Vraag & Antwoord

Beveiliging & privacy

Agressief (email) Virus [incl. HijackThis log]

Anoniem
None
11 antwoorden
 • Hallo

  Gisteravond opende ik per ongeluk een verdachte email (outlook heeft de vervelende gewoonte automatisch de nieuwste email te openen als je het opstart). Sindsdien gebeuren er allemaal rare dingen met mijn computer. Mijn proxies voor de browser worden elke keer gewijzigd. Ook laat windows defender om de twee minuten een schermpje zien met dat hij een virus (een zogenaamde "backdoor", ernstig) gevonden heeft maar faalt er blijkbaar in om het virus te verwijderen. SpyBot kan ook niks vinden. Hieronder heb ik een HijackThis log ingevoegd. Kan iemand mij mischien helpen?

  [size=12:52a2c4209d]
  Logfile of Trend Micro HijackThis v2.0.4
  Scan saved at 18:56:16, on 7-12-2010
  Platform: Windows Vista SP1 (WinNT 6.00.1905)
  MSIE: Internet Explorer v8.00 (8.00.6001.18975)
  Boot mode: Normal

  Running processes:
  C:\Users\Ruud\AppData\Roaming\dwm.exe
  C:\Users\Ruud\AppData\Roaming\Microsoft\conhost.exe
  C:\Users\Ruud\AppData\Local\Temp\csrss.exe
  C:\Program Files (x86)\Samsung\Samsung New PC Studio\NPSAgent.exe
  C:\Program Files (x86)\FTD Watchdog\FtdMonitor.exe
  C:\Program Files (x86)\Steam\Steam.exe
  C:\Program Files (x86)\Picasa2\PicasaMediaDetector.exe
  C:\Program Files (x86)\QuickTime\qttask.exe
  C:\Program Files (x86)\Java\jre6\bin\jusched.exe
  C:\Program Files (x86)\Razer\Tarantula\razerhid.exe
  C:\Program Files (x86)\Morgan\m3jpegV3\MMTray.exe
  C:\Program Files (x86)\Xfire\Xfire.exe
  C:\Program Files (x86)\Razer\Tarantula\razertra.exe
  C:\Users\Ruud\AppData\Local\Google\Update\1.2.183.39\GoogleCrashHandler.exe
  C:\Program Files (x86)\Xfire\Xfire.exe
  C:\Program Files (x86)\Java\jre6\bin\jucheck.exe
  C:\Users\Ruud\Downloads\HijackThis.exe

