Vraag & Antwoord

Beveiliging & privacy

virus weg of niet weg ???

Anoniem
None
12 antwoorden
 • Na het verwijderen van een aantal Trojans blijft de comp. vreemd doen.
  Zo is Open Office niet meer te openen.
  Ook werkt bv. CTR+C en CTR+V niet meer.
  Ook systeemherstel werkt niet meer.

  Verder maakt de firewall ( COMODO ) overdreven veel meldingen.
  Ook bij "gewone" handelingen als bv. het openen van Firefox.

  Na wat speurwerk heb ik Fixwareout gedraaid, maar ook weer zonder veel resultaat.

  Bij deze de kopie van het rapport:

  PC crashed or was not allowed to reboot.

  ~~~~~ Postrun check
  HKLM\SOFTWARE\~\Winlogon\ "System"=""
  ….
  ….
  ~~~~~ Misc files.
  ….
  ~~~~~ Checking for older varients.
  ….

  ~~~~~ Current runs (hklm hkcu "run" Keys Only)
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  "AVG7_CC"="G:\\PROGRA~1\\Grisoft\\AVG7\\avgcc.exe /STARTUP"
  "COMODO Firewall Pro"="\"G:\\Program Files\\Comodo\\Firewall\\cfp.exe\" -h"
  "NvCplDaemon"="RUNDLL32.EXE G:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
  "QuickTime Task"="\"G:\\Program Files\\QuickTime\\qttask.exe\" -atboottime"
  "b06c6bcb"="rundll32.exe \"G:\\WINDOWS\\system32\\gtxewsvq.dll\",b"

