Vraag & Antwoord

Beveiliging & privacy

resycled/boot.com

Anoniem
None
11 antwoorden
 • Hallo,

  Als nieuwe gebruiker van dit forum weet ik niet of ik mijn vraag op de juiste plaats stel, ik hoop wel dat dit het geval is. Ik heb namelijk voor het eerst in jaren te maken met een besmetting van mijn computer in de vorm van: resycled/boot.com
  Als ik dit bestand verwijder dan kan ik mijn schijven alleen nog maar benaderen via de verkenner maar niet meer via mijn computer. Ik krijg dan de melding: boot.com is geen geldige Windows 32 toepassing. Deze melding krijg ik bij mijn beide fysieke harde schijven C en D.
  Op deze site lees ik dat er m.b.t. eenzelfde probleem een advies is gegeven aan de hand van een hijackthis.log. Ik ben daarom maar zo vrij om mijn hijack.log hier ter plaatsen in de hoop dat er iemand is die mij een advies kan en wil geven.

  Logfile of Trend Micro HijackThis v2.0.2
  Scan saved at 2:31:05, on 9-10-2008
  Platform: Windows XP SP3 (WinNT 5.01.2600)
  MSIE: Internet Explorer v8.00 (8.00.6001.18241)
  Boot mode: Normal

  Running processes:
  C:\WINDOWS\system32\csrss.exe
  C:\WINDOWS\system32\winlogon.exe
  C:\WINDOWS\system32\services.exe
  C:\WINDOWS\system32\lsass.exe
  C:\WINDOWS\system32\svchost.exe
  C:\WINDOWS\system32\Ati2evxx.exe
  C:\WINDOWS\system32\svchost.exe
  C:\WINDOWS\system32\svchost.exe
  C:\WINDOWS\System32\svchost.exe
  C:\WINDOWS\system32\svchost.exe
  C:\WINDOWS\system32\svchost.exe
  C:\WINDOWS\system32\Ati2evxx.exe
  C:\WINDOWS\Explorer.EXE
  C:\Tools\Daemon\daemon.exe
  C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
  C:\Program Files\Mouse\Amoumain.exe
  C:\Tools\TaskPlus\taskplus0.exe
  C:\Program Files\PaperPort\pptd40nt.exe
  C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
  C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe
  C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe
  C:\Tools\TaskSwitchXP\TaskSwitchXP.exe
  C:\WINDOWS\system32\ctfmon.exe
  C:\Documents and Settings\Herman\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
  C:\Tools\Printscreen\HoverSnap.exe
  C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
  C:\Program Files\Common Files\LightScribe\LSSrvc.exe
  C:\WINDOWS\system32\svchost.exe
  C:\WINDOWS\system32\Fast.exe
  C:\WINDOWS\system32\spoolsv.exe
  C:\WINDOWS\TEMP\tempo-8F.tmp
  C:\WINDOWS\System32\alg.exe
  C:\WINDOWS\system32\wbem\wmiprvse.exe
  C:\Tools\Trend Micro\HijackThis\HijackThis.exe

