Vraag & Antwoord

Beveiliging & privacy

meerdere hdd met bootsector virus

Anoniem
Abraham54
47 antwoorden
  • avast 6 free geinstalleerd,
    windows firewall uitgeschakeld
    pctools firewall geinstalleerd

    Hoe ziet het er nu uit? Moet ik nog iets doen (ieder keer als ik denk dat ik er ben tover je iets uit de hoed en wordt er weer iets gevonden)?

    ben benieuwd,

    gr.
    Bert
  • Post nu eerst maar een nieuw HijackThis-log.
  • Logfile of Trend Micro HijackThis v2.0.4
    Scan saved at 18:55:44, on 11-6-2011
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v8.00 (8.00.6001.18702)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Windows Defender\MsMpEng.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\AVAST Software\Avast\AvastSvc.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Citrix\ICA Client\concentr.exe
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\Program Files\AVAST Software\Avast\avastUI.exe
    C:\Program Files\Citrix\ICA Client\wfcrun32.exe
    C:\Program Files\Microsoft ActiveSync\Wcescomm.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\PROGRA~1\MICROS~3\rapimgr.exe
    C:\WINDOWS\system32\brsvc01a.exe
    C:\WINDOWS\system32\brss01a.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\CNAC4RPK.EXE
    C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\Program Files\CDBurnerXP\NMSAccessU.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Program Files\iPod\bin\iPodService.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe
    C:\Program Files\PC Tools Firewall Plus\FWService.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
    C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
    C:\Program Files\ScanSoft\OmniPageSE\OmniPage.exe
    C:\Program Files\Canon\CanoScan Toolbox Ver4.1\CSTBox.exe
    C:\Program Files\ScanSoft\OmniPageSE\xocr32b.exe
    C:\temp\hijack this\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
    O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
    O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [ConnectionCenter] "C:\Program Files\Citrix\ICA Client\concentr.exe" /startup
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [avast] "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
    O4 - HKLM\..\Run: [00PCTFW] "C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe" -s
    O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\Wcescomm.exe"
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} - http://go.microsoft.com/fwlink/?linkid=39204
    O16 - DPF: {5AE58FCF-6F6A-49B2-B064-02492C66E3F4} (MUCatalogWebControl Class) - http://catalog.update.microsoft.com/v7/site/ClientControl/en/x86/MuCatalogWebControl.cab?1271007920328
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1271004783296
    O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - http://download.eset.com/special/eos-beta/OnlineScanner.cab
    O16 - DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} - http://94.209.82.13:9999/activex/AMC.cab
    O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
    O18 - Filter: application/x-ica - {CFB6322E-CC85-4d1b-82C7-893888A236BC} - C:\Program Files\Citrix\ICA Client\IcaMimeFilter.dll
    O18 - Filter hijack: ica - {CFB6322E-CC85-4d1b-82C7-893888A236BC} - C:\Program Files\Citrix\ICA Client\IcaMimeFilter.dll
    O22 - SharedTaskScheduler: Preloader van browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
    O22 - SharedTaskScheduler: Cache-daemon voor onderdeelcategorieën - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
    O23 - Service: Mobiel Apple apparaat (Apple Mobile Device) - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
    O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\AVAST Software\Avast\AvastSvc.exe
    O23 - Service: Bonjour-service (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
    O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
    O23 - Service: iPod-service (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: NMSAccess - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - Unknown owner - C:\Program Files\PC Tools Firewall Plus\FWService.exe
    O23 - Service: StarWind AE Service (StarWindServiceAE) - Unknown owner - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe (file missing)


    End of file - 6125 bytes


    Ik heb in mijn bios nog de optie bootsector op mogeljkheid tot schrijven staan. Moet ik die op disable zetten?
  • Hoi Bert, in het Bios mag je dat op Disabled zetten hoor.

    En je log: dat ziet er nu schitterend uit!


    Je mag via [b:8065b6502b]Defogger[/b:8065b6502b] DaemonTools weer aktiveren.


    We gaan opruimen:

    ComboFix mag nu verwijderd worden:
    [list:8065b6502b][*:8065b6502b] ga daarvoor naar Start - Uitvoeren
    [*:8065b6502b] kopieer en plak hierin het volgende: [b:8065b6502b]Combofix /Uninstall[/b:8065b6502b]
    [*:8065b6502b] klik daarna op [b:8065b6502b]OK[/b:8065b6502b].
    [*:8065b6502b] indien het goed is, krijg je vervolgens een melding, dat Combofix verwijderd werd.[/list:u:8065b6502b]

    Voorbeeld:

    [img:8065b6502b]http://www.emphyrio.be/images/SMUninstall_combofix.png[/img:8065b6502b]

    Uitvoeren kan ook gestart worden door de toetsen "Windowstoets + R" gelijktijdig in te drukken.

    [i:8065b6502b]Dit zal Combofix verwijderen inclusief gerelateerde mappen en bestanden,
    herstelt de klokinstellingen opnieuw, verbergt de bestandsextensies,
    gaat verborgen bestanden en systeembestanden terug verbergen
    en reset je Systeemherstel opnieuw.[/i:8065b6502b]



    Download [b:8065b6502b] (by OldTimer)
    [list:8065b6502b][*:8065b6502b]Plaats het bestand op je bureaublad.
    [*:8065b6502b]Zorg dat er een internetverbinding is.
    [*:8065b6502b]Vista / W7 Gebruikers :
    [list:8065b6502b][*:8065b6502b]Klik vervolgens met je rechtermuisknop op OTC.exe en kies voor Run as Administrator (Nederlands: Uitvoeren als Administrator) om het programma te starten.[/list:u:8065b6502b]
    [*:8065b6502b]XP Gebruikers:
    [list:8065b6502b][*:8065b6502b]Dubbelklik op OTC[/list:u:8065b6502b]
    [*:8065b6502b]Klik nu op de knop "CleanUp!"
    [*:8065b6502b]Als je firewall, of een ander beveiligingsprogramma, een waarschuwing geeft dat OTC.exe internettoegang wil,
    mag je dit toestaan, het programma heeft die connectie nodig.
    [*:8065b6502b]OTC zal als laatste vragen of je de computer herstarten wilt, dit mag je toestaan, hiermee verwijdert het zichzelf ook.[/list:u:8065b6502b]

    [i:8065b6502b][b:8065b6502b]Nota[/b:8065b6502b]: Het gebruik van OTC.exe zal alle gebruikte tools(inclusief bijbehorende logs en backupmappen) van je computer doen verwijderen.[/i:8065b6502b]
  • alles is nu verdwenen.
    mbr-check heb ik nog handmatig verwijderd.

    Het beste kan ik nu zeker een image maken van mijn c-schijf, of zij er andere tips en trucs.

    Ik wil je nu alvast bedanken voor je ondersteuning en waardeer het ten sterkste dat je hier tijd en energie hebt willen insteken.

    gr.
    Bert
  • Hoi Bert, fijne Pinksterdagen.

    Ik adviseer jou om meermaals per jaar naar onderstaande link te gaan:

    want zo controleer je of daadwerkelijk ook alles in Windows uptodate is.

    Dat kan gedaan worden via [b:f3cf580f2f]Secunia PSI[/b:f3cf580f2f] (klik)

    Klik daar eerst op de knop [b:f3cf580f2f]Start Scanner[/b:f3cf580f2f] en zet vervolgens op de nieuwe pagina eerst een vinkje bij [b:f3cf580f2f]Enable thorough system inspection[/b:f3cf580f2f] aleer op [b:f3cf580f2f]Start[/b:f3cf580f2f] te klikken!


    En een back-up maken van jouw Windows is inderdaad geen slecht idee.
  • Abraham54,

    nogmaals bedankt.
    Ik ga ervan uit dat ik voldoende informatie heb om in de toekomst problemen te voorkomen.

    Moet er nu een slotje opgezet worden?

    groet,
    bert

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.