Vraag & Antwoord

Beveiliging & privacy

Malware UAC trojan

Anoniem
Othuroyo
1 antwoord
 • Wie kan mij helpen??

  Mijn pc heeft waarschijnlijk last van een UACd.sys.trojan zo'n een waarbij een deel van de zoekresultaten redirect wordt naar windowsclick.com en veel antimalware programma's het niet doen.

  Via het forum ben ik gekomen op het programma combofix en de trojan lijkt onschadelijk te zijn gemaakt. Ik ben echter geen computergenie en snap niks van het logfile. Wie kan er naar mijn logfile kijken?

  Verwijderde files:
  C:\windows\system\32\drivers\UACglhboppj.sys
  C:\windows\system\32\UACxvkkdash.dll
  C:\windows\system\32\UAComyxirno.dat
  C:\windows\system\32\UACewmjbwwk.dll
  C:\windows\system\32\UACrwcwuiui.dll
  C:\windows\system\32\UACrrssqbf.db
  C:\windows\system\32\UACrkduimxf.dll
  C:\windows\system\32\UACqwtasgqv.dll
  C:\windows\system\32\UACvsrubqay.log
  C:\windows\system\32\UACirolrvw.log
  C:\windows\system\32\UAChcsjtnnx.log

  En de log:

  ComboFix 09-03-03.01 - Yuri 2009-03-04 13:02:39.1 - NTFSx86
  Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1043.18.703.498 [GMT 1:00]
  Gestart vanuit: c:\documents and settings\Yuri\Bureaublad\FixCombo.exe
  * Resident AV is active

  .

  (((((((((((((((((((((((((((((((((( Andere Verwijderingen )))))))))))))))))))))))))))))))))))))))))))))))))
  .

  c:\documents and settings\All Users.WINDOWS\Application Data\CrucialSoft Ltd
  c:\windows\exefld
  c:\windows\system32\drivers\UACqlhboppj.sys
  c:\windows\system32\UACewmjbwwk.dll
  c:\windows\system32\UAChcsjtnnx.log
  c:\windows\system32\UACirjolrvw.log
  c:\windows\system32\UAComyxirno.dat
  c:\windows\system32\UACqwtasgqv.dll
  c:\windows\system32\UACrkduimxf.dll
  c:\windows\system32\UACrwcwuiui.dll
  c:\windows\system32\UACvsrubqay.log
  c:\windows\system32\UACxvkkdasb.dll
  c:\windows\system32\UACyrrssqpf.db

  .
  ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
  .

  ——-\Service_UACd.sys


  (((((((((((((((((((( Bestanden Gemaakt van 2009-02-04 to 2009-03-04 ))))))))))))))))))))))))))))))
  .

  2009-03-04 11:27 . 2009-03-04 11:27 <DIR> d——– c:\documents and settings\Yuri\Application Data\U3
  2009-03-04 09:21 . 2009-03-04 12:42 1,896,749 –a—— c:\windows\system32\uactmp.db
  2009-03-03 15:44 . 2009-03-04 09:22 5,162 –a—— c:\windows\system32\uacinit.dll

  .
  ((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))
  .
  2009-03-02 08:21 ——— d—–w c:\program files\Microsoft Silverlight
  2009-02-24 09:21 ——— d—–w c:\program files\Google
  2009-01-22 08:55 ——— d—–w c:\program files\PDFCreator
  2008-12-20 23:03 826,368 —-a-w c:\windows\system32\wininet.dll
  2008-11-05 09:48 32,768 –sha-w c:\windows\system32\config\systemprofile\Local Settings\Geschiedenis\History.IE5\MSHist012008110520081106\index.dat
  .

  ((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))
  .
  .
  *Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond
  REGEDIT4

  [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
  "MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]
  "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-09-07 68856]

