Vraag & Antwoord

Beveiliging & privacy

Advertenties en redirecting

Anoniem
None
16 antwoorden
  • Sinds een maand ongeveer ontvang ik rechts onder in het scherm pop-ups met reclame over Samsung Galaxy, Brother printers, poker programma's en nog meer. Deze pop-up zijn 8 bij 8 cm en hebben rechts bovenin een super klein kruisje om ze weg te klikken. Elke keer als je naar een nieuw scherm gaat komt er een nieuwe pop up.

    Daarnaast als ik op Google zoek en ijv. informatie zoek over bezienswaardigheden bij een bepaalde plaats in Frankrijk, en ik wil het de geselecteerde hit in de lijst openen, dan komt bovenin het tabblad 'redirecting' te staan en soms op het tabblad zelf een boodschap als: 'pagina bestaat niet meer, even geduld aub' . Vervolgens beland ik op een advertentiepagina van een reisbureau, een vliegmaatschappij, van schoenen, enzovoort.

    Dit geeft me het gevoel dat ik geen baas meer ben over wat mijn pc selecteert. Ik heb gezocht naar een mogelijkheid om dit uit te zetten in Google of Windows, maar tevergeefs. Weet iemand wat ik hier tegen kan doen?
  • Cookies blokkeren in Windows,

    IE> extra > Internetopties > Privacy > geavanceerd.

    Maak je keuze daar.
  • Dit is geen cookie probleem. Er zit duidelijk troep in de pc.
    Wacht maar even op het advies van Abraham.
  • Hallo Bertus, begin nu eerst met het volgende:

    [b:2c5b435583]Welk programma[/b:2c5b435583]:
  • Hallo Abraham, ik heb jouw instructies opgevolgd en heb vervolgens het volgende logbestand verkregen:
    Ik hoop echt dat je er iets mee kunt. Alvast bedankt.
    ———————————-