  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
  R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
  R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
  R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
  O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Tools\Daemon\daemon.exe" -lang 1033
  O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
  O4 - HKLM\..\Run: [WheelMouse] C:\Program Files\Mouse\Amoumain.exe
  O4 - HKLM\..\Run: [TaskPlus] C:\Tools\TaskPlus\taskplus0.exe
  O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
  O4 - HKLM\..\Run: [PaperPort PTD] "C:\Program Files\PaperPort\pptd40nt.exe"
  O4 - HKLM\..\Run: [IndexSearch] "C:\Program Files\PaperPort\IndexSearch.exe"
  O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
  O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe
  O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe"
  O4 - HKLM\..\Run: [C:\WINDOWS\system32\kdyys.exe] C:\WINDOWS\system32\kdyys.exe
  O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
  O4 - HKCU\..\Run: [TaskSwitchXP] C:\Tools\TaskSwitchXP\TaskSwitchXP.exe
  O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
  O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Herman\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
  O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Lokale service')
  O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Netwerkservice')
  O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
  O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
  O4 - Global Startup: HoverSnap.lnk = C:\Tools\Printscreen\HoverSnap.exe
  O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
  O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
  O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
  O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Tools\ACTIVE~1\INetRepl.dll
  O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Tools\ACTIVE~1\INetRepl.dll
  O9 - Extra 'Tools' menuitem: Mobiele favorieten maken - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Tools\ACTIVE~1\INetRepl.dll
  O9 - Extra button: Xstream Radio - {7A0815F1-6B65-4e3a-B198-709807B4042A} - C:\Tools\XstreamRadio 3.02\RadioHelper.dll
  O9 - Extra 'Tools' menuitem: Xstream Radio - {7A0815F1-6B65-4e3a-B198-709807B4042A} - C:\Tools\XstreamRadio 3.02\RadioHelper.dll
  O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
  O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
  O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
  O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\ServicePackFiles\i386\msmsgs.exe
  O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\ServicePackFiles\i386\msmsgs.exe
  O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
  O12 - Plugin for .UVR: C:\Program Files\Internet Explorer\Plugins\NPUPano.dll
  O16 - DPF: {0D6709DD-4ED8-40CA-B459-2757AEEF7BEE} (Dldrv2 Control) - http://download.gigabyte.com.tw/object/Dldrv.ocx
  O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1167236685546
  O17 - HKLM\System\CCS\Services\Tcpip\..\{584F3C1F-3156-4A60-9312-18E4D84F7B1C}: NameServer = 85.255.116.162,85.255.112.110
  O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
  O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) - Acronis - (no file)
  O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
  O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
  O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
  O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Tools\Sandra Lite XIb\Win32\RpcDataSrv.exe
  O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Tools\Sandra Lite XIb\RpcSandraSrv.exe
  O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe


  End of file - 7180 bytes

  Uiteraard ben ik zeer benieuwd naar een reactie.

  M.v.g.
  Hefrel
 • Start Hijackthis op en kies voor 'Do a system scan only'. Selecteer alleen de items hieronder genoemd:

  [b:c7fcfc0043]R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
  O17 - HKLM\System\CCS\Services\Tcpip\..\{584F3C1F-3156-4A60-9312-18E4D84F7B1C}: NameServer = 85.255.116.162,85.255.112.110[/b:c7fcfc0043]

  Klik op 'Fix checked' om de items te verwijderen.

  Download [b:c7fcfc0043]MBAM (Malwarebytes' Anti-Malware)[/b:c7fcfc0043] hier :
  http://www.besttechie.net/tools/mbam-setup.exe

  Dubbelklik op mbam-setup.exe om het programma te installeren.

  Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien".
  Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden.
  Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan.
  Het scannen kan een tijdje duren, dus wees geduldig.
  Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien.
  Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde.
  Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder)
  De log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in MBAM.

  Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken.
  Daarna zal het vragen om de computer opnieuw op te starten… dus sta toe dat MBAM de computer opnieuw opstart.

  Plak de inhoud van het logje in je volgende bericht, samen met een nieuw HijackThis log.
 • Goedemorgen,

  Hartelijk dank voor de snelle reactie op mijn topic. Ik heb de adviezen opgevolgd zoals omschreven. Na het uitvoeren van de genoemde programma's geprobeerd de C en D schijf via "Mijn computer" te benaderen alsmede via een snelkoppeling op het bureaublad. Schijven laten zich niet benaderen en ik krijg de volgende melding: Windows kan het bestand resycled\boot.com niet vinden.

  Alvast vriendelijk bedankt voor de genomen moeite.