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  "IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952]
  "PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
  "PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
  "VSOCheckTask"="c:\progra~1\McAfee.com\VSO\mcmnhdlr.exe" [2005-07-08 151552]
  "VirusScan Online"="c:\program files\McAfee.com\VSO\mcvsshld.exe" [2005-08-10 163840]
  "OASClnt"="c:\program files\McAfee.com\VSO\oasclnt.exe" [2005-08-11 53248]
  "MCAgentExe"="c:\progra~1\mcafee.com\agent\mcagent.exe" [2005-09-22 303104]
  "MCUpdateExe"="c:\progra~1\mcafee.com\agent\mcupdate.exe" [2006-01-11 212992]
  "MPFEXE"="c:\progra~1\McAfee.com\PERSON~1\MpfTray.exe" [2005-11-11 1005096]
  "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
  "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-01-31 385024]
  "SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
  "VTTimer"="VTTimer.exe" [2004-10-22 c:\windows\system32\VTTimer.exe]
  "VTTrayp"="VTtrayp.exe" [2008-06-11 c:\windows\system32\VTTrayp.exe]

  [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
  "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

  c:\documents and settings\Admin\Menu Start\Programma's\Opstarten\
  Adobe Gamma Loader.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2005-11-02 113664]
  Adobe Reader Snelle start.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696]
  InterVideo WinCinema Manager.lnk - c:\program files\InterVideo\Common\Bin\WinCinemaMgr.exe [2005-12-07 278528]
  Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-03-22 65588]

  c:\documents and settings\FU\Menu Start\Programma's\Opstarten\
  Adobe Gamma Loader.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2005-11-02 113664]
  Adobe Reader Snelle start.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696]
  InterVideo WinCinema Manager.lnk - c:\program files\InterVideo\Common\Bin\WinCinemaMgr.exe [2005-12-07 278528]
  Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-03-22 65588]

  c:\documents and settings\All Users.WINDOWS\Menu Start\Programma's\Opstarten\
  Adobe Gamma Loader.exe.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2005-11-02 113664]
  Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696]
  Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-03-22 65588]

  [HKEY_LOCAL_MACHINE\software\microsoft\security center]
  "AntiVirusDisableNotify"=dword:00000001

  [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]
  "DisableMonitoring"=dword:00000001

  [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]
  "DisableMonitoring"=dword:00000001

  [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
  "EnableFirewall"= 0 (0x0)

  [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
  "%windir%\\system32\\sessmgr.exe"=
  "c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
  "c:\\Program Files\\Skype\\Phone\\Skype.exe"=
  "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
  "c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
  "c:\\Program Files\\MSN Messenger\\livecall.exe"=

  S3 S3chipid;S3chipid;c:\documents and settings\Admin\Mijn documenten\Mijn afbeeldingen\K8M800_WinXP_16944206_WIShld_logod\K8M800_WinXP_16944206_WIShld_logod\s3chipid.sys [2003-01-23 3712]
  S4 Rpcmudvemrc;Rpcmudvemrc;c:\windows\system32\drivers\mouclass.sys [2004-08-04 23552]

  [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
  \Shell\AutoRun\command - E:\LaunchU3.exe -a
  .
  Inhoud van de 'Gedeelde Taken' map

  2009-02-13 c:\windows\Tasks\AppleSoftwareUpdate.job
  - c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

  2009-03-04 c:\windows\Tasks\User_Feed_Synchronization-{89090CB3-5A10-4D86-B4DA-5FA86078658F}.job
  - c:\windows\system32\msfeedssync.exe [2007-08-13 18:36]
  .
  - - - - ORPHANS VERWIJDERD - - - -

  HKLM-Run-Cmaudio - cmicnfg.cpl


  .
  ——- Bijkomende Scan ——-
  .
  uStart Page = hxxp://www.google.nl/ig?hl=nl
  FF - ProfilePath - c:\documents and settings\Yuri\Application Data\Mozilla\Firefox\Profiles\ar70i1fu.default\
  .

  **************************************************************************

  catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
  Rootkit scan 2009-03-04 13:10:02
  Windows 5.1.2600 Service Pack 3 NTFS

  scannen van verborgen processen …

  scannen van verborgen autostart items …

  scannen van verborgen bestanden …

  Scan succesvol afgerond
  verborgen bestanden: 0

  **************************************************************************
  .
  Voltooingstijd: 2009-03-04 13:12:22
  ComboFix-quarantined-files.txt 2009-03-04 12:12:08

  Pre-Run: 20,417,081,344 bytes beschikbaar
  Post-Run: 21,200,343,040 bytes beschikbaar

  WindowsXP-KB310994-SP2-Home-BootDisk-NLD.exe
  [boot loader]
  timeout=2
  default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
  [operating systems]
  c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
  multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

  134 — E O F — 2009-02-26 16:31:38

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.