Vraag & Antwoord
Soort virus ofzo..? hulp nodig
12 antwoorden
- Hallo,
Ik heb nu sinds denk ik een paar weken erg last van een aantal dingen en ik heb het idee dat het erger word. Ik heb last van meerdere dingen
- Ik heb een soort screensaver met waarschuwing, mijn scherm word na ong. 10 minuten niks doen blauw met een hele grote boodschap over dat er mischien een fout bestand ergens zit. dat blauwe scherm blijft zo'n 10 seconde en dan springt het over naar het "Windows laad-scherm" wat je ook altijd hebt als je m opstart. dat laad-scherm en het blauwe(soms ook roze vooraf) scherm wisselen zich steeds af. Ik kan ten alle tijden op een toest drukken waardoor ik door kan gaan waarmee ik bezig was.
- Ook is internet ENORM traag en komt het ook heel vaak voor dat de site drie keer aangeeft het niet te doen voordat hij het eindelijk doet. sommige sites doen het zelfs helemaal niet, bij download.microsoft.com doet het niet. Ik wilde Ad-Aware downloaden maar dat kon dus niet. Uiteindelijk via een andere site wel gelukt maar als ik een scan start, start me pc tijdens de scan na 30 sec. opnieuw op.
- Ook is google heel vervelend. Als ik op een link bij google klik krijg ik niet de site die ernoder staat maar gaat ie naar een hele andere site(willekeurig) maar volgens mij zit er wel een verband tussen de site waar ik op klik en waar die vervolgens naar toe gaat.
Ik moet dus copy/paste doen i.p.v gewoon op die link te klikken.
Als iemand gelijk ziet wat er aan de hand is of als iemand mij kan helpen met dit probleem zou het echt heel fijn zijn.
Groeten - hoi,
Om goed te kijken wat het probleem is, moet je onderstaande stap nemen.
Download Trend Micro Hijack This
Dubbelklik op HJTInstall.exe
Hijackthis wordt nu op je PC geïnstalleerd, een snel koppeling wordt op je bureaublad geplaatst
HijackThis zal openen na het installeren.
Klik op "Do a systemscan and save a logfile".
Er opent een Kladblok venster, houd gelijkt tijdig de CTRL en A toets ingedrukt, nu is alles geselecteerd.
Houd gelijkt tijdig de CTRL en C toets ingedrukt, nu is alles gekopieerd.
Wil je dit logje als antwoord zetten zodat we je verder kunnen helpen.
Roelof - Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:00:47, on 12-9-2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal
Running processes:
J:\WINDOWS\system32\csrss.exe
J:\WINDOWS\system32\winlogon.exe
J:\WINDOWS\system32\services.exe
J:\WINDOWS\system32\lsass.exe
J:\WINDOWS\system32\svchost.exe
J:\WINDOWS\system32\svchost.exe
J:\WINDOWS\System32\svchost.exe
J:\WINDOWS\system32\svchost.exe
J:\WINDOWS\system32\svchost.exe
J:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
J:\WINDOWS\Explorer.EXE
J:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
J:\WINDOWS\SOUNDMAN.EXE
J:\Program Files\iTunes\iTunesHelper.exe
J:\Program Files\Spyware Doctor\pctsTray.exe
J:\WINDOWS\system32\RUNDLL32.EXE
J:\Program Files\Sitecom\Sitecom WL-151 Wireless LAN Card\Installer\WLANUTL.exe
J:\WINDOWS\system32\spoolsv.exe
J:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
J:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe
J:\Program Files\Belkin\Belkin Wireless Network Utility\WLanCfgG.exe
J:\Program Files\Bonjour\mDNSResponder.exe
J:\Program Files\Eset\nod32krn.exe
J:\WINDOWS\system32\nvsvc32.exe
J:\WINDOWS\system32\PnkBstrA.exe
J:\WINDOWS\system32\wdfmgr.exe
J:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
J:\Program Files\iPod\bin\iPodService.exe
J:\WINDOWS\System32\alg.exe
C:\Program Files\Mozilla Firefox\firefox.exe
J:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Internet Explorer\Iexplore.exe
J:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - J:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - J:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - J:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Aanmelden - Help - {9030D464-4C02-4ABF-8ECC-5164760863C6} - J:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "J:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE J:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] J:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AXIS TONS THE MP3] J:\Documents and Settings\All Users\Application Data\Readme Live Axis Tons\soft city.exe
O4 - HKLM\..\Run: [QuickTime Task] "J:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "J:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [lphcl2mj0etfc] J:\WINDOWS\system32\lphcl2mj0etfc.exe
O4 - HKLM\..\Run: [J:\WINDOWS\system32\kdxhp.exe] J:\WINDOWS\system32\kdxhp.exe