  M.v.g.
  Hefrel

  Hieronder mijn nieuwe hijack.log:


  Logfile of Trend Micro HijackThis v2.0.2
  Scan saved at 10:42:46, on 9-10-2008
  Platform: Windows XP SP3 (WinNT 5.01.2600)
  MSIE: Internet Explorer v8.00 (8.00.6001.18241)
  Boot mode: Normal

  Running processes:
  C:\WINDOWS\System32\smss.exe
  C:\WINDOWS\system32\winlogon.exe
  C:\WINDOWS\system32\services.exe
  C:\WINDOWS\system32\lsass.exe
  C:\WINDOWS\system32\Ati2evxx.exe
  C:\WINDOWS\system32\svchost.exe
  C:\WINDOWS\System32\svchost.exe
  C:\WINDOWS\system32\svchost.exe
  C:\WINDOWS\system32\Ati2evxx.exe
  C:\WINDOWS\system32\spoolsv.exe
  C:\WINDOWS\Explorer.EXE
  C:\Tools\Daemon\daemon.exe
  C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
  C:\Program Files\Mouse\Amoumain.exe
  C:\Tools\TaskPlus\taskplus0.exe
  C:\Program Files\PaperPort\pptd40nt.exe
  C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
  C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe
  C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe
  C:\Tools\TaskSwitchXP\TaskSwitchXP.exe
  C:\WINDOWS\system32\ctfmon.exe
  C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
  C:\Documents and Settings\Herman\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
  C:\Program Files\Common Files\LightScribe\LSSrvc.exe
  C:\WINDOWS\system32\svchost.exe
  C:\Tools\Printscreen\HoverSnap.exe
  C:\WINDOWS\system32\Fast.exe
  C:\WINDOWS\system32\wuauclt.exe
  C:\Tools\Trend Micro\HijackThis\HijackThis.exe

  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
  R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
  R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
  O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Tools\Daemon\daemon.exe" -lang 1033
  O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
  O4 - HKLM\..\Run: [WheelMouse] C:\Program Files\Mouse\Amoumain.exe
  O4 - HKLM\..\Run: [TaskPlus] C:\Tools\TaskPlus\taskplus0.exe
  O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
  O4 - HKLM\..\Run: [PaperPort PTD] "C:\Program Files\PaperPort\pptd40nt.exe"
  O4 - HKLM\..\Run: [IndexSearch] "C:\Program Files\PaperPort\IndexSearch.exe"
  O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
  O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe
  O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe"
  O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
  O4 - HKCU\..\Run: [TaskSwitchXP] C:\Tools\TaskSwitchXP\TaskSwitchXP.exe
  O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
  O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Herman\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
  O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Lokale service')
  O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Netwerkservice')
  O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
  O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
  O4 - Global Startup: HoverSnap.lnk = C:\Tools\Printscreen\HoverSnap.exe
  O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
  O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
  O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
  O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Tools\ACTIVE~1\INetRepl.dll
  O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Tools\ACTIVE~1\INetRepl.dll
  O9 - Extra 'Tools' menuitem: Mobiele favorieten maken - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Tools\ACTIVE~1\INetRepl.dll
  O9 - Extra button: Xstream Radio - {7A0815F1-6B65-4e3a-B198-709807B4042A} - C:\Tools\XstreamRadio 3.02\RadioHelper.dll
  O9 - Extra 'Tools' menuitem: Xstream Radio - {7A0815F1-6B65-4e3a-B198-709807B4042A} - C:\Tools\XstreamRadio 3.02\RadioHelper.dll
  O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
  O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
  O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
  O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\ServicePackFiles\i386\msmsgs.exe
  O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\ServicePackFiles\i386\msmsgs.exe
  O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
  O12 - Plugin for .UVR: C:\Program Files\Internet Explorer\Plugins\NPUPano.dll
  O16 - DPF: {0D6709DD-4ED8-40CA-B459-2757AEEF7BEE} (Dldrv2 Control) - http://download.gigabyte.com.tw/object/Dldrv.ocx
  O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1167236685546
  O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
  O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) - Acronis - (no file)
  O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
  O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
  O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
  O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Tools\Sandra Lite XIb\Win32\RpcDataSrv.exe
  O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Tools\Sandra Lite XIb\RpcSandraSrv.exe
  O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe


  End of file - 6716 bytes
 • Zou je ook het logje van MBAM - zoals gevraagd - eens willen posten aub ?
 • Goedenavond,

  Sorry het bericht niet goed genoeg of te gehaast gelezen waardoor
  ik niet het gevraagde logje van MBAM heb meegestuurd. Bij deze alsnog het logje.