  [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\AdobeUpdater]
  ….
  Hosts file was reset, If you use a custom hosts file please replace it…
  ~~~~~ End report ~~~~~

  Wat kan dit zijn en wat te doen.

  Alvast dank voor het meedenken !
 • [quote:315974c98a] "b06c6bcb"="rundll32.exe \"G:\\WINDOWS\\system32\\gtxewsvq.dll\",b" [/quote:315974c98a] Dit lijkt me al niet echt een koosjer bestandje te zijn :D

  Begin al eens met het downloaden en runnen van HiJackThis … en daarna kijken we weer verder.

  Download HiJackThis hier : http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis

  Dubbelklik op HJTInstall.exe
  Hijackthis wordt nu op je PC geïnstalleerd, een snel koppeling wordt op je bureaublad geplaatst. Klik op "Do a systemscan and save a logfile". en hang dit logje aan je volgende bericht.

  NB. Ben je een gebruiker van Windows Vista dan moet je eerst rechtsklikken op HijackThis.exe en dan kiezen voor "Run as Administrator".
 • Het is ook bij het starten dat ik op dit bestand een foutmelding krijg..
  HiJack this:

  Logfile of Trend Micro HijackThis v2.0.2
  Scan saved at 0:59:37, on 25-10-2008
  Platform: Windows XP SP2 (WinNT 5.01.2600)
  MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
  Boot mode: Normal

  Running processes:
  G:\WINDOWS\System32\smss.exe
  G:\WINDOWS\system32\winlogon.exe
  G:\WINDOWS\system32\services.exe
  G:\WINDOWS\system32\lsass.exe
  G:\WINDOWS\system32\svchost.exe
  G:\WINDOWS\System32\svchost.exe
  G:\WINDOWS\system32\svchost.exe
  G:\WINDOWS\system32\spoolsv.exe
  G:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
  G:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
  G:\PROGRA~1\Grisoft\AVG7\avgemc.exe
  G:\Program Files\Bonjour\mDNSResponder.exe
  G:\Program Files\Comodo\Firewall\cmdagent.exe
  G:\WINDOWS\System32\nvsvc32.exe
  G:\WINDOWS\System32\svchost.exe
  G:\WINDOWS\system32\PSIService.exe
  G:\WINDOWS\System32\svchost.exe
  G:\WINDOWS\system32\Pen_Tablet.exe
  G:\WINDOWS\Explorer.EXE
  G:\WINDOWS\system32\WTablet\Pen_TabletUser.exe
  G:\WINDOWS\system32\Pen_Tablet.exe
  G:\PROGRA~1\Grisoft\AVG7\avgcc.exe
  G:\Program Files\Comodo\Firewall\cfp.exe
  G:\Documents and Settings\a\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
  G:\Program Files\FireTrust\MailWasher Pro\MailWasher.exe
  G:\Program Files\Mozilla Firefox\firefox.exe
  D:\PROGRA~1\MOZILL~1\THUNDE~1.EXE
  G:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32.exe
  G:\Program Files\Trend Micro\HijackThis\HijackThis.exe

  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://
  R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
  R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
  O2 - BHO: (no name) - {0CA2CFAA-724F-49F8-9772-61004F874AA7} - G:\WINDOWS\system32\xciruotg.dll
  O2 - BHO: {835329ed-3970-63f9-51b4-151d4cf43481} - {18434fc4-d151-4b15-9f36-0793de923538} - G:\WINDOWS\system32\pzxywk.dll (file missing)
  O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - G:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
  O2 - BHO: (no name) - {7C3625DD-662B-43AC-A1A6-1A582424F6AE} - G:\WINDOWS\system32\ddcYpMGw.dll (file missing)
  O2 - BHO: (no name) - {FBFD382A-AC6E-4EB7-8944-F97D358B378D} - G:\WINDOWS\system32\ddcAsqNG.dll (file missing)
  O4 - HKLM\..\Run: [AVG7_CC] G:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
  O4 - HKLM\..\Run: [COMODO Firewall Pro] "G:\Program Files\Comodo\Firewall\cfp.exe" -h
  O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINDOWS\system32\NvCpl.dll,NvStartup
  O4 - HKLM\..\Run: [QuickTime Task] "G:\Program Files\QuickTime\qttask.exe" -atboottime
  O4 - HKLM\..\Run: [b06c6bcb] rundll32.exe "G:\WINDOWS\system32\gtxewsvq.dll",b
  O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] G:\WINDOWS\System32\CTFMON.EXE (User 'Lokale service')
  O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] G:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Lokale service')
  O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] G:\WINDOWS\System32\CTFMON.EXE (User 'Netwerkservice')
  O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] G:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
  O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] G:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
  O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - G:\Program Files\IEPro\iepro.dll
  O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - G:\Program Files\IEPro\iepro.dll
  O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
  O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
  O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Program Files\Messenger\msmsgs.exe
  O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Program Files\Messenger\msmsgs.exe
  O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1192837221546
  O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/softwareupdate/su2/ocx/15035/CTPID.cab
  O20 - AppInit_DLLs: G:\WINDOWS\system32\guard32.dll pzxywk.dll
