Vraag & Antwoord

Beveiliging & privacy

Trojan => pc start niet meer op

Anoniem
Abraham54
39 antwoorden
  • ESETSmartInstaller@High as CAB hook log:
    OnlineScanner.ocx - registred OK
    # version=7
    # iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
    # OnlineScanner.ocx=1.0.0.6427
    # api_version=3.0.2
    # EOSSerial=336058f827a8a44aabf6f22adf7aa246
    # end=finished
    # remove_checked=true
    # archives_checked=true
    # unwanted_checked=true
    # unsafe_checked=true
    # antistealth_checked=true
    # utc_time=2011-05-08 05:25:28
    # local_time=2011-05-08 07:25:28 (+0100, Romance (zomertijd))
    # country="Belgium"
    # lang=1033
    # osver=5.1.2600 NT Service Pack 3
    # compatibility_mode=512 16777215 100 0 0 0 0 0
    # compatibility_mode=1032 16777173 100 94 906 48162815 0 0
    # compatibility_mode=1536 16777215 100 0 0 0 0 0
    # compatibility_mode=8192 67108863 100 0 127 127 0 0
    # scanned=86610
    # found=3
    # cleaned=3
    # scan_time=6707
    C:\Documents and Settings\VAN KERCKHOVE\Local Settings\Temporary Internet Files\Content.IE5\9320MJ1H\bs_banner[1].js JS/Kryptik.AK trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
    C:\Documents and Settings\VAN KERCKHOVE\Local Settings\Temporary Internet Files\Content.IE5\9320MJ1H\bs_rotator[1].js JS/Kryptik.AK trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
    F:\Smitfraudfix\SmitfraudFix\restart.exe Win32/Shutdown.NAA application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
  • Hoi, wil je het volgende doen:

    [b:48ac35b915]Welk programma[/b:48ac35b915]: "aswMBR.exe'
    [b:48ac35b915]Waarvoor/waarom[/b:48ac35b915]: Rootkitscanner
    [b:48ac35b915]Moeilijkheidsgraad[/b:48ac35b915]: geen
    [b:48ac35b915]Downloadlokatie[/b:48ac35b915]: Dit programma absoluut naar het bureaublad downloaden of anders daar naar toe verplaatsen!
    [b:48ac35b915]Download[/b:48ac35b915] [b:48ac35b915]aswMBR.exe[/b:48ac35b915] [b:48ac35b915]hier[/b:48ac35b915].


    [b:48ac35b915]aswMBR.exe gebruiken[/b:48ac35b915]:
    [list:48ac35b915][*:48ac35b915]Windows 2000 en Windows XP: start "aswMBR.exe" middels dubbelklik op "aswMBR.exe".
    [*:48ac35b915]Windows Vista en Windows 7: start "aswMBR.exe" middels rechtsklik op "aswMBR.exe" en kies jij voor [b:48ac35b915]Als Administrator uitvoeren[/b:48ac35b915].[/list:u:48ac35b915]


    [list:48ac35b915][*:48ac35b915] Klik nu in het zwarte scherm op de knop [b:48ac35b915]Scan[/b:48ac35b915]
    [*:48ac35b915] Als de melding "Scan finished successfully" komt, klik dan vervolgens op de knop [b:48ac35b915]Save log[/b:48ac35b915]
    [*:48ac35b915] Het makkelijkst is het, als opslaglokatie voor het log gewoon het bureaublad te kiezen.
    [*:48ac35b915] Tevens vindt je nu op het bureaublad ook het bestand [b:48ac35b915]MBR.dat[/b:48ac35b915]!
    [*:48ac35b915] [b:48ac35b915]MBR.dat[/b:48ac35b915] is een backupbestand, bewaar dat dus voorlopig.
    [*:48ac35b915] Ook op het bureaublad staat een kladbloktekst-document genaamd [b:48ac35b915]aswMBR.txt[/b:48ac35b915]
    [*:48ac35b915] Post de inhoud van [b:48ac35b915]aswMBR.txt[/b:48ac35b915] in jouw volgende bericht.[/list:u:48ac35b915]
  • aswMBR version 0.9.5.256 Copyright© 2011 AVAST Software
    Run date: 2011-05-09 18:44:54
    —————————–
    18:44:54.843 OS Version: Windows 5.1.2600 Service Pack 3
    18:44:54.843 Number of processors: 2 586 0x403
    18:44:54.843 ComputerName: JURGEN UserName:
    18:44:57.421 Initialize success
    18:45:09.812 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-17
    18:45:09.812 Disk 0 Vendor: WDC_WD1600JD-00HBB0 08.02D08 Size: 152627MB BusType: 3
    18:45:09.812 Disk 1 \Device\Harddisk1\DR1 -> \Device\Ide\IdeDeviceP2T0L0-22
    18:45:09.812 Disk 1 Vendor: WDC_WD1600JD-00HBB0 08.02D08 Size: 152627MB BusType: 3
    18:45:11.875 Disk 0 MBR read successfully
    18:45:11.875 Disk 0 MBR scan
    18:45:11.875 Disk 0 Windows XP default MBR code
    18:45:13.875 Disk 0 scanning sectors +312576705
    18:45:13.906 Disk 0 scanning C:\WINDOWS\system32\drivers
    18:45:32.046 Service scanning
    18:45:33.500 Disk 0 trace - called modules:
    18:45:33.515 ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS
    18:45:33.531 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x86d43ab8]
    18:45:33.531 3 CLASSPNP.SYS[f767bfd7] -> nt!IofCallDriver -> \Device\00000082[0x86d479e8]
    18:45:33.531 5 ACPI.sys[f74f1620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP1T0L0-17[0x86dc9940]
    18:45:33.531 Scan finished successfully
    18:46:06.046 Disk 0 MBR has been saved successfully to "C:\Documents and Settings\VAN KERCKHOVE\Bureaublad\MBR.dat"
    18:46:06.062 The log file has been saved successfully to "C:\Documents and Settings\VAN KERCKHOVE\Bureaublad\aswMBR.txt"