O4 - HKLM\..\Run: [ISTray] "J:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE J:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [sysrest32.exe] J:\WINDOWS\system32\sysrest32.exe
O4 - HKLM\..\Run: [Hitman Pro Expiration Helper] "J:\Program Files\Hitman Pro\xphelper.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [iexplorer] J:\WINDOWS\iexplorer.exe –system
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] J:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = J:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Sitecom Wireless Utility.lnk = J:\Program Files\Sitecom\Sitecom WL-151 Wireless LAN Card\Installer\WLANUTL.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - J:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - J:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - J:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - J:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - J:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - J:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O21 - SSODL: wGzjrQPm - {98FEEA1C-3254-40B6-A758-42F8961577E0} - J:\WINDOWS\system32\glr.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - J:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - J:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Belkin Wireless USB Network Adapter (Belkin Wireless USB Network Adapter Service) - Unknown owner - J:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe
O23 - Service: Bonjour-service (Bonjour Service) - Apple Inc. - J:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: iPod-service (iPod Service) - Apple Inc. - J:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NOD32 Kernel Service (nod32krn) - Eset - J:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - J:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - J:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - J:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - J:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: Webroot Spy Sweeper Engine (WebrootSpySweeperService) - Webroot Software, Inc. - J:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
–
End of file - 7199 bytes - Hoi,
JE bent aardig besmet maar dit varkentje wassen we ook wel.
1)Download LOP-uninstall.exe
Voer bij "Uninstall verification" de zevencijferige code in en klik "Uninstall"
Klik bij "Legal notice" OK
Sluit alle vensters en klik OK
Wacht …….en klik bij "Uninstall complete for all users" OK.
2) Download dit bestand:
Deljob.exe[(mirror)
Plaats het op je bureaublad.
Dubbelklik Deljob.exe.
Een logje(logit.txt) zal openen, het bestandje kan je ook terugvinden op je bureaublad.
Post de inhoud van logit.txt in je volgende bericht.
3)Download [b:791b1bf76f] en sla het op je bureaublad op.
Dubbelklik op [b:791b1bf76f]mbam-setup.exe[/b:791b1bf76f] om het programma te installeren.
Zorg dat er na de installatie een vinkje is geplaatst bij:[list:791b1bf76f][*:791b1bf76f]Update MalwareBytes' Anti-Malware
[*:791b1bf76f]Start MalwareBytes' Anti-Malware
[/list:u:791b1bf76f]Klik daarna op "[b:791b1bf76f]Voltooien[/b:791b1bf76f]".
Indien een update gevonden wordt, zal die gedownload en geïnstalleerd worden.[list:791b1bf76f][*:791b1bf76f]Zodra het programma gestart is, ga dan naar het tabblad "[b:791b1bf76f]Instellingen[/b:791b1bf76f]".
[*:791b1bf76f]Vink hier aan: "[b:791b1bf76f]Sluit Internet Explorer tijdens verwijdering van malware[/b:791b1bf76f]".
[*:791b1bf76f]Ga daarna naar het tabblad "[b:791b1bf76f]Scanner[/b:791b1bf76f]", kies hier voor "[b:791b1bf76f]Snelle Scan[/b:791b1bf76f]".
[*:791b1bf76f]Druk vervolgens op "[b:791b1bf76f]Scannen[/b:791b1bf76f]" om de scan te starten.
[*:791b1bf76f]Het scannen kan een tijdje duren, dus wees geduldig.
[*:791b1bf76f]Wanneer de scan voltooid is, klik op [b:791b1bf76f]OK[/b:791b1bf76f], daarna "[b:791b1bf76f]Bekijk Resultaten[/b:791b1bf76f]" om de resultaten te zien.
[*:791b1bf76f]Zorg ervoor dat daar alles aangevinkt is, daarna klik op: "[b:791b1bf76f]Verwijder geselecteerde[/b:791b1bf76f]".
[*:791b1bf76f]Na het verwijderen zal een log openen, indien er gevraagd wordt om je computer te herstarten moet je dit toestaan.
Dit is namelijk noodzakelijk om sommige infecties te kunnen verwijderen
[/list:u:791b1bf76f]Het log wordt automatisch bewaard door MalwareBytes' Anti-Malware en kan je terugvinden door op de "[b:791b1bf76f]Logs[/b:791b1bf76f]" tab te klikken in het programma. Post dit logje in je volgende reactie.