  O20 - Winlogon Notify: ddcAsqNG - ddcAsqNG.dll (file missing)
  O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - G:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
  O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - G:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
  O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - G:\PROGRA~1\Grisoft\AVG7\avgemc.exe
  O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - G:\Program Files\Bonjour\mDNSResponder.exe
  O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - Unknown owner - G:\Program Files\Comodo\Firewall\cmdagent.exe
  O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - G:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
  O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - G:\WINDOWS\System32\nvsvc32.exe
  O23 - Service: L Ile Noyee Drivers Auto Removal (pr2ajbeb) (pr2ajbeb) - Micro Application - G:\WINDOWS\system32\pr2ajbeb.exe
  O23 - Service: ProtexisLicensing - Unknown owner - G:\WINDOWS\system32\PSIService.exe
  O23 - Service: TabletService - Unknown owner - G:\WINDOWS\System32\Tablet.exe (file missing)
  O23 - Service: TabletServicePen - Wacom Technology, Corp. - G:\WINDOWS\system32\Pen_Tablet.exe


  End of file - 5632 bytes
 • [quote:21aa1d1b69="blob"]Het is ook bij het starten dat ik op dit bestand een foutmelding krijg.[/quote:21aa1d1b69] Logisch, want deze resten zitten in je startup … maar die halen we er wel weer uit :)

  Start Hijackthis op en kies voor 'Do a system scan only'. Selecteer alleen de items hieronder genoemd:

  [b:21aa1d1b69]R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
  O2 - BHO: (no name) - {0CA2CFAA-724F-49F8-9772-61004F874AA7} - G:\WINDOWS\system32\xciruotg.dll
  O2 - BHO: {835329ed-3970-63f9-51b4-151d4cf43481} - {18434fc4-d151-4b15-9f36-0793de923538} - G:\WINDOWS\system32\pzxywk.dll (file missing)
  O2 - BHO: (no name) - {7C3625DD-662B-43AC-A1A6-1A582424F6AE} - G:\WINDOWS\system32\ddcYpMGw.dll (file missing)
  O2 - BHO: (no name) - {FBFD382A-AC6E-4EB7-8944-F97D358B378D} - G:\WINDOWS\system32\ddcAsqNG.dll (file missing)
  O4 - HKLM\..\Run: [b06c6bcb] rundll32.exe "G:\WINDOWS\system32\gtxewsvq.dll",b
  O20 - AppInit_DLLs: G:\WINDOWS\system32\guard32.dll pzxywk.dll
  O20 - Winlogon Notify: ddcAsqNG - ddcAsqNG.dll (file missing)[/b:21aa1d1b69]

  Klik op 'Fix checked' om de items te verwijderen.

  Download [b:21aa1d1b69]MBAM (Malwarebytes' Anti-Malware)[/b:21aa1d1b69] hier :
  http://www.besttechie.net/tools/mbam-setup.exe

  Dubbelklik op mbam-setup.exe om het programma te installeren.

  Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien".
  Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden.
  Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan.
  Het scannen kan een tijdje duren, dus wees geduldig.
  Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien.
  Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde.
  Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder)
  De log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in MBAM.

  Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken.
  Daarna zal het vragen om de computer opnieuw op te starten… dus sta toe dat MBAM de computer opnieuw opstart.

  Plak de inhoud van het logje in je volgende bericht, samen met een nieuw HijackThis log.
 • DAnk !

  Ga het vanavond proberen !

  Malwarebytes' Anti-Malware 1.30
  Database versie: 1306
  Windows 5.1.2600 Service Pack 2

  26-10-2008 0:44:59
  mbam-log-2008-10-26 (00-44-59).txt

  Scan type: Snelle Scan
  Objecten gescand: 48827
  Verstreken tijd: 4 minute(s), 19 second(s)

  Geheugenprocessen geïnfecteerd: 0
  Geheugenmodulen geïnfecteerd: 0
  Registersleutels geïnfecteerd: 5
  Registerwaarden geïnfecteerd: 0
  Registerdata bestanden geïnfecteerd: 1
  Mappen geïnfecteerd: 0
  Bestanden geïnfecteerd: 4

  Geheugenprocessen geïnfecteerd:
  (Geen kwaadaardige items gevonden)

  Geheugenmodulen geïnfecteerd:
  (Geen kwaadaardige items gevonden)

  Registersleutels geïnfecteerd:
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

  Registerwaarden geïnfecteerd:
  (Geen kwaadaardige items gevonden)

  Registerdata bestanden geïnfecteerd:
  HKEY_CLASSES_ROOT\regfile\shell\open\command\ (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1";) Good: (regedit.exe "%1";) -> Quarantined and deleted successfully.

  Mappen geïnfecteerd:
  (Geen kwaadaardige items gevonden)

  Bestanden geïnfecteerd:
  G:\WINDOWS\system32\qlcfdudc.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
  G:\WINDOWS\system32\xhatgald.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
  G:\Documents and Settings\a\Emails.dat (Stolen.Date) -> Quarantined and deleted successfully.
  G:\WINDOWS\lnk_dados_2.dll (Malware.Trace) -> Quarantined and deleted successfully.
 • Virussen ed, lijken weg.
  Andere problemen ( zoals kopieeren en plakken en bv. het niet werkende "programma-menu"- bij start) blijven…

  grrrr
 • Even verder zoeken dan.

  Download [b:74762899b3] naar je Bureaublad.