  • Je mag het volgende doen:

    Klik op de "Scan" knop.
    Wanneer de scan klaar is klik je op de knop "FixMBR".
    Wanneer de melding verschijnt 'Infection fixed successfully - please reboot ASAP' herstart je de computer onmiddellijk.
  • Ik krijg enkel 'Disk 0 Windows 501 MBR fixed succesfully', daarna lijkt programmaatje niks meer te doen & heb ik pc gewoon heropgestart?
    Is er nog iets te zien in de logs van abnormaliteiten gezien u in één v/d vorige posts aangaf dat 't er mooi uit zag? …
  • Jij mag MBAM nog weer opstarten, eerst updaten en dan MBAM een snelle scan laten doen!

    Post aansluitend de inhoud van het MBAM-log.
  • Malwarebytes' Anti-Malware 1.50.1.1100
    www.malwarebytes.org

    Databaseversie: 6540

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    9/05/2011 21:51:20
    mbam-log-2011-05-09 (21-51-10).txt

    Scantype: Snelle scan
    Objecten gescand: 145282
    Verstreken tijd: 9 minuut/minuten, 11 seconde(n)

    Geheugenprocessen geïnfecteerd: 0
    Geheugenmodulen geïnfecteerd: 0
    Registersleutels geïnfecteerd: 1
    Registerwaarden geïnfecteerd: 0
    Registerdata geïnfecteerd: 0
    Mappen geïnfecteerd: 0
    Bestanden geïnfecteerd: 0

    Geheugenprocessen geïnfecteerd:
    (Geen kwaadaardige objecten gedetecteerd)

    Geheugenmodulen geïnfecteerd:
    (Geen kwaadaardige objecten gedetecteerd)

    Registersleutels geïnfecteerd:
    HKEY_CURRENT_USER\Software\Microsoft\idgbn5xehg (Malware.Trace) -> No action taken.

    Registerwaarden geïnfecteerd:
    (Geen kwaadaardige objecten gedetecteerd)

    Registerdata geïnfecteerd:
    (Geen kwaadaardige objecten gedetecteerd)

    Mappen geïnfecteerd:
    (Geen kwaadaardige objecten gedetecteerd)

    Bestanden geïnfecteerd:
    (Geen kwaadaardige objecten gedetecteerd)
  • Waarom heb je die malwaredownloader NIET laten verwijderen door MBAM?

    En doe het volgende:

    [b:77e88fbaf3]Download CKScanner by askey 127 en sla het op je bueaublad op[/b:77e88fbaf3].
    Vista en Win 7 gebruikers gebruiken dit tool via rechtsklik en kiezen voor Als Administrator uitvoeren.
    • Klik/dubbelklik op [b:77e88fbaf3]CKScanner by askey 127[/b:77e88fbaf3] om het tool te starten en klik op Search for Files.
    • Na een korte tijd, wanneer de zandloper verdwijnt, klik dan op Save List To File
    • Een berichtvenster zal bevestigen dat het dokument is opgelagen.
    • Klik/dubbelklik op de CKFiles.txt snelkoppeling op je bureaublad en kopiëer en plak de inhoud in je volgende post.
  • CKScanner - Additional Security Risks - These are not necessarily bad
    c:\program files\musicmatch\musicmatch jukebox\crypt.dll
    c:\program files\musicmatch\musicmatch update\mmjb\crypt.dll
    scanner sequence 3.AA.11
    —– EOF —–