  M.v.g.
  Hefrel  Malwarebytes' Anti-Malware 1.28
  Database versie: 1246
  Windows 5.1.2600 Service Pack 3

  9-10-2008 10:39:16
  mbam-log-2008-10-09 (10-39-16).txt

  Scan type: Snelle Scan
  Objecten gescand: 48509
  Verstreken tijd: 2 minute(s), 6 second(s)

  Geheugenprocessen geïnfecteerd: 0
  Geheugenmodulen geïnfecteerd: 0
  Registersleutels geïnfecteerd: 0
  Registerwaarden geïnfecteerd: 1
  Registerdata bestanden geïnfecteerd: 3
  Mappen geïnfecteerd: 1
  Bestanden geïnfecteerd: 4

  Geheugenprocessen geïnfecteerd:
  (Geen kwaadaardige items gevonden)

  Geheugenmodulen geïnfecteerd:
  (Geen kwaadaardige items gevonden)

  Registersleutels geïnfecteerd:
  (Geen kwaadaardige items gevonden)

  Registerwaarden geïnfecteerd:
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\c:\windows\system32\kdyys.exe (Trojan.DNSChanger) -> Quarantined and deleted successfully.

  Registerdata bestanden geïnfecteerd:
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System (Rootkit.DNSChanger.H) -> Data: kdyys.exe -> Quarantined and deleted successfully.
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{584f3c1f-3156-4a60-9312-18e4d84f7b1c}\NameServer (Trojan.DNSChanger) -> Data: 85.255.116.162,85.255.112.110 -> Delete on reboot.
  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{584f3c1f-3156-4a60-9312-18e4d84f7b1c}\NameServer (Trojan.DNSChanger) -> Data: 85.255.116.162,85.255.112.110 -> Delete on reboot.

  Mappen geïnfecteerd:
  C:\resycled (Trojan.DNSChanger) -> Quarantined and deleted successfully.

  Bestanden geïnfecteerd:
  C:\WINDOWS\system32\kdyys.exe (Rootkit.DNSChanger.H) -> Delete on reboot.
  C:\resycled\boot.com (Trojan.DNSChanger) -> Quarantined and deleted successfully.
  C:\WINDOWS\Temp\tempo-8F.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
  C:\WINDOWS\Temp\tempo-7D1.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
 • En heb je - na het afsluiten en opnieuw opstarten van je PC - nog dezelfde problemen ? Of zijn deze opgelost ?
 • Goedemorgen,

  Problemen zijn er nog steeds. De map resycled\boot komt op alle drie schijven: C, D en externe schijf voor. Is dit een systeemmap van Windows met daarin de besmetting of is de gehele map een besmetting en of virus en wat houdt deze virus eigenlijk in ? De schijven kan ik hoe dan ook nog steeds niet benaderen via "Mijn computer" en de snelkoppelingen op het bureaublad.

  M.v.g.
  Hefrel
 • Goedemorgen,

  Hier stond mijn bericht nogmaals. De eerste keer leek het of het bericht niet verzonden was waardoor ik het nog een keer heb gestuurd. Bleek dat het bericht toch verzonden was.

  M.v.g.
  Hefrel
 • Wil je eens via zoeken de map "resycler" (want dat is een foute map) localiseren op je PC en er de exacte locatie van doorgeven. Het zou kunnen dat je hiervoor de "verborgen mappen" moet vrijgeven.

  En dan dit :

  Download Combofix hier : http://download.bleepingcomputer.com/sUBs/ComboFix.exe en zet het op je Bureaublad.

  Indien je Combofix al eerder hebt gebruikt, gelieve die versie te verwijderen en Combofix opnieuw te downloaden via bovenstaande link, want Combofix wordt dagelijks geupdate.

  Dubbelklik op Combofix.exe en volg de instructies, aanvaard de disclaimer door y te typen. Tijdens het runnen van de fix, NIET in het venster klikken, want dit zal je pc doen vasthangen.
  Wanneer de fix voltooid is en na herstart, zal de log combofix.txt openen.

