Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

trojan m.b.t. atapi.sys

Anoniem
xador
6 antwoorden
  • Avg detecteerde een trojan.Deze zit in atapi.sys die wordt gebruikt door
    svchost.exe.Ik had gelezen dat als je een system restore doet de trojan weg zou zijn,niet dus,hij is weer terug.Iemand een oplossing hiervoor?.
  • Hallo Singer deze post en je HJT-log, dat is niet handig.
    Je had alles in één post kunnen doen!

    Download, installeer en blijf [b:9057a144c5]MBAM[/b:9057a144c5] gebruiken.
    Al meteen na de installatie wil [b:9057a144c5]MBAM[/b:9057a144c5] zijn database opwaarderen – toestaan dus.
    Ook bij herhaald gebruik: eerst de tab [b:9057a144c5]Update[/b:9057a144c5] aandoen!

    [b:9057a144c5]Download MBAM[/b:9057a144c5]

    Start [b:9057a144c5]MBAM[/b:9057a144c5] en kies voor [b:9057a144c5]Snelle Scan[/b:9057a144c5]


    Het scannen kan een tijdje duren, dus wees geduldig.
    Wanneer de scan voltooid is, klik dan op de knop [b:9057a144c5]OK[/b:9057a144c5] , daarna op de knop [b:9057a144c5]Bekijk Resultaten[/b:9057a144c5] om de resultaten te zien.
    Zorg ervoor dat daar alles aangevinkt is, daarna klikken op: [b:9057a144c5]Verwijder geselecteerde[/b:9057a144c5] .
    Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten.

    Het log wordt automatisch bewaard door [b:9057a144c5]MBAM[/b:9057a144c5] en dat kan je terugvinden door op de tab [b:9057a144c5]Logs[/b:9057a144c5] te klikken in [b:9057a144c5]MBAM[/b:9057a144c5] .

    Indien [b:9057a144c5]MBAM[/b:9057a144c5] moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven – dan telkens op [b:9057a144c5]OK[/b:9057a144c5] klikken!
    Daarna zal [b:9057a144c5]MBAM[/b:9057a144c5] vragen om de Computer opnieuw op te starten - dus sta toe dat de computer opnieuw opgestart wordt.
  • Beste abraham54,

    Hier de uitkomst van mbam,

    Malwarebytes' Anti-Malware 1.41
    Database version: 2971
    Windows 6.1.7600

    10/16/2009 8:19:01 PM
    mbam-log-2009-10-16 (20-18-42).txt

    Scan type: Quick Scan
    Objects scanned: 84783
    Time elapsed: 4 minute(s), 22 second(s)

    Memory Processes Infected: 0
    Memory Modules Infected: 0
    Registry Keys Infected: 0
    Registry Values Infected: 1
    Registry Data Items Infected: 0
    Folders Infected: 0
    Files Infected: 2

    Memory Processes Infected:
    (No malicious items detected)

    Memory Modules Infected:
    (No malicious items detected)

    Registry Keys Infected:
    (No malicious items detected)

    Registry Values Infected:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost64.exe (Backdoor.Bot) -> No action taken.

    Registry Data Items Infected:
    (No malicious items detected)

    Folders Infected:
    (No malicious items detected)

    Files Infected:
    c:\Windows\System32\svchost64.exe (Backdoor.Bot) -> No action taken.
    C:\wliup.exe (Trojan.Dropper) -> No action taken.


    Hij heeft uiteindelijk alles verwijderd,maar blijft de vraag,waar het in eerste instantie vandaan komt?.
    Ik blijf in ieder geval scannen.

    Dank
  • Ik dacht dat ik ervan af was,Maar na het scannen met hijack werd hij weer gedetecteerd..Hier het logje van hijack.

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 8:37:11 PM, on 10/16/2009
    Platform: Unknown Windows (WinNT 6.01.3504)
    MSIE: Internet Explorer v8.00 (8.00.7600.16385)
    Boot mode: Normal

    Running processes:
    C:\Windows\system32\Dwm.exe
    C:\Windows\Explorer.EXE
    C:\Windows\system32\taskhost.exe
    C:\Program Files\AVG\AVG8\avgtray.exe
    C:\Windows\PixArt\Pac207\Monitor.exe
    C:\Program Files\Java\jre6\bin\jusched.exe
    C:\Program Files\uTorrent\uTorrent.exe
    C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    C:\Windows\system32\SearchFilterHost.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bing.com/?filt=custom
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: Windows Live Aanmelden - Help - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
    O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
    O4 - HKLM\..\Run: [Monitor] C:\Windows\PixArt\PAC207\Monitor.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
    O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe"
    uncleanupscript
    O4 - HKCU\..\Run: [uTorrent] "C:\Program Files\uTorrent\uTorrent.exe"
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
    O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
    O13 - Gopher Prefix:
    O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
    O20 - AppInit_DLLs: avgrsstx.dll
    O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
    O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
    O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
    O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe


    End of file - 4282 bytes
  • Hallo Singer, start MBAM opnieuw - eerst de tab Updates doen. daarna wederom een snelle scan en vergeet nu niet de Verwijderknop te gebruiken - want anders blijft de ongein in jouw Windows zitten!
  • Hallo Singer,

    Indien je nog hulp nodig hebt, doe je dit even:
    Download gmer.
    Plaats het op je bureaublad.
    Unzip het, open de map gmer en dubbelklik op gmer.exe.
    Krijg je een melding dat er rootkits actief zijn en er wordt gevraagd om een scan uit te voeren, dan sta je dit niet toe.
    Aan de rechterkant heb je een aantal opties die je kan uit- of aanvinken. Standaard staat alles aangevinkt.
    Vink volgende items uit:
    - Sections
    - IAT/EAT
    Files moet aangevinkt zijn, maar zorg dat hier enkel de Systeempartitie aangevinkt is. ( De systeempartitie is die partitie waarop je windows geïnstalleerd is. )
    Haal het vinkje weg bij "show all" ( dit mag niet aangevinkt zijn! )
    Klik nu op de "Scan" knop om de rootkitscan met Gmer te starten.
    Als de scan klaar is klik je op de knop "Save" en sla je het logje op op je bureaublad.
    ( Klik je op knop "Copy", dan wordt de volledige rapportje van de log naar het klembord gekopieerd en kan je via CTRL+V in je volgende post plakken. )
    Om Gmer te sluiten, klik je op de knop "Cancel".

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.