    N.B. via Mbam idd. malware verwijderd… m'n post iets té vlug gedaan :-)
  • Hoe draait jouw Windows inmiddels?
  • draait op zich goed… mits ik bij opstarten nog altijd keuze meegeef voor windows xp edition i.p.v. setup… voor rest doet ie het uitstekend (al volg ik u wel wat AVG betreft welke ik voorlopig al terug had geïnstalleerd)
    P.S. Zéker mijn dank al voor al geleverde adviezen… SUPER
  • Weet jij de boot.ini file van Windows XP te vinden?

    Post dan de inhoud daarvan!
  • [Boot Loader]
    Timeout=5
    Default=C:\$WIN_NT$.~BT\BOOTSECT.DAT
    [Operating Systems]
    multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
    C:\$WIN_NT$.~BT\BOOTSECT.DAT="Windows Setup"
  • Je mag onderstaande vermelding uit de boot.ini verwijderen:

    [b:9dc36c165f]C:\$WIN_NT$.~BT\BOOTSECT.DAT="Windows Setup"[/b:9dc36c165f]


    En sla dan de boot.ini opnieuw op!
  • Heb ik nu gedaan maar opstart blijft wonderwel zelfde
  • Wil jij de boot.ini file nogmaals controleren?
  • [Boot Loader]
    Timeout=5
    Default=C:\$WIN_NT$.~BT\BOOTSECT.DAT
    [Operating Systems]
    multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
  • De boot.ini-file:

    boot loader]
    timeout=5
    default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
    [operating systems]
    multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home" /noexecute=optin /fastdetect
  • Weet iemand of laatste puntje (x10nets.exe) voor problemen kan zorgen: avast komt steevast vragen dit in sandbox te draaien… bij mijn weten is het om streaming video mogelijk te maken???

    Logfile of Trend Micro HijackThis v2.0.4
    Scan saved at 21:31:21, on 13/07/2011
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v8.00 (8.00.6001.18702)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
    C:\Program Files\AVAST Software\Avast\AvastSvc.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\AGRSMMSG.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\Home Cinema\PowerCinema\PCMService.exe
    C:\Program Files\AVAST Software\Avast\avastUI.exe
    C:\Program Files\Windows Live\Messenger\msnmsgr.exe
    C:\Program Files\Windows Media Player\WMPNSCFG.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
    C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
    C:\Program Files\CheckPoint\SSL Network Extender\slimsvc.exe
    C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
    C:\Program Files\Java\jre6\bin\jqs.exe
    C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
    C:\Program Files\Windows Media Player\wmplayer.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\system32\wisptis.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\SoftwareDistribution\Download\Install\windows-kb890830-v3.21-delta.exe
    f:\93ad4acb3dbdcbe9cd8d0034\mrtstub.exe
    C:\WINDOWS\system32\MRT.exe
    F:\HiJackThis\Trend Micro\HiJackThis\HiJackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hln.be/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
    O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
    O2 - BHO: Windows Live Aanmelden - Help - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
    O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Home Cinema\PowerCinema\PCMService.exe"
    O4 - HKLM\..\Run: [avast] "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: BlueSoleil.lnk = C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O14 - IERESET.INF: START_PAGE_URL=http://www.telenet.be
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106838455765
    O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} (OnlineScanner Control) - http://download.eset.com/special/eos-beta/OnlineScanner.cab
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
    O16 - DPF: {B4CB50E4-0309-4906-86EA-10B6641C8392} (SlimClient Class) - https://remote.aznikolaas.be/SNX/CSHELL/extender.cab
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = azwaasland.be,sn.azmm,itnet.hosp
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = azwaasland.be,sn.azmm,itnet.hosp
    O22 - SharedTaskScheduler: Preloader van browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\Browseui.dll
    O22 - SharedTaskScheduler: Cache-daemon voor onderdeelcategorieën - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\Browseui.dll
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\AVAST Software\Avast\AvastSvc.exe
    O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
    O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
    O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
    O23 - Service: Check Point SSL Network Extender (cpextender) - Check Point Software Technologies - C:\Program Files\CheckPoint\SSL Network Extender\slimsvc.exe
    O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
    O23 - Service: Lavasoft Ad-Aware Service - Lavasoft Limited - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
    O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe


    End of file - 8208 bytes

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.