. En je JAVA kan een update gebruiken.

  Verwijder Combofix: Start -> Uitvoeren en typ: combofix /u
  Dit zal Combofix verwijderen + gerelateerde mappen en bestanden, herstelt de klokinstellingen opnieuw, verbergt de bestandsextensies, gaat verborgen bestanden en systeembestanden terug verbergen en maakt een nieuw herstelpunt.

  Download CCleaner hier :
  http://www.majorgeeks.com/download4191.html

  Installeer het en start CCleaner op. Klik in de linkse kolom op “Cleaner”. Klik achtereenvolgens op ‘Analyseren’ en 'Opschonen'. Klik vervolgens in de linkse kolom op “Register” en klik op ‘Scan naar problemen”. Als er fouten gevonden worden klik je op ”Herstel geselecteerde problemen” en ”OK”. Dan krijg je de vraag om een back-up te maken. Klik op “JA”. Kies dan “Herstel alle geselecteerde fouten”. Sluit hierna CCleaner terug af.

  Het is aangewezen om de bestaande herstelpunten te verwijderen (daar zitten besmette herstelpunten tussen die je eventueel zou kunnen terugzetten) door systeemherstel tijdelijk uit te schakelen. Doe dit via Start -> Configuratiescherm -> Systeem -> Systeemherstel -> "Systeemherstel op alle stations uitschakelen" aanvinken. Toepassen en OK. PC herstarten en het vinkje terug weg halen.

  Je Java software is verouderd.
  Oudere versies hebben lekken die malware de kans geeft om zich te installeren op je systeem.
  Doe eerst deze stappen om Java te de-installeren en de nieuwere versie te installeren:

  Download Java Runtime Environment (JRE) 6u7 hier : http://java.sun.com/javase/downloads/index.jsp

  • Scroll omlaag naar : "Java Runtime Environment (JRE) 6u7".
  • Klik op de "Download" knop aan de rechterkant.
  • In het uitklapmenu rechts naast Platform, selecteer Windows
  • Vink aan: "I agree to the Java SE Runtime Environment 6 License Agreement", en klik op Continue.
  • De pagina zal herladen.
  • Klik op de jre-6u6-windows-i586-p.exe link ONDER Windows Offline Installation en bewaar het naar je Bureaublad.
  • Sluit alle programma's die eventueel open zijn, zeker je webbrowser.
  • Ga dan naar Start > Configuratiescherm > Software en verwijder alle oudere versies van Java uit de Softwarelijst.
  • Vink alles aan met Java (JRE of J2SE of Java™ 6 update 1 t.e.m.6) in de naam.
  • Klik dan op Verwijderen of op de Wijzig/Verwijder knop.
  • Herhaal dit tot alle oudere versies verdwenen zijn.
  • Na het verwijderen van alle oudere versies, herstart je pc.
  • Dubbelklik vervolgens op jre-6u7-windows-i586-p.exe op je Bureaublad om de nieuwste versie van Java te installeren.

  En voor de bestrijding van spyware ben ik persoonlijk nogal voorstander van een combinatie van Spywareblaster, AdAware en Spybot. Maar daar zullen ongetwijfeld verschillende meningen over bestaan.

  That’s it !
 • Alles gedaan!

  Top ! Hartelijk dank ! :D :wink:
 • Er is nog wel een probleem aan het licht gekomen, Avast home edition is niet meer actief, ik zal hem even opnieuw installeren.

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.