4)Volg deze instructies om Combofix te downloaden. Is er iets niet duidelijk, dan vraag je het.
Voer de instructies op de BleepingComputer pagina uit, [b:791b1bf76f]inclusief het installeren van de XP Recovery Console[/b:791b1bf76f].
Indien je combofix al eerder gebruikt hebt en de recovery console al geïnstalleerd hebt mag je die stap overslaan.
[b:791b1bf76f]OPMERKING[/b:791b1bf76f]:
Indien je, tijdens of na het downloaden van Combofix of tijdens het gebruik van Combofix een melding krijgt van je Antivirus- of een andere realtime scanner,
[b:791b1bf76f]schakel dan deze scanner uit[/b:791b1bf76f] en download Combofix opnieuw.
Sommige scanners zien bepaalde componenten die Combofix gebruikt als verdacht en gaan deze blokkeren of verwijderen!
Dubbelklik op Combofix.exe, als Combofix aangeeft dat er een nieuwere versie beschikbaar is, dan sta je toe dat deze gedownload wordt.
Volg de instructies en aanvaard de disclaimer.
Tijdens het runnen van de fix, [b:791b1bf76f]NIET[/b:791b1bf76f] in het venster klikken, want dit zal je pc doen vasthangen.
Wanneer de fix voltooid is en na herstart, zal de log [b:791b1bf76f]Combofix.txt[/b:791b1bf76f] openen.
Post de inhoud van dit bestandje samen met een nieuwe hijackthislog.
5) Mag ik de logjes van Deljob, MBAM en Combofix van je.
Groetjes, - ——————————————————–
Backups created in C:\deljob
AED5C115956675E9.job
——————————————————–
Files in Windows Tasks folder
AppleSoftwareUpdate.job
Norton Security Scan.job
——————————————————–
Export App Data folders
——————————————————–
Het volume in station J heeft geen naam.
Het volumenummer is C0B4-41E2
Map van J:\Documents and Settings\Joris Vroonland\Application Data
06-09-2008 15:29 <DIR> .
06-09-2008 15:29 <DIR> ..
02-07-2008 19:28 <DIR> Adobe
16-01-2008 17:58 <DIR> AdobeUM
08-07-2008 17:56 <DIR> APPLEC~1 Apple Computer
29-03-2008 13:49 <DIR> Azureus
26-07-2008 15:23 <DIR> dvdcss
29-11-2007 14:55 <DIR> Google
09-11-2007 17:04 <DIR> IDENTI~1 Identities
22-11-2007 16:18 <DIR> Lavasoft
09-01-2008 16:57 <DIR> MACROM~1 Macromedia
12-08-2008 19:25 <DIR> MICROS~1 Microsoft
31-08-2008 18:39 <DIR> Mozilla
09-08-2008 22:24 <DIR> PCTOOL~1 PC Tools
11-05-2008 15:57 <DIR> PROPEL~1 Propellerhead Software
06-09-2008 15:29 <DIR> Samsung
10-08-2008 14:55 <DIR> SecuROM
09-11-2007 16:55 <DIR> Sun
26-07-2008 14:42 <DIR> SYSTEM~1 SystemRequirementsLab
01-12-2007 16:37 <DIR> TEAMSP~1 teamspeak2
16-11-2007 15:36 <DIR> Ventrilo
13-11-2007 12:58 <DIR> vlc
09-08-2008 22:23 <DIR> Webroot
16-11-2007 15:31 <DIR> WinRAR
05-08-2008 02:54 <DIR> Xfire
0 bestand(en) 0 bytes
25 map(pen) 39.017.046.016 bytes beschikbaar
Het volume in station J heeft geen naam.
Het volumenummer is C0B4-41E2
Map van J:\Documents and Settings\All Users\Application Data
12-09-2008 15:22 <DIR> .
12-09-2008 15:22 <DIR> ..