  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
  R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
  R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
  R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
  R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
  R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:52141
  R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
  F3 - REG:win.ini: load=C:\Users\Ruud\AppData\Local\Temp\csrss.exe
  F2 - REG:system.ini: UserInit=userinit.exe
  O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
  O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - C:\Program Files (x86)\Adobe\/Adobe Contribute CS4/contributeieplugin.dll
  O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
  O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
  O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll
  O2 - BHO: Windows Live Aanmelden - Help - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
  O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
  O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
  O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
  O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
  O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - C:\Program Files (x86)\Adobe\/Adobe Contribute CS4/contributeieplugin.dll
  O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files (x86)\QuickTime\qttask.exe" -atboottime
  O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Java\jre6\bin\jusched.exe"
  O4 - HKLM\..\Run: [Tarantula] "C:\Program Files (x86)\Razer\Tarantula\razerhid.exe"
  O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe"
  O4 - HKLM\..\Run: [MMTray] "C:\Program Files (x86)\Morgan\m3jpegV3\MMTray.exe"
  O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
  O4 - HKCU\..\Run: [AutoStartNPSAgent] C:\Program Files (x86)\Samsung\Samsung New PC Studio\NPSAgent.exe
  O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Program Files (x86)\DAEMON Tools Pro\DTProAgent.exe"
  O4 - HKCU\..\Run: [FTD Watchdog Monitor] "C:\Program Files (x86)\FTD Watchdog\FtdMonitor.exe"
  O4 - HKCU\..\Run: [Steam] "c:\program files (x86)\steam\steam.exe" -silent
  O4 - HKCU\..\Run: [Google Update] "C:\Users\Ruud\AppData\Local\Google\Update\GoogleUpdate.exe" /c
  O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
  O4 - HKCU\..\Run: [Picasa Media Detector] C:\Program Files (x86)\Picasa2\PicasaMediaDetector.exe
  O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files (x86)\Windows Media Player\WMPNSCFG.exe
  O4 - HKCU\..\Run: [svchost] C:\Users\Ruud\AppData\Roaming\Microsoft\conhost.exe
  O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOCAL SERVICE')
  O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETWORK SERVICE')
  O4 - Startup: Xfire.lnk = C:\Program Files (x86)\Xfire\Xfire.exe
  O4 - Global Startup: HP Digital Imaging Monitor.lnk.disabled
  O4 - Global Startup: MozyHome Status.lnk = C:\Program Files\MozyHome\mozystat.exe
  O4 - Global Startup: Update-functie.lnk.disabled
  O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200
  O8 - Extra context menu item: Append Link Target to Existing PDF - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
  O8 - Extra context menu item: Append to Existing PDF - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
  O8 - Extra context menu item: Convert Link Target to Adobe PDF - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
  O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
  O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~2\MICROS~2\Office12\EXCEL.EXE/3000
  O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~2\Office12\ONBttnIE.dll
  O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~2\Office12\ONBttnIE.dll
  O9 - Extra button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
  O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
  O9 - Extra 'Tools' menuitem: @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
  O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~2\Office12\REFIEBAR.DLL
  O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/MessengerGamesContent/GameContent/nl/uno1/GAME_UNO1.cab
  O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
  O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
  O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://register3.valueactive.com/mpp_236/webolr/OCX/FlashAX.cab
  O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/ractrl.cab?lmi=100
  O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveSystemServices.dll
  O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
  O23 - Service: Adobe Version Cue CS4 - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\Adobe Version Cue CS4\Server\bin\VersionCueCS4.exe
  O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
  O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)
  O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
  O23 - Service: FLEXnet Licensing Service 64 - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService64.exe
  O23 - Service: Google Updateservice (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
  O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files (x86)\Google\Common\Google Updater\GoogleUpdaterService.exe
  O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files (x86)\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
  O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
  O23 - Service: MozyHome Backup Service (mozybackup) - Mozy, Inc. - C:\Program Files\MozyHome\mozybackup.exe
  O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
  O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
  O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
  O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
  O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
  O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
  O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
  O23 - Service: ServiceLayer - Nokia. - C:\Program Files (x86)\PC Connectivity Solution\ServiceLayer.exe
  O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
  O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
  O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
  O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
  O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
  O23 - Service: TeamViewer 4 (TeamViewer4) - TeamViewer GmbH - C:\Program Files (x86)\TeamViewer\Version4\TeamViewer_Service.exe
  O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
  O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
  O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
  O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
  O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)


  End of file - 12116 bytes
  [/size:52a2c4209d]
  Ik hoop dat iemand mij kan helpen!
 • Begin eerst eens met het downloaden van Malwarebytes en draai een scan daarmee, post vervolgens het log hier.
  http://www.malwarebytes.org/mbam.php
 • dit is het logbestand:

  Malwarebytes' Anti-Malware 1.50
  www.malwarebytes.org

  Databaseversie: 5263

  Windows 6.0.6001 Service Pack 1
  Internet Explorer 8.0.6001.18975

  7-12-2010 20:13:25
  mbam-log-2010-12-07 (20-13-25).txt

  Scantype: Snelle scan
  Objecten gescand: 157092
  Verstreken tijd: 5 minuut/minuten, 5 seconde(n)

  Geheugenprocessen geïnfecteerd: 0
  Geheugenmodulen geïnfecteerd: 0
  Registersleutels geïnfecteerd: 0
  Registerwaarden geïnfecteerd: 1
  Registerdata geïnfecteerd: 1
  Mappen geïnfecteerd: 0
  Bestanden geïnfecteerd: 3

  Geheugenprocessen geïnfecteerd:
  (Geen kwaadaardige objecten gedetecteerd)

  Geheugenmodulen geïnfecteerd:
  (Geen kwaadaardige objecten gedetecteerd)

  Registersleutels geïnfecteerd:
  (Geen kwaadaardige objecten gedetecteerd)

  Registerwaarden geïnfecteerd:
  HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost (Spyware.Passwords.XGen) -> Value: svchost -> Quarantined and deleted successfully.

  Registerdata geïnfecteerd:
  HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Trojan.Agent) -> Bad: (C:\Users\Ruud\AppData\Local\Temp\csrss.exe) Good: () -> Quarantined and deleted successfully.