  Indien je, tijdens of na het downloaden van Combofix of tijdens het gebruik van Combofix een melding krijgt van je antivirus- of een andere realtime scanner, schakel dan deze scanner uit en download Combofix opnieuw.
  Sommige scanners zien bepaalde componenten die Combofix gebruikt als verdacht en gaan deze blokkeren of verwijderen!

  Hang het log van Combofix aan je volgende bericht.

  Daarna opnieuw een scan met MBAM en als hier geen nieuwe foutmeldingen in voorkomen, hoef je dit log niet in je bericht te plaatsen. Maar laat dan wel even weten of dit ook het geval was of niet ?
 • Hallo Kape,

  Na mijn laatste bericht van gisterenavond heb ik nog even wat gegoogled. Daarbij kwam ik terecht op de volgende site: http://www.precisesecurity.com/blogs/2008/09/20/resycledbootcom/.
  Daarbij staat o.a. dit commentaar:

  #André André September 28th, 2008 at 5:18 pm 6
  Hello all,
  SInce two days i have te same problem. I reinstalled Vista twice, however the virus was at the external drive. I tried several programs but none of them worked. I simply removed the autorun.inf file and the directory named resyceld (wrong spelling) I seems to be the work-around for this moment.

  De genoemde autorun.inf file alsmede de map resycled stonden ook bij mij op alle schijven in de Root directory: C, D, E en Externe schijf. Ik heb in de veilige modes alles verwijderd en naar het schijnt en naar ik hoop ik is hiermee het probleem opgelost. Ik kan de schijven gewoon weer benaderen via "Mijn computer" en via de snelkoppelingen op het bureaublad. Jouw oplossing in de laaste mail heb ik dus niet meer hoeven toe te passen. Wellicht ten overvloede stuur ik nog even de laatste twee logjes mee ter controle.

  In ieder geval onzettend bedankt voor je hulp en misschien is deze oplossing voor jou bruikbaar bij hulp aan anderen die ongetwijfeld nog gaan komen met hetzelfde probleem.
  M.v.g.
  Hefrel

  Logfile of Trend Micro HijackThis v2.0.2
  Scan saved at 20:21:14, on 10-10-2008
  Platform: Windows XP SP3 (WinNT 5.01.2600)
  MSIE: Internet Explorer v8.00 (8.00.6001.18241)
  Boot mode: Normal

  Running processes:
  C:\WINDOWS\System32\smss.exe
  C:\WINDOWS\system32\winlogon.exe
  C:\WINDOWS\system32\services.exe
  C:\WINDOWS\system32\lsass.exe
  C:\WINDOWS\system32\Ati2evxx.exe
  C:\WINDOWS\system32\svchost.exe
  C:\WINDOWS\System32\svchost.exe
  C:\WINDOWS\system32\svchost.exe
  C:\WINDOWS\system32\Ati2evxx.exe
  C:\WINDOWS\system32\spoolsv.exe
  C:\WINDOWS\Explorer.EXE
  C:\Tools\Daemon\daemon.exe
  C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
  C:\Program Files\Mouse\Amoumain.exe
  C:\Tools\TaskPlus\taskplus0.exe
  C:\Program Files\PaperPort\pptd40nt.exe
  C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
  C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe
  C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe
  C:\Tools\TaskSwitchXP\TaskSwitchXP.exe
  C:\WINDOWS\system32\ctfmon.exe
  C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
  C:\Documents and Settings\Herman\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
  C:\Program Files\Common Files\LightScribe\LSSrvc.exe
  C:\Tools\Printscreen\HoverSnap.exe
  C:\WINDOWS\system32\svchost.exe
  C:\WINDOWS\system32\Fast.exe
  C:\Tools\Trend Micro\HijackThis\HijackThis.exe

