Vraag & Antwoord

Beveiliging & privacy

rootkit.agent en diverse andere treaths

Anoniem
steviepower
2 antwoorden
 • hallo,
  na een aantal downloads en dergelijke blijkbaar een virus op mn netwerk binnengedrongen.

  Ik heb zelf een hekel aan de realtime scanners vandaar dat ik malwarebytes gebruik tegen de virusjes. nu was het echter zo erg dat in een keer het volgende optrad:
  3 pc's met windows xp sp3 2x pro editie en 1x home op de laptop,
  -op alle 3 werkt de windows file sharing niet meer, server service e.d. staan wel nog gewoon aan,
  - internet explorer laat nog maar een paar sites zien, alle antivirus sites worden ineens pr0n sites.
  -google chrome werkt helemaal niet meer
  -msn en ftp programma's werken nog wel normaal
  -na een reboot boot de laptop helemaal niet meer, server en vaste pc nog wel.
  - via netstat gezocht naar backdoors
  alle computers gescand met avg free 8 en malwarebytes levert een varierend aantal infecties op waarvan er na rebooten een aantal steeds terug blijven komen.
  Ook krijg ik de melding dat er rootkit.agent malware actief is, dit is waar ik me zelf de grootste zorgen om maak, deze malware lijkt zich te hebben genesteld als driver. De scanner vindt daar ook de problemen.
  Ondertussen is het nog steeds niet mogelijk om bestanden te delen of te bekijken van een andere pc, verder lijken er niet echt meer grote problemen te zijn.

  Voor de scan met avg leken de problemen zo ernstig dat de prestaties van de pc's nogal achteruit was gelopen.
  De server is een p3 pc en was hierdoor bijna onbestuurbaar!
  nu is dit weer opgelost en rest het nog om de laatste restanten eruit te halen.

  Maar hoe?

  Hier een hijachthis log van mijn vaste pc:
  Logfile of Trend Micro HijackThis v2.0.2
  Scan saved at 19:52:19, on 17-12-2008
  Platform: Windows XP SP2 (WinNT 5.01.2600)
  MSIE: Internet Explorer v7.00 (7.00.6000.20627)
  Boot mode: Normal

  Running processes:
  D:\WINXP\System32\smss.exe
  D:\WINXP\system32\winlogon.exe
  D:\WINXP\system32\services.exe
  D:\WINXP\system32\lsass.exe
  D:\Program Files\Faronics\Deep Freeze\Install D-0\DF5Serv.exe
  D:\WINXP\system32\svchost.exe
  D:\WINXP\System32\svchost.exe
  D:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
  D:\WINXP\Explorer.EXE
  D:\WINXP\RTHDCPL.EXE
  D:\Program Files\DAEMON Tools\daemon.exe
  D:\Program Files\Logitech\G-series Software\LGDCore.exe
  D:\Program Files\Logitech\G-series Software\LCDMon.exe
  D:\WINXP\system32\RUNDLL32.EXE
  D:\Program Files\Logitech\G-series Software\Applets\LCDClock.exe
  D:\Program Files\Logitech\G-series Software\Applets\LCDCountdown\LCDCountdown.exe
  D:\Program Files\Logitech\G-series Software\Applets\LCDPop3\LCDPOP3.exe
  D:\Program Files\Logitech\G-series Software\Applets\LCDMedia.exe
  D:\WINXP\system32\rundll32.exe
  D:\Documents and Settings\steven.AMC\Mijn documenten\g15 mods\G15NetSpeed\G15NetSpeed.exe
  D:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
  D:\WINXP\system32\spoolsv.exe
  D:\Program Files\Java\jre6\bin\jusched.exe
  D:\PROGRA~1\AVG\AVG8\avgtray.exe
  D:\WINXP\system32\ctfmon.exe
  D:\Program Files\Messenger\msmsgs.exe
  D:\Program Files\Windows Live\Messenger\msnmsgr.exe
  D:\Documents and Settings\steven.AMC\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
  D:\Program Files\Logitech\SetPoint II\SetpointII.exe
  D:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE
  D:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
  D:\Program Files\Bonjour\mDNSResponder.exe
  D:\Program Files\Faronics\Deep Freeze\Install D-0\_$Df\FrzState2k.exe
  D:\Program Files\Cobian Backup 8\cbService.exe
  D:\Program Files\BinarySense\HDDlife\HDDlifePro.exe
  D:\PROGRA~1\AVG\AVG8\avgrsx.exe
  D:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
  D:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe
  D:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
  D:\Program Files\Java\jre6\bin\jqs.exe
  D:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe
  D:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe
  D:\WINXP\system32\nvsvc32.exe
  D:\WINXP\system32\PnkBstrA.exe
  d:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
  D:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
  D:\Program Files\RealVNC\VNC4\WinVNC4.exe
  D:\WINXP\system32\wbem\wmiapsrv.exe
  D:\WINXP\System32\svchost.exe
  D:\Documents and Settings\steven.AMC\Mijn documenten\Downloads\HiJackThis.exe