09-11-2007 19:12 <DIR> Adobe
04-12-2007 23:25 <DIR> Apple
04-12-2007 23:27 <DIR> APPLEC~1 Apple Computer
27-02-2008 13:54 <DIR> Azureus
18-01-2008 19:32 <DIR> DVDSHR~1 DVD Shrink
10-09-2008 21:39 <DIR> Lavasoft
10-09-2008 21:38 <DIR> MICROS~1 Microsoft
18-01-2008 18:20 <DIR> NVIEW_~1 nView_Profiles
12-08-2008 19:21 <DIR> PCDRIV~1 PC Drivers Headquarters
09-08-2008 22:21 <DIR> Prevx
11-05-2008 15:56 <DIR> PROPEL~1 Propellerhead Software
22-11-2007 16:16 <DIR> SALESM~1 SalesMonitor
22-11-2007 16:16 <DIR> SCHIJF~1 schijfbewaker
10-09-2008 16:02 <DIR> SPYBOT~1 Spybot - Search & Destroy
12-09-2008 11:37 <DIR> TEMP
01-07-2008 19:39 <DIR> TRACKM~1 TrackMania
09-08-2008 22:23 <DIR> Webroot
02-03-2008 22:44 <DIR> WLINST~1 WLInstaller
0 bestand(en) 0 bytes
20 map(pen) 39.017.046.016 bytes beschikbaar
——————————————————–
All User Accounts
——————————————————–
All Users
Joris Vroonland
——————————————————–
Malwarebytes' Anti-Malware 1.28
Database versie: 1142
Windows 5.1.2600 Service Pack 2
12-9-2008 15:38:17
mbam-log-2008-09-12 (15-38-17).txt
Scan type: Snelle Scan
Objecten gescand: 49866
Verstreken tijd: 6 minute(s), 34 second(s)
Geheugenprocessen geïnfecteerd: 0
Geheugenmodulen geïnfecteerd: 0
Registersleutels geïnfecteerd: 7
Registerwaarden geïnfecteerd: 3
Registerdata bestanden geïnfecteerd: 4
Mappen geïnfecteerd: 3
Bestanden geïnfecteerd: 34
Geheugenprocessen geïnfecteerd:
(Geen kwaadaardige items gevonden)
Geheugenmodulen geïnfecteerd:
(Geen kwaadaardige items gevonden)
Registersleutels geïnfecteerd:
HKEY_CLASSES_ROOT\CLSID\{773b1aad-a8dd-4010-a903-cdb32938f595} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{ea3775f2-28be-11d3-9c8d-00105a24ed29} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\divocodec_is1 (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\WakeNet (Trojan.Adware) -> Quarantined and deleted successfully.
Registerwaarden geïnfecteerd:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysrest32.exe (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphcl2mj0etfc (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\iexplorer (Trojan.Agent) -> Quarantined and deleted successfully.
Registerdata bestanden geïnfecteerd:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System (Rootkit.DNSChanger.H) -> Data: kdxhp.exe -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\regfile\shell\open\command\ (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1"Good: (regedit.exe "%1"
-> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Mappen geïnfecteerd:
J:\Documents and Settings\All Users\Application Data\SalesMonitor (Rogue.Multiple) -> Quarantined and deleted successfully.
J:\Documents and Settings\All Users\Application Data\SalesMonitor\Data (Rogue.Multiple) -> Quarantined and deleted successfully.
J:\Program Files\DivoCodec (Trojan.Downloader) -> Quarantined and deleted successfully.
Bestanden geïnfecteerd:
J:\WINDOWS\system32\kdxhp.exe (Rootkit.DNSChanger.H) -> Delete on reboot.
J:\Program Files\DivoCodec\WakeSplitter.ax (Trojan.Agent) -> Quarantined and deleted successfully.
J:\WINDOWS\system32\wpx20.cpx (Spyware.Passwords) -> Quarantined and deleted successfully.
J:\Documents and Settings\Joris Vroonland\Local Settings\Temp\rsyncini.exe (Trojan.Shutdowner) -> Quarantined and deleted successfully.
J:\Program Files\DivoCodec\minime.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
J:\Program Files\DivoCodec\settings.stp (Trojan.Downloader) -> Quarantined and deleted successfully.
J:\Program Files\DivoCodec\unins000.dat (Trojan.Downloader) -> Quarantined and deleted successfully.
J:\Program Files\DivoCodec\unins000.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
J:\Program Files\DivoCodec\WakeService.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
J:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> Delete on reboot.
J:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> Delete on reboot.
J:\WINDOWS\system32\tdssserf.dll (Trojan.Agent) -> Delete on reboot.
J:\WINDOWS\system32\tdssmain.dll (Trojan.Agent) -> Delete on reboot.
J:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> Delete on reboot.
J:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> Delete on reboot.
J:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> Delete on reboot.
J:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> Delete on reboot.