  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
  R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
  R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
  R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
  O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Tools\Daemon\daemon.exe" -lang 1033
  O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
  O4 - HKLM\..\Run: [WheelMouse] C:\Program Files\Mouse\Amoumain.exe
  O4 - HKLM\..\Run: [TaskPlus] C:\Tools\TaskPlus\taskplus0.exe
  O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
  O4 - HKLM\..\Run: [PaperPort PTD] "C:\Program Files\PaperPort\pptd40nt.exe"
  O4 - HKLM\..\Run: [IndexSearch] "C:\Program Files\PaperPort\IndexSearch.exe"
  O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
  O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe
  O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe"
  O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
  O4 - HKCU\..\Run: [TaskSwitchXP] C:\Tools\TaskSwitchXP\TaskSwitchXP.exe
  O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
  O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Herman\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
  O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Lokale service')
  O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Netwerkservice')
  O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
  O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
  O4 - Global Startup: HoverSnap.lnk = C:\Tools\Printscreen\HoverSnap.exe
  O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
  O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
  O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
  O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Tools\ACTIVE~1\INetRepl.dll
  O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Tools\ACTIVE~1\INetRepl.dll
  O9 - Extra 'Tools' menuitem: Mobiele favorieten maken - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Tools\ACTIVE~1\INetRepl.dll
  O9 - Extra button: Xstream Radio - {7A0815F1-6B65-4e3a-B198-709807B4042A} - C:\Tools\XstreamRadio 3.02\RadioHelper.dll
  O9 - Extra 'Tools' menuitem: Xstream Radio - {7A0815F1-6B65-4e3a-B198-709807B4042A} - C:\Tools\XstreamRadio 3.02\RadioHelper.dll
  O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
  O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
  O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
  O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\ServicePackFiles\i386\msmsgs.exe
  O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\ServicePackFiles\i386\msmsgs.exe
  O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
  O12 - Plugin for .UVR: C:\Program Files\Internet Explorer\Plugins\NPUPano.dll
  O16 - DPF: {0D6709DD-4ED8-40CA-B459-2757AEEF7BEE} (Dldrv2 Control) - http://download.gigabyte.com.tw/object/Dldrv.ocx
  O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1167236685546
  O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
  O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) - Acronis - (no file)
  O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
  O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
  O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
  O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Tools\Sandra Lite XIb\Win32\RpcDataSrv.exe
  O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Tools\Sandra Lite XIb\RpcSandraSrv.exe
  O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe


  End of file - 6779 bytes

  Malwarebytes' Anti-Malware 1.28
  Database versie: 1251
  Windows 5.1.2600 Service Pack 3

  10-10-2008 20:46:49
  mbam-log-2008-10-10 (20-46-49).txt

  Scan type: Snelle Scan
  Objecten gescand: 48263
  Verstreken tijd: 41 second(s)

  Geheugenprocessen geïnfecteerd: 0
  Geheugenmodulen geïnfecteerd: 0
  Registersleutels geïnfecteerd: 0
  Registerwaarden geïnfecteerd: 0
  Registerdata bestanden geïnfecteerd: 0
  Mappen geïnfecteerd: 0
  Bestanden geïnfecteerd: 0

  Geheugenprocessen geïnfecteerd:
  (Geen kwaadaardige items gevonden)

  Geheugenmodulen geïnfecteerd:
  (Geen kwaadaardige items gevonden)

  Registersleutels geïnfecteerd:
  (Geen kwaadaardige items gevonden)

  Registerwaarden geïnfecteerd:
  (Geen kwaadaardige items gevonden)

  Registerdata bestanden geïnfecteerd:
  (Geen kwaadaardige items gevonden)

  Mappen geïnfecteerd:
  (Geen kwaadaardige items gevonden)

  Bestanden geïnfecteerd:
  (Geen kwaadaardige items gevonden)

  Hoor of lees ik nog even of een en ander er goed uitziet?
 • Dat is handig :D De vraag in mijn vorig bericht - naar de locatie van de map "resycler" - had nu net de bedoeling om je - na je antwoord hierop - te laten uitvoeren wat je inmiddels al zelf ontdekt en toegepast hebt : het verwijderen van de autorun.inf op de verschillende locaties. Zo hoeven we dat alweer niet meer uit te leggen :D Knap werk :D

  En wat je logjes betreft : prima in orde :)

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.