  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sas.nl/
  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
  R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
  R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
  R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
  O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
  O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - D:\Program Files\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
  O2 - BHO: Java™ Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre6\bin\ssv.dll
  O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
  O2 - BHO: Windows Live Aanmelden - Help - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
  O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
  O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Program Files\Java\jre6\bin\jp2ssv.dll
  O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
  O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
  O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - D:\Program Files\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
  O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
  O4 - HKLM\..\Run: [DiskeeperSystray] "D:\Program Files\Diskeeper Corporation\Diskeeper\DkIcon.exe"
  O4 - HKLM\..\Run: [DAEMON Tools] "D:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
  O4 - HKLM\..\Run: [amd_dc_opt] D:\Program Files\AMD\Dual-Core Optimizer\amd_dc_opt.exe
  O4 - HKLM\..\Run: [Launch LGDCore] "D:\Program Files\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
  O4 - HKLM\..\Run: [Launch LCDMon] "D:\Program Files\Logitech\G-series Software\LCDMon.exe"
  O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINXP\system32\NvCpl.dll,NvStartup
  O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
  O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINXP\system32\NvMcTray.dll,NvTaskbarInit
  O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
  O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
  O4 - HKLM\..\Run: [Adobe_ID0EYTHM] D:\PROGRA~1\COMMON~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
  O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
  O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
  O4 - HKLM\..\Run: [GhostStartTrayApp] D:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
  O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Program Files\Java\jre6\bin\jusched.exe"
  O4 - HKLM\..\Run: [AVG8_TRAY] D:\PROGRA~1\AVG\AVG8\avgtray.exe
  O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
  O4 - HKCU\..\Run: [NVIDIA nTune] "D:\Program Files\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
  O4 - HKCU\..\Run: [ctfmon.exe] D:\WINXP\system32\ctfmon.exe
  O4 - HKCU\..\Run: [Orb] "D:\Program Files\Winamp Remote\bin\OrbTray.exe" /background
  O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
  O4 - HKCU\..\Run: [msnmsgr] "D:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
  O4 - HKCU\..\Run: [EVEREST AutoStart] \\192.168.0.10\ftpdump\tools+books\Everest Ultimate Edition v4.50.1429 Beta\everest.exe
  O4 - HKCU\..\Run: [Google Update] "D:\Documents and Settings\steven.AMC\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
  O4 - HKCU\..\Run: [HyvesKwekker] "D:\Program Files\Hyves Kwekker\HyvesDesktop_2.exe"
  O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINXP\system32\CTFMON.EXE (User 'Netwerkservice')
  O4 - HKUS\S-1-5-20\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'Netwerkservice')
  O4 - HKUS\S-1-5-18\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SYSTEM')
  O4 - HKUS\.DEFAULT\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'Default user')
  O4 - Startup: HDDlife.lnk = D:\Program Files\BinarySense\HDDlife\HDDlifePro.exe
  O4 - Global Startup: SetPointII.lnk = ?
  O8 - Extra context menu item: Append to existing PDF - res://D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
  O8 - Extra context menu item: Convert link target to Adobe PDF - res://D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
  O8 - Extra context menu item: Convert link target to existing PDF - res://D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
  O8 - Extra context menu item: Convert selected links to Adobe PDF - res://D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
  O8 - Extra context menu item: Convert selected links to existing PDF - res://D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
  O8 - Extra context menu item: Convert selection to Adobe PDF - res://D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
  O8 - Extra context menu item: Convert selection to existing PDF - res://D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
  O8 - Extra context menu item: Convert to Adobe PDF - res://D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
  O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://D:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
  O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - D:\WINXP\bdoscandel.exe
  O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - D:\WINXP\bdoscandel.exe
  O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
  O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINXP\Network Diagnostic\xpnetdiag.exe
  O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINXP\Network Diagnostic\xpnetdiag.exe
  O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
  O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
  O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab
  O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
  O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.3.6.108.cab
  O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.4.3.cab
  O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
  O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
  O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game01.zylom.com/activex/zylomgamesplayer.cab
  O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/ractrl.cab?lmi=100
  O17 - HKLM\System\CCS\Services\Tcpip\..\{658ADEB5-BEED-421C-A124-1293BCABD6EA}: NameServer = 192.168.0.1,4.2.2.1
  O20 - AppInit_DLLs: avgrsstx.dll
  O20 - Winlogon Notify: DfLogon - D:\WINXP\SYSTEM32\LogonDll.dll
  O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
  O23 - Service: Adobe LM Service - Adobe Systems - D:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
  O23 - Service: Adobe Version Cue CS3 - Adobe Systems Incorporated - D:\Program Files\Common Files\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
  O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - D:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
  O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - D:\Program Files\Bonjour\mDNSResponder.exe
  O23 - Service: CIG - Sysinternals - www.sysinternals.com - D:\DOCUME~1\steven.AMC\LOCALS~1\Temp\CIG.exe
  O23 - Service: Cobian Backup 8 service (CobBMService) - Luis Cobian - D:\Program Files\Cobian Backup 8\cbService.exe
  O23 - Service: DF5Serv - Faronics Corporation - D:\Program Files\Faronics\Deep Freeze\Install D-0\DF5Serv.exe
  O23 - Service: Diskeeper - Diskeeper Corporation - D:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
  O23 - Service: EPGService - Hauppauge Computer Works - D:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe
  O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - D:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
  O23 - Service: GhostStartService - Symantec Corporation - D:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
  O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
  O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Program Files\Java\jre6\bin\jqs.exe
  O23 - Service: nTune Service (nTuneService) - NVIDIA - D:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe
  O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINXP\system32\nvsvc32.exe
  O23 - Service: PnkBstrA - Unknown owner - D:\WINXP\system32\PnkBstrA.exe
  O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - NetGroup - Politecnico di Torino - D:\Program Files\WinPcap\rpcapd.exe
  O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - D:\Program Files\Spyware Doctor\pctsAuxs.exe
  O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - D:\Program Files\Spyware Doctor\pctsSvc.exe
  O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - D:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
  O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - D:\Program Files\RealVNC\VNC4\WinVNC4.exe