  OPMERKING: indien je, tijdens of na het downloaden van Combofix of tijdens het gebruik van Combofix een melding krijgt van je Antivirus- of een andere realtime scanner, schakel dan deze scanner uit en [b:74762899b3]download Combofix opnieuw[/b:74762899b3].
  Sommige scanners zien bepaalde componenten die Combofix gebruikt als verdacht en gaan deze blokkeren of verwijderen![list:74762899b3]
  Dubbelklik op [b:74762899b3]Combofix.exe[/b:74762899b3] om het te starten.
  Indien je Combofix al eerder hebt gebruikt, kan je een waarschuwing krijgen dat een update beschikbaar is. Sta toe dat ComboFix wordt geupdate.
  Volg de instructies, aanvaard de disclaimer door op [b:74762899b3]Ja[/b:74762899b3] te klikken.
  Indien de Recovery Console niet geïnstalleerd is, wordt je gevraagd om dit alsnog te doen door op [b:74762899b3]JA[/b:74762899b3] te klikken in het "Query - Recovery Console" venster.
  Klik op [b:74762899b3]OK[/b:74762899b3] en [b:74762899b3]Ja[/b:74762899b3] om automatisch de Recovery Console te laten installeren.
  Klik na afloop terug op [b:74762899b3]Ja[/b:74762899b3] om het scannen op malware te starten.
  Tijdens het runnen van de fix, [b:74762899b3]NIET[/b:74762899b3] in het venster klikken, want dit zal je pc doen vasthangen.[/list:u:74762899b3]
  Wanneer de fix voltooid is en na herstart, zal de log [b:74762899b3]Combofix.txt[/b:74762899b3] openen.

  Post dit logje in je volgende antwoord.
 • Eerst even - vóór verder onderzoek - een vraagje : heeft dit enige invloed op je gemelde problemen opgeleverd ?
 • Allereerst dank !!!

  Ja ik heb het idee dat alles weer prima werkt.
  De (programma)menu's gaan weer open..

  super !
 • Prima zo. Dan mag je dit nog even uitvoeren :

  Open een kladblokbestand.

  Kopieer en plak daarin de onderstaande vetgedrukte tekst.

  [b:acea49d9d3]Registry::
  [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck][/b:acea49d9d3]

  Sla dit bestand op je bureaublad op als CFScript.txt.

  Sleep CFScript.txt in ComboFix.exe
  Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt. Kijk daarna even in het log van Combofix of bovenstaande lijn verwijderd is. Zo ja, mag je aan volgende stappen beginnen.

  Verwijder Combofix: Start -> Uitvoeren en typ: [b:acea49d9d3]combofix /u[/b:acea49d9d3]
  Dit zal Combofix verwijderen + gerelateerde mappen en bestanden, herstelt de klokinstellingen opnieuw, verbergt de bestandsextensies, gaat verborgen bestanden en systeembestanden terug verbergen en maakt een nieuw herstelpunt.

  Download [b:acea49d9d3]CCleaner[/b:acea49d9d3] hier : http://www.majorgeeks.com/download4191.html

  Installeer het en start CCleaner op. Klik in de linkse kolom op “Cleaner”. Klik achtereenvolgens op ‘Analyseren’ en 'Opschonen'. Klik vervolgens in de linkse kolom op “Register” en klik op ‘Scan naar problemen”. Als er fouten gevonden worden klik je op ”Herstel geselecteerde problemen” en ”OK”. Dan krijg je de vraag om een back-up te maken. Klik op “JA”. Kies dan “Herstel alle geselecteerde fouten”. Sluit hierna CCleaner terug af.

  Het is aangewezen om de bestaande [b:acea49d9d3]herstelpunten[/b:acea49d9d3] te verwijderen (daar zitten besmette herstelpunten tussen die je eventueel zou kunnen terugzetten) door systeemherstel tijdelijk uit te schakelen. Doe dit via Start -> Configuratiescherm -> Systeem -> Systeemherstel -> "Systeemherstel op alle stations uitschakelen" aanvinken. Toepassen en OK. PC herstarten en het vinkje terug weg halen.

  Je [b:acea49d9d3]Java software[/b:acea49d9d3] is [b:acea49d9d3]verouderd[/b:acea49d9d3].
  Oudere versies hebben lekken die malware de kans geeft om zich te installeren op je systeem.
  Doe eerst deze stappen om Java te de-installeren en de nieuwere versie te installeren:

  Download Java Runtime Environment (JRE) 6u7 hier : http://java.sun.com/javase/downloads/index.jsp

  • Scroll omlaag naar : "Java Runtime Environment (JRE) 6u7".
  • Klik op de "Download" knop aan de rechterkant.
  • In het uitklapmenu rechts naast Platform, selecteer Windows
  • Vink aan: "I agree to the Java SE Runtime Environment 6 License Agreement", en klik op Continue.
  • De pagina zal herladen.
  • Klik op de jre-6u7-windows-i586-p.exe link ONDER Windows Offline Installation en bewaar het naar je Bureaublad.
  • Sluit alle programma's die eventueel open zijn, zeker je webbrowser.
  • Ga dan naar Start > Configuratiescherm > Software en verwijder alle oudere versies van Java uit de Softwarelijst.
  • Vink alles aan met Java (JRE of J2SE of Java™ 6 update 1 t.e.m.6) in de naam.
  • Klik dan op Verwijderen of op de Wijzig/Verwijder knop.
  • Herhaal dit tot alle oudere versies verdwenen zijn.
  • Na het verwijderen van alle oudere versies, herstart je pc.
  • Dubbelklik vervolgens op jre-6u7-windows-i586-p.exe op je Bureaublad om de nieuwste versie van Java te installeren.

  That’s it !
 • Alles is weg !
  Computer "loopt" weer als een zonnetje..

  hartelijk dank voor de goede adviezen en links !
  super !

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.