Vraag & Antwoord
Virusje... geen geluid meer
7 antwoorden
- Goedenavond,
Ik heb sinds vanavond een virus te pakken denk ik, ik kreeg na het openen van een bestand dat mij werd toegestuurd (door een bekende notabene) 3 viruswaarschuwingen, ze staan in quarantaine maar ik heb nu geen audio meer. Kan iemand mij helpen… Bedankt alvast….
http://www. soufeliz2009.kit.net/3to.msc Win32/Delf.NNH trojaans paard C:\Documents and Settings\Salseros\Local Settings\Temporary Internet Files\Content.IE5\WRCL0VRJ\Slide-Videos[1].scr.
http:// www. soufeliz2009.kit.net/2ha.msc een variant van Win32/Spy.Banker.ACMV trojaans paard C:\Documents and Settings\Salseros\Local Settings\Temporary Internet Files\Content.IE5\WRCL0VRJ\Slide-Videos[1].scr.
http:// www. soufeliz2009.kit.net/1ju.msc waarschijnlijk een variant van Win32/Genetik trojaans paard C:\Documents and Settings\Salseros\Local Settings\Temporary Internet Files\Content.IE5\WRCL0VRJ\Slide-Videos[1].scr.
[b:f1696b4cf8]Logje…………….[/b:f1696b4cf8]
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:08:38, on 4-3-2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\SPAMfighter\SFAgent.exe
C:\Program Files\SweetIM\Messenger\SweetIM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\servfile3.exe
C:\Program Files\ESET\ESET Smart Security\ekrn.exe
C:\Program Files\SPAMfighter\sfus.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Salseros\Local Settings\Temporary Internet Files\Content.IE5\WRCL0VRJ\HiJackThis[1].exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R3 - URLSearchHook: SweetIM ToolbarURLSearchHook Class - {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgHelper.dll
O2 - BHO: Adobe PDF Reader Help bij koppelingen - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Aanmelden - Help - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: SWEETIE - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O3 - Toolbar: SweetIM Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Program Files\SPAMfighter\SFAgent.exe" update delay 60
O4 - HKLM\..\Run: [SweetIM] C:\Program Files\SweetIM\Messenger\SweetIM.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RoboZum3] C:\WINDOWS\system32\servfile3.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Lokale service')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Netwerkservice')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://salseros1970.spaces.live.com/PhotoUpload/MsnPUpld.cab
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: SPAMfighter Update Service - SPAMfighter ApS - C:\Program Files\SPAMfighter\sfus.exe
–
End of file - 5038 bytes - Start hijackthis en kies voor 'do a system scan only'
Selecteer alleen de items die hieronder zijn genoemd:
[b:05a1da9e7e]R3 - URLSearchHook: SweetIM ToolbarURLSearchHook Class - {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)[/b:05a1da9e7e]
Sluit alle vensters behalve Hijackthis
Klik op 'Fix checked' om de items te verwijderen.
Download [b:05a1da9e7e] en sla het op je bureaublad op.
Dubbelklik op [b:05a1da9e7e]mbam-setup.exe[/b:05a1da9e7e] om het programma te installeren.
Zorg dat er na de installatie een vinkje is geplaatst bij:[list:05a1da9e7e]
[*:05a1da9e7e]Update MalwareBytes' Anti-Malware
[*:05a1da9e7e]Start MalwareBytes' Anti-Malware
[/list:u:05a1da9e7e]Klik daarna op "[b:05a1da9e7e]Voltooien[/b:05a1da9e7e]".
Indien een update gevonden wordt, zal die gedownload en geïnstalleerd worden.[list:05a1da9e7e]
[*:05a1da9e7e]Zodra het programma gestart is, ga dan naar het tabblad "[b:05a1da9e7e]Instellingen[/b:05a1da9e7e]".
[*:05a1da9e7e]Vink hier aan: "[b:05a1da9e7e]Sluit Internet Explorer tijdens verwijdering van malware[/b:05a1da9e7e]".
[*:05a1da9e7e]Ga daarna naar het tabblad "[b:05a1da9e7e]Scanner[/b:05a1da9e7e]", kies hier voor "[b:05a1da9e7e]Snelle Scan[/b:05a1da9e7e]".
[*:05a1da9e7e]Druk vervolgens op "[b:05a1da9e7e]Scannen[/b:05a1da9e7e]" om de scan te starten.
[*:05a1da9e7e]Het scannen kan een tijdje duren, dus wees geduldig.
[*:05a1da9e7e]Wanneer de scan voltooid is, klik op [b:05a1da9e7e]OK[/b:05a1da9e7e], daarna "[b:05a1da9e7e]Bekijk Resultaten[/b:05a1da9e7e]" om de resultaten te zien.
[*:05a1da9e7e]Zorg ervoor dat daar alles aangevinkt is, daarna klik op: "[b:05a1da9e7e]Verwijder geselecteerde[/b:05a1da9e7e]".