J:\WINDOWS\system32\phcl2mj0etfc.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
J:\Documents and Settings\Joris Vroonland\Local Settings\Temp\.tt1.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
J:\Documents and Settings\Joris Vroonland\Local Settings\Temp\.tt2.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
J:\Documents and Settings\Joris Vroonland\Local Settings\Temp\.tt3.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
J:\Documents and Settings\Joris Vroonland\Local Settings\Temp\.tt4.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
J:\Documents and Settings\Joris Vroonland\Local Settings\Temp\.tt5.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
J:\Documents and Settings\Joris Vroonland\Local Settings\Temp\.tt6.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
J:\Documents and Settings\Joris Vroonland\Local Settings\Temp\.tt7.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
J:\Documents and Settings\Joris Vroonland\Local Settings\Temp\.tt8.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
J:\Documents and Settings\Joris Vroonland\Local Settings\Temp\.tt9.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
J:\Documents and Settings\Joris Vroonland\Local Settings\Temp\.ttA.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
J:\Documents and Settings\Joris Vroonland\Local Settings\Temp\.ttB.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
J:\Documents and Settings\Joris Vroonland\Local Settings\Temp\.ttC.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
J:\Documents and Settings\Joris Vroonland\Local Settings\Temp\.ttD.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
J:\Documents and Settings\Joris Vroonland\Local Settings\Temp\.ttF.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
J:\Documents and Settings\Joris Vroonland\Local Settings\Temp\bndE.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
J:\Documents and Settings\Joris Vroonland\Local Settings\Temp\gosE.tmp (Dialer) -> Quarantined and deleted successfully. - De Combofix wilde ik eerst even overleggen want daar was ik niet helemaal zeker van. Dit bericht kwam ik tegen:
-Aangezien ComboFix een krachtige tool is wordt het ten sterkste afgeraden om ComboFix te gebruiken zonder toezicht van een ervaren Analyst.
Ik weet ook niet echt wat dat XP recovery console inhoud maar ik wil niet straks mijn hele pc restarten en recoveren waarna mijn bestanden verloren gaan. Ik denk niet dat dat zo zal gaan maar ik wilde het eerst even zeker stellen en overleggen voor ik volgende stappen onderneem.
Groeten - Hoi,
Ik ben een ervaren Analyst. Heb via verschillende fora dit geleerd.
De recovery console is ervoor bedoeld dat als malware zo veel kapot maakt dat je XP niet meer kunt opstarten, kunnen we via de console je Xp reparen. Je raakt geen instellingen of bestanden kwijt of je moet op eigen houtje zaken doen.
Groetjes,
Roelof - ComboFix 08-09-10.04 - Joris Vroonland 2008-09-12 16:08:56.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1043.18.1141 [GMT 2:00]
Gestart vanuit: J:\Documents and Settings\Joris Vroonland\Downloads Map\ComboFix.exe
* Nieuw herstelpunt werd aangemaakt - De recovery console sloeg die totaal over..
Hij begon vrijwel direct met de scan en het leek mij niet verstandig om die af te sluiten.
Ik heb ook mijn HijackThis log erbij gezet(nieuwe) en ik merk nu al dat mijn computer veel sneller is. Mijn internetsnelheid is in ieder geval weer de oude.
Als er nog iets is wat ik moet weten hoor ik het graag. Je hebt me in ieder geval heel erg geholpen al. Hartelijk dank daarvoor.
Groeten - Hoi,
Scan het volgende bestand bij Jotti: http://virusscan.jotti.org/
J:\WINDOWS\System32\glr.dll
Post het resultaat aub
Groetjes,
Roelof - hij deed een beetje raar en ik weet ook niet of dit het goede is maarja:
Scanner Malware name
A-Squared X
AntiVir X
ArcaVir X
Avast Win32:KeyLogger-RG
AVG Antivirus X
BitDefender X
ClamAV X
CPsecure X
Dr.Web X
F-Prot Antivirus X
F-Secure Anti-Virus X
Ikarus Virus.Win32.KeyLogger.RG
Kaspersky Anti-Virus X
NOD32 X
Norman Virus Control X
Panda Antivirus X
Sophos Antivirus X
VirusBuster X
VBA32 X - oke,
Voor de zekerheid gaan we eens een andere scanner gebruiken.
Ga eens naar http://www.virustotal.com
Plak daar in de balk naast bladeren het volgende:
[b:5f1516baa2]
J:\WINDOWS\System32\glr.dll
[/b:5f1516baa2]
Druk daarna op "Bestand verzenden" en wacht de resultaten af.
Bewaar deze resultaten
Kun je me deze resultaten in het volgende antwoord zetten.
Roelof
Beantwoord deze vraag
Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.