  Mappen geïnfecteerd:
  (Geen kwaadaardige objecten gedetecteerd)

  Bestanden geïnfecteerd:
  c:\Users\Ruud\AppData\Roaming\microsoft\conhost.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
  c:\Windows\Temp\tmp00000001ffc2f5cfe0079e10 (Trojan.Dropper) -> Quarantined and deleted successfully.
  c:\Users\Ruud\AppData\Local\Temp\csrss.exe (Trojan.Agent) -> Quarantined and deleted successfully.

  EDIT: In ieder geval veranderen mijn proxies nu niet meer bij iedere restart. Ik ga nu kijken of windows defender nog iets kan vinden.
 • Hallo piacevole, het log niet in een kleinere letter posten.
  Of wil je het anderen moeilijk maken je log te analysteren?

  En de besmetting in je PC is niet van zomaar en ik denk dat je dat ook weet.
  Want je hebt geen antivirus in jouw Windows.

  Omdat jij met Outlook werkt, adviseer ik je Avast 5 Free als antivirus te gaan gebruiken!
  Deze beschikt o.a. over een mailscanner.


  Avast 5 Free: http://download.cnet.com/Avast-Free-Antivirus/3000-2239_4-10019223.html?part=dl-85737&subj=dl&tag=button

  Installeer Avast met alle opties!
  En vergeet niet Avast eerst te registreren en daarna te updaten - hiervoor klik je in het menu op [b:7a5e5c9de2]Onderhoud[/b:7a5e5c9de2]

  Na updaten laat je Avast een systeemscan doen.

  Post daarna een nieuw HijackThis-log!
 • Ik heb in ieder geval even de vorige posts op een leesbaar formaat gezet.
 • [quote:ac7b491644="Abraham54"]Hallo piacevole, het log niet in een kleinere letter posten.
  Of wil je het anderen moeilijk maken je log te analysteren?

  En de besmetting in je PC is niet van zomaar en ik denk dat je dat ook weet.
  Want je hebt geen antivirus in jouw Windows.
  [/quote:ac7b491644]

  Alle problemen zijn opgelost. Sorry dat ik mijn log kleiner maakte. Het was juist de bedoeling om het leesbaarder te maken zoals in de FAQ van Gerben.

  Ik gebruik met opzet geen antivirus. Dit met name omdat het een computer erg vertraagt. Ik doe al jaren zonder antivirus en dat is ook geen probleem aangezien het altijd te merken is als de computer wordt geïnfecteerd met een virus. (spybot of windows defender slaan alarm). Ook weet ik welke bestanden ik kan downloaden en welke sites ik kan bezoeken.

  Verder scan ik mijn computer wel regelmatig op spyware e.d.

  Dat mijn computer toch werd geïnfecteerd dank ik aan een ongelukje wat gelukkig snel verholpen was. Bedankt voor de hulp!
 • Het is inmiddels een fabeltje dat antivirus je PC vertraagd.

  Probeer dat maar uit met Avast of Avira, je zal nauwelijks tot geen verschil bemerken.

  En let wel - omdat jij persé zonder antivirus wil werken - prima.

  Maar verwacht dan niet dat de redding via fora en vrijwilligers die jouw Vista kunnen schoonmaken dan ook daadwerkelijk gebeurd!

  Want zo werkt dat niet!
 • [quote:acfe317eb8="Abraham54"]Het is inmiddels een fabeltje dat antivirus je PC vertraagd.

  Probeer dat maar uit met Avast of Avira, je zal nauwelijks tot geen verschil bemerken.

  En let wel - omdat jij persé zonder antivirus wil werken - prima.

  Maar verwacht dan niet dat de redding via fora en vrijwilligers die jouw Vista kunnen schoonmaken dan ook daadwerkelijk gebeurd!

  Want zo werkt dat niet![/quote:acfe317eb8]

  Ik zal het inderdaad nog eens uitproberen. Baat het niet dan schaadt het niet. In ieder geval vriendelijk bedankt voor de moeite.

  Mijn vista schoonmaken doe ik één keer per half jaar, complete reset van de HD. ;)
 • Lukt het een beetje?
 • [b:38b7967252]Abraham54 schreef[/b:38b7967252]

  [quote:38b7967252]En de besmetting in je PC is niet van zomaar en ik denk dat je dat ook weet.
  Want je hebt geen antivirus in jouw Windows. [/quote:38b7967252]

  En Windows is ook niet bijgewerkt. SP2 ontbreekt.
 • Hoi Swake, dat laatste had ik natuurlijk ook al gezien.
  Maar het heeft geen zin een besmette PC te gaan updaten met een ServicePack!

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.