  End of file - 13946 bytes

  dan is er op de server, de andere computer het volgende gedetecteerd:
  M-bam log:
  Malwarebytes' Anti-Malware 1.31
  Database versie: 1508
  Windows 5.1.2600 Service Pack 3

  17-12-2008 21:30:02
  mbam-log-2008-12-17 (21-29-48).txt

  Scan type: Snelle Scan
  Objecten gescand: 60633
  Verstreken tijd: 6 minute(s), 56 second(s)

  Geheugenprocessen geïnfecteerd: 0
  Geheugenmodulen geïnfecteerd: 0
  Registersleutels geïnfecteerd: 1
  Registerwaarden geïnfecteerd: 0
  Registerdata bestanden geïnfecteerd: 0
  Mappen geïnfecteerd: 0
  Bestanden geïnfecteerd: 4

  Geheugenprocessen geïnfecteerd:
  (Geen kwaadaardige items gevonden)

  Geheugenmodulen geïnfecteerd:
  (Geen kwaadaardige items gevonden)

  Registersleutels geïnfecteerd:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\restore (Rootkit.Agent) -> No action taken.

  Registerwaarden geïnfecteerd:
  (Geen kwaadaardige items gevonden)

  Registerdata bestanden geïnfecteerd:
  (Geen kwaadaardige items gevonden)

  Mappen geïnfecteerd:
  (Geen kwaadaardige items gevonden)

  Bestanden geïnfecteerd:
  C:\WINDOWS.0\system32\drivers\2fcfadc2.sys (Rootkit.Agent) -> No action taken.
  C:\WINDOWS.0\system32\drivers\849cd105.sys (Rootkit.Agent) -> No action taken.
  C:\WINDOWS.0\Temp\BN2.tmp (Rootkit.Agent) -> No action taken.
  C:\WINDOWS.0\Temp\BN3.tmp (Rootkit.Agent) -> No action taken.
 • Dit is voor de vaste PC :

  Start Hijackthis op. Ben je gebruiker van Vista kies dan voor “Run as administrator" of "Uitvoeren als administrator". Selecteer “Do a system scan only”. Selecteer alleen de items die hieronder zijn genoemd:

  [b:5d557a0110]O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
  O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 –k
  O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 –u
  O4 - HKUS\S-1-5-20\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'Netwerkservice')
  O4 - HKUS\S-1-5-18\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SYSTEM')
  O4 - HKUS\.DEFAULT\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'Default user')
  O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.4.3.cab[/b:5d557a0110]

  Klik op 'Fix checked' om de items te verwijderen.

  Download [b:5d557a0110]MBAM (Malwarebytes' Anti-Malware).[/b:5d557a0110]

  Dubbelklik op mbam-setup.exe om het programma te installeren.

  Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien".
  Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden.
  Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan.
  Het scannen kan een tijdje duren, dus wees geduldig.
  Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien.
  Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde.
  Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder)
  De log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in MBAM.

  Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken.
  Daarna zal het vragen om de computer opnieuw op te starten… dus sta toe dat MBAM de computer opnieuw opstart.

  Plak de inhoud van het logje in je volgende bericht, samen met een nieuw HijackThis log.

  En op de server heb je MBAM wel uitgevoerd, maar de besmettingen niet laten verwijderen (zie "no action taken";). Deze moet je wel laten opruimen, natuurlijk.

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.