[*:05a1da9e7e]Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten.
[/list:u:05a1da9e7e]Het log wordt automatisch bewaard door MalwareBytes' Anti-Malware en kan je terugvinden door op de "[b:05a1da9e7e]Logs[/b:05a1da9e7e]" tab te klikken in het programma.
Plaats dit logje samen met een nieuw logje van HijackThis
Download [b:05a1da9e7e] naar je Bureaublad en gebruik het volgens deze handleiding.
[i:05a1da9e7e] - Ik wil je hartelijk danken voor je uitgebreide antwoord… echter het probleem is (hopelijk) al opgelost.
Ik heb een systeemherstel gedaan en nu heb ik weer geluid.
Als er toch nog problemen gaan voordoen zal ik jouw instrukties uitvoeren, bedankt in ieder geval voor de genomen moeite. - Zou je toch de instructies willen uit voeren?
Systeemherstel lijkt soms ogenschijnlijk te helpen maar het probleem is er vaak nog. - Malwarebytes' Anti-Malware 1.34
Database versie: 1826
Windows 5.1.2600 Service Pack 3
8-3-2009 13:56:34
mbam-log-2009-03-08 (13-56-34).txt
Scan type: Snelle Scan
Objecten gescand: 74166
Verstreken tijd: 9 minute(s), 39 second(s)
Geheugenprocessen geïnfecteerd: 0
Geheugenmodulen geïnfecteerd: 0
Registersleutels geïnfecteerd: 0
Registerwaarden geïnfecteerd: 0
Registerdata bestanden geïnfecteerd: 0
Mappen geïnfecteerd: 5
Bestanden geïnfecteerd: 2
Geheugenprocessen geïnfecteerd:
(Geen kwaadaardige items gevonden)
Geheugenmodulen geïnfecteerd:
(Geen kwaadaardige items gevonden)
Registersleutels geïnfecteerd:
(Geen kwaadaardige items gevonden)
Registerwaarden geïnfecteerd:
(Geen kwaadaardige items gevonden)
Registerdata bestanden geïnfecteerd:
(Geen kwaadaardige items gevonden)
Mappen geïnfecteerd:
C:\Program Files\Advantage (Adware.Advantage) -> Quarantined and deleted successfully.
C:\Program Files\Advantage\{A89AED22-9133-424c-88E7-C8235C5FF302} (Adware.Advantage) -> Quarantined and deleted successfully.
C:\Program Files\Advantage\{A89AED22-9133-424c-88E7-C8235C5FF302}\chrome (Adware.Advantage) -> Quarantined and deleted successfully.
C:\Program Files\Advantage\{A89AED22-9133-424c-88E7-C8235C5FF302}\chrome\locale (Adware.Advantage) -> Quarantined and deleted successfully.
C:\Program Files\Advantage\{A89AED22-9133-424c-88E7-C8235C5FF302}\chrome\locale\en-US (Adware.Advantage) -> Quarantined and deleted successfully.
Bestanden geïnfecteerd:
C:\Program Files\Advantage\{A89AED22-9133-424c-88E7-C8235C5FF302}\chrome\locale\en-US\overlay.dtd (Adware.Advantage) -> Quarantined and deleted successfully.
C:\Program Files\Advantage\{A89AED22-9133-424c-88E7-C8235C5FF302}\chrome\locale\en-US\vssver2.scc (Adware.Advantage) -> Quarantined and deleted successfully.
ComboFix 09-03-06.02 - Salseros 2009-03-08 14:02:22.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1043.18.1014.605 [GMT 1:00]
Gestart vanuit: c:\documents and settings\Salseros\Bureaublad\ComboFix.exe
AV: ESET Smart Security 3.0 *On-access scanning disabled* (Updated)
FW: ESET Persoonlijke firewall *enabled*
* Nieuw herstelpunt werd aangemaakt
.
(((((((((((((((((((((((((((((((((( Andere Verwijderingen )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\Salseros\Application Data\inst.exe
.
(((((((((((((((((((( Bestanden Gemaakt van 2009-02-08 to 2009-03-08 ))))))))))))))))))))))))))))))
.
2009-03-08 13:45 . 2009-03-08 13:45 <DIR> d——– c:\program files\Malwarebytes' Anti-Malware
2009-03-08 13:45 . 2009-03-08 13:45 <DIR> d——– c:\documents and settings\Salseros\Application Data\Malwarebytes
2009-03-08 13:45 . 2009-03-08 13:45 <DIR> d——– c:\documents and settings\All Users\Application Data\Malwarebytes
2009-03-08 13:45 . 2009-02-11 10:19 38,496 –a—— c:\windows\system32\drivers\mbamswissarmy.sys
2009-03-08 13:45 . 2009-02-11 10:19 15,504 –a—— c:\windows\system32\drivers\mbam.sys
2009-03-04 20:33 . 2009-03-05 18:19 <DIR> d——– c:\windows\system32\HULLS UID
2009-02-18 21:36 . 2009-02-18 21:36 <DIR> d——– c:\windows\system32\nl
2009-02-18 21:36 . 2009-02-18 21:36 <DIR> d——– c:\windows\system32\bits
2009-02-18 21:36 . 2009-02-18 21:36 <DIR> d——– c:\windows\l2schemas
2009-02-18 21:33 . 2009-02-18 21:33 <DIR> d——– c:\windows\ServicePackFiles
2009-02-18 21:25 . 2009-02-18 21:25 <DIR> d——– c:\windows\EHome
.
((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-08 10:24 ——— d—–w c:\program files\SPAMfighter
2009-03-06 17:22 ——— d—–w c:\documents and settings\Salseros\Application Data\Vso
2009-03-01 18:41 ——— d—–w c:\program files\SweetIM
2009-01-27 18:03 ——— d—–w c:\program files\Common Files\Application
2008-12-20 23:03 826,368 —-a-w c:\windows\system32\wininet.dll
2008-08-08 19:09 47,360 —-a-w c:\documents and settings\Salseros\Application Data\pcouffin.sys
.
((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{EEE6C35D-6118-11DC-9C72-001320C79847}"= "c:\program files\SweetIM\Toolbars\Internet Explorer\mgHelper.dll" [2008-10-08 173368]
[HKEY_CLASSES_ROOT\clsid\{eee6c35d-6118-11dc-9c72-001320c79847}]
[HKEY_CLASSES_ROOT\SweetIM_URLSearchHook.ToolbarURLSearchHook.1]
[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35F-6118-11DC-9C72-001320C79847}]
[HKEY_CLASSES_ROOT\SweetIM_URLSearchHook.ToolbarURLSearchHook]
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EEE6C35C-6118-11DC-9C72-001320C79847}]
2008-10-08 12:22 1172792 –a—— c:\program files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"= "c:\program files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll" [2008-10-08 1172792]
[HKEY_CLASSES_ROOT\clsid\{eee6c35b-6118-11dc-9c72-001320c79847}]
[HKEY_CLASSES_ROOT\SWEETIE.SWEETIE.3]
[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847}]
[HKEY_CLASSES_ROOT\SWEETIE.SWEETIE]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"= "c:\program files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll" [2008-10-08 1172792]
[HKEY_CLASSES_ROOT\clsid\{eee6c35b-6118-11dc-9c72-001320c79847}]
[HKEY_CLASSES_ROOT\SWEETIE.SWEETIE.3]
[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847}]
[HKEY_CLASSES_ROOT\SWEETIE.SWEETIE]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-04-20 142104]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-04-20 162584]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-04-20 138008]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-03-26 77824]
"egui"="c:\program files\ESET\ESET Smart Security\egui.exe" [2008-01-30 1443072]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"SPAMfighter Agent"="c:\program files\SPAMfighter\SFAgent.exe" [2009-01-16 325768]
"SweetIM"="c:\program files\SweetIM\Messenger\SweetIM.exe" [2009-02-15 111928]
"RTHDCPL"="RTHDCPL.EXE" [2007-04-10 c:\windows\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2007-04-04 c:\windows\SkyTel.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
R2 ekrn;Eset Service;c:\program files\ESET\ESET Smart Security\ekrn.exe [2008-01-30 468224]
R2 SPAMfighter Update Service;SPAMfighter Update Service;c:\program files\SPAMfighter\sfus.exe [2009-01-16 184968]
R3 AtcL001;NDIS Miniport Driver for Atheros L1 Gigabit Ethernet Controller;c:\windows\system32\drivers\l151x86.sys [2008-03-20 39424]
S2 NOD32FiXTemDono;Eset Nod32 Boot;c:\windows\system32\regedt32.exe [2004-08-04 3584]
.
.
——- Bijkomende Scan ——-
.
uStart Page = hxxp://www.google.nl/
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-08 14:03:26
Windows 5.1.2600 Service Pack 3 NTFS
scannen van verborgen processen …
scannen van verborgen autostart items …
scannen van verborgen bestanden …
Scan succesvol afgerond
verborgen bestanden: 0
**************************************************************************
.
Voltooingstijd: 2009-03-08 14:04:19
ComboFix-quarantined-files.txt 2009-03-08 13:04:17
Pre-Run: 3.123.978.240 bytes beschikbaar
Post-Run: 4,002,107,392 bytes beschikbaar
WindowsXP-KB310994-SP2-Home-BootDisk-NLD.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
112 — E O F — 2009-03-05 17:22:13 - Waar is de rest van het logje?
- Ik heb alles gekopieerd, Combofix later toegevoegd.
Beantwoord deze vraag
Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.