    DDS (Ver_2011-08-26.01) - NTFSx86
    Internet Explorer: 8.0.6001.18702
    Run by ***** at 10:07:09 on 2012-06-13
    Microsoft Windows XP Home Edition 5.1.2600.3.1252.31.1043.18.766.389 [GMT 2:00]
    .
    AV: Microsoft Security Essentials *Disabled/Updated* {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}
    .
    ============== Running Processes ===============
    .
    C:\WINDOWS\system32\svchost -k DcomLaunch
    svchost.exe
    C:\Program Files\Microsoft Security Client\MsMpEng.exe
    C:\WINDOWS\System32\svchost.exe -k netsvcs
    svchost.exe
    svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    svchost.exe
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
    C:\Program Files\Java\jre6\bin\jqs.exe
    C:\Program Files\Common Files\LightScribe\LSSrvc.exe
    C:\Program Files\Google\Update\GoogleUpdate.exe
    C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\rundll32.exe
    C:\WINDOWS\system32\VTTimer.exe
    C:\WINDOWS\system32\S3trayp.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Common Files\Java\Java Update\jusched.exe
    C:\Program Files\Ask.com\Updater\Updater.exe
    C:\Program Files\Microsoft Security Client\msseces.exe
    C:\program files\real\realplayer\update\realsched.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\OLYMPUS\OLYMPUS Master 2\MMonitor.exe
    C:\WINDOWS\system32\svchost.exe -k imgsvc
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\system32\wscntfy.exe
    .
    ============== Pseudo HJT Report ===============
    .
    uSearch Bar = hxxp://safesearch.cyberdefender.com/smallsearch.html
    uStart Page = hxxp://europa.buienradar.nl/world-weather-fc.aspx?bron=3
    BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelperShim.dll
    BHO: RealPlayer Download and Record Plugin for Internet Explorer: {3049c3e9-b461-4bc5-8870-4c09146192ca} - c:\documents and settings\all users\application data\real\realplayer\browserrecordplugin\ie\rpbrowserrecordplugin.dll
    BHO: Office Document Cache Handler: {b4f3a835-0e21-4959-ba22-42b3008e02ff} - c:\progra~1\micros~2\office14\URLREDIR.DLL
    TB: MyIdentityDefender: {a26503fe-b3b8-4910-a9dc-9cbd25c6b8d6} - c:\documents and settings\*****\local settings\application data\cyberdefender\cdmyidd.dll
    TB: Google Toolbar: {2318c2b1-4965-11d4-9b18-009027a5cd4f} - c:\program files\google\google toolbar\GoogleToolbar_32.dll
    TB: Ask Toolbar: {d4027c7f-154a-4066-a1ad-4243d8127440} - c:\program files\ask.com\GenericAskToolbar.dll
    uRun: [CTFMON.EXE] c:\windows\system32\ctfmon.exe
    uRun: [LightScribe Control Panel] c:\program files\common files\lightscribe\LightScribeControlPanel.exe -hidden
    uRun: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "c:\program files\common files\ahead\lib\NMBgMonitor.exe"
    uRun: [MSMSGS] "c:\program files\messenger\msmsgs.exe" /background
    uRun: [OM2_Monitor] "c:\program files\olympus\olympus master 2\MMonitor.exe"
    mRun: [VTTimer] VTTimer.exe
    mRun: [S3Trayp] S3trayp.exe
    mRun: [RTHDCPL] RTHDCPL.EXE
    mRun: [Alcmtr] ALCMTR.EXE
    mRun: [Windows Defender] "c:\program files\windows defender\MSASCui.exe" -hide
    mRun: [OM2_Monitor] "c:\program files\olympus\olympus master 2\FirstStart.exe" /OM
    mRun: [WinPatrol] c:\program files\billp studios\winpatrol\winpatrol.exe -expressboot
    mRun: [QuickTime Task] "c:\program files\quicktime\qttask.exe" -atboottime
    mRun: [APSDaemon] "c:\program files\common files\apple\apple application support\APSDaemon.exe"
    mRun: [Adobe Reader Speed Launcher] "c:\program files\adobe\reader 9.0\reader\Reader_sl.exe"
    mRun: [Adobe ARM] "c:\program files\common files\adobe\arm\1.0\AdobeARM.exe"
    mRun: [SunJavaUpdateSched] "c:\program files\common files\java\java update\jusched.exe"
    mRun: [<NO NAME>]
    mRun: [ApnUpdater] "c:\program files\ask.com\updater\Updater.exe"
    mRun: [MSC] "c:\program files\microsoft security client\msseces.exe" -hide -runkey
    mRun: [TkBellExe] "c:\program files\real\realplayer\update\realsched.exe" -osboot
    dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
    IE: {53F6FCCD-9E22-4d71-86EA-6E43136192AB}
    IE: {925DAB62-F9AC-4221-806A-057BFB1014AA}
    IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
    IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\program files\messenger\msmsgs.exe
    IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - c:\program files\microsoft office\office14\ONBttnIE.dll
    IE: {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - {FFFDC614-B694-4AE6-AB38-5D6374584B52} - c:\program files\microsoft office\office14\ONBttnIELinkedNotes.dll
    DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - hxxp://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab
    DPF: {17492023-C23A-453E-A040-C7C580BBF700} - hxxp://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
    DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} - hxxp://verkopen.marktplaats.nl/js/widgets/imageUploader/aurigma/5_7_24_0/ImageUploader5.cab
    DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab
    DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab
    DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab
    DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    TCP: DhcpNameServer = 192.168.1.254
    TCP: Interfaces\{E6306FBC-559B-4518-9425-1AF2104307D4} : DhcpNameServer = 192.168.1.254
    Filter: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - c:\program files\common files\microsoft shared\office14\MSOXMLMF.DLL
    SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll
    SEH: Microsoft AntiMalware ShellExecuteHook: {091eb208-39dd-417d-a5dd-7e2c2d8fb9cb} - c:\progra~1\window~4\MpShHook.dll
    mASetup: {10880D85-AAD9-4558-ABDC-2AB1552D831F} - "c:\program files\common files\lightscribe\LSRunOnce.exe"
    .
    ============= SERVICES / DRIVERS ===============
    .
    R0 MpFilter;Microsoft Malware Protection Driver;c:\windows\system32\drivers\MpFilter.sys [2012-3-20 171064]
    R0 xfilt;VIA SATA IDE Hot-plug Driver;c:\windows\system32\drivers\xfilt.sys [2008-9-16 17920]
    R3 S3GIGP;S3GIGP;c:\windows\system32\drivers\S3gIGPm.sys [2008-9-16 634880]
    S2 gupdate;Google Updateservice (gupdate);c:\program files\google\update\GoogleUpdate.exe [2011-7-27 135664]
    S2 WinDefend;Windows Defender;c:\program files\windows defender\MsMpEng.exe [2006-11-3 13592]
    S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\macromed\flash\FlashPlayerUpdateService.exe [2012-3-29 257224]
    S3 gupdatem;Google Update-service (gupdatem);c:\program files\google\update\GoogleUpdate.exe [2011-7-27 135664]
    S3 osppsvc;Office Software Protection Platform;c:\program files\common files\microsoft shared\officesoftwareprotectionplatform\OSPPSVC.EXE [2010-1-9 4640000]
    S3 SetupNTGLM7X;SetupNTGLM7X;\??\d:\ntglm7x.sys –> d:\NTGLM7X.sys [?]
    .
    =============== Created Last 30 ================
    .
    2012-06-13 06:20:49 6737808 —-a-w- c:\documents and settings\all users\application data\microsoft\microsoft antimalware\definition updates\{fe626c97-a711-4be2-ad36-87da21cf4f81}\mpengine.dll
    2012-06-13 06:15:32 521728 -c—-w- c:\windows\system32\dllcache\jsdbgui.dll
    2012-06-11 16:22:45 6737808 ——w- c:\documents and settings\all users\application data\microsoft\microsoft antimalware\definition updates\backup\mpengine.dll
    2012-06-10 16:31:34 ——– d—–w- c:\program files\common files\xing shared
    2012-06-05 16:15:54 ——– d—–w- c:\documents and settings\*****\local settings\application data\PCHealth
    2012-06-04 11:34:34 ——– dc-h–w- c:\windows\ie8
    .
    ==================== Find3M ====================
    .
    2012-06-13 06:13:14 426184 —-a-w- c:\windows\system32\FlashPlayerApp.exe
    2012-06-13 06:13:11 70344 —-a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
    2012-06-10 16:30:04 499712 —-a-w- c:\windows\system32\msvcp71.dll
    2012-06-10 16:30:04 348160 —-a-w- c:\windows\system32\msvcr71.dll
    2012-05-31 13:22:05 602624 —-a-w- c:\windows\system32\crypt32.dll
    2012-05-16 15:09:47 916992 —-a-w- c:\windows\system32\wininet.dll
    2012-05-15 13:55:54 1863296 ——w- c:\windows\system32\win32k.sys
    2012-05-11 14:44:13 43520 ——w- c:\windows\system32\licmgr10.dll
    2012-05-11 14:44:13 1469440 ——w- c:\windows\system32\inetcpl.cpl
    2012-05-11 11:39:29 385024 ——w- c:\windows\system32\html.iec
    2012-05-05 03:15:00 2152960 ——w- c:\windows\system32\ntoskrnl.exe
    2012-05-05 03:14:59 2031104 ——w- c:\windows\system32\ntkrnlpa.exe
    2012-05-02 13:47:08 139656 ——w- c:\windows\system32\drivers\rdpwd.sys
    2012-05-01 06:45:06 73728 —-a-w- c:\windows\system32\javacpl.cpl
    2012-05-01 06:45:04 472808 —-a-w- c:\windows\system32\deployJava1.dll
    2012-03-20 18:44:12 171064 —-a-w- c:\windows\system32\drivers\MpFilter.sys
    .
    ============= FINISH: 10:08:12,60 ===============
  • Hallo Bertus, we beginnen met:

    [b:e9611fd6f9]Welk programma[/b:e9611fd6f9]:
  • Ik heb de procedure uitgevoerd en zeven bestanden zijn verwijderd. Daarna opnieuw opgestart, maar dezelfde advertenties in pop ups en redirecting doen zich nog steeds voor.

    Dit is het logbestand dat MBAM heeft gemaakt:

    —————————
    Malwarebytes Anti-Malware 1.61.0.1400
    www.malwarebytes.org

    Databaseversie: v2012.06.14.05

    Windows XP Service Pack 3 x86 NTFS
    Internet Explorer 8.0.6001.18702
    ***** :: SCHR-E12F92C28 [administrator]

    14-6-2012 9:33:10
    mbam-log-2012-06-14 (09-33-10).txt

    Scantype: Snelle scan
    Ingeschakelde scanopties: Geheugen | Opstartitems | Register | Bestanden en mappen | Heuristiek/Extra | Heuristiek/Shuriken | PUP | PUM
    Uitgeschakelde scanopties: P2P
    Objecten gescand: 189781
    Verstreken tijd: 12 minuut/minuten, 55 seconde(n)

    Geheugenprocessen gedetecteerd: 0
    (Geen kwaadaardige objecten gedetecteerd)

    Geheugenmodulen gedetecteerd: 0
    (Geen kwaadaardige objecten gedetecteerd)

    Registersleutels gedetecteerd: 0
    (Geen kwaadaardige objecten gedetecteerd)

    Registerwaarden gedetecteerd: 3
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations|bak_XMLLookup (Hijacker.XMLLookup) -> Data: http://shell.windows.com/fileassoc/fileassoc.asp?LangID=%04x&Ext=%s -> Succesvol in quarantaine geplaatst en verwijderd.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations|bak_Application (Hijacker.Application) -> Data: http://shell.windows.com/fileassoc/%04x/xml/redir.asp?Ext=%s -> Succesvol in quarantaine geplaatst en verwijderd.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations|bak_intl (Hijacker.intl) -> Data: http://shell.windows.com/fileassoc/fileassoc.asp?LangID=%04x&Ext=%s -> Succesvol in quarantaine geplaatst en verwijderd.

    Registerdata gedetecteerd: 3
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations|XMLLookup (Hijacker.XMLLookup) -> Slecht: (http://www.helpmeopen.com/?n=app&l=%04x&ext=%s) Goed: (http://shell.windows.com/fileassoc/fileassoc.asp?LangID=%04x&Ext=%s) -> Succesvol in quarantaine geplaatst en gerepareerd.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations|Application (Hijacker.Application) -> Slecht: (http://www.helpmeopen.com/?n=app&l=%04x&ext=%s) Goed: (http://shell.windows.com/fileassoc/%04x/xml/redir.asp?Ext=%s) -> Succesvol in quarantaine geplaatst en gerepareerd.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations|intl (Hijacker.intl) -> Slecht: (http://www.helpmeopen.com/?n=app&l=%04x&ext=%s) Goed: (http://shell.windows.com/fileassoc/fileassoc.asp?LangID=%04x&Ext=%s) -> Succesvol in quarantaine geplaatst en gerepareerd.

    Mappen gedetecteerd: 0
    (Geen kwaadaardige objecten gedetecteerd)

    Bestanden gedetecteerd: 1
    C:\Documents and Settings\*****\Local Settings\Temp\5660.sys (Rootkit.RLoader.Gen) -> Succesvol in quarantaine geplaatst en verwijderd.

    (einde)
  • Zozo, jouw Windows zit dus aangesloten in een botnet!
    Dus bestaat het risico ook, dat er op grote schaal aan identiteitsdiefstal is gebeurd.

    Denk daarbij aan inlog wachtwoorden, e-mail-accounts en adresboeken, online bank gegevens.

    Dus we gaan meteen zwaar geschut gebruiken - lees dus heel goed wat je met het volgende tool moet doen!
    Want de rootkit C:\Documents and Settings\*****\Local Settings\Temp\5660.sys ([b:83769d5568]
  • Ik heb het programma uitgevoerd en hij heeft 1 bestand opgespoord met de naam :

    virus Win32.Rloader.a

    de knop REPORT moet ik ergens gemist hebben. Want ik kan geen logbestand vinden. Maar na rebooten lijkt de actie effect te sorteren, want de pop ups komen niet meer en het redirecten lijkt ook weg. Wat dit laatste betreft hou ik een slag om de arm, want dat reageerde niet altijd even snel na het starten van de computer.

    Is het erg jammer van het logbestand?

    En hoe zie je dat het ging om een botnet?

    Moet ik verder nog iets ondernemen, want zelf heb ik nog niets gemerkt van identiteitsfraude?

    In ieder geval heel erg bedankt tot dusver, want zelf had ik dit niet kunnen oplossen.
  • Er staat toch echt ook waar je de logfile kan terugvinden:

    Wanneer het opnieuw opstarten noodzakelijk is, vind je de logfile in [b:a313c73f8c]
  • Ik heb in de TDSS map enkele bestanden gevonden met de volgende inhoud:

    —-
    [InfectedObject]
    Verdict: Virus.Win32.Rloader.a
    —-
    [InfectedObject]
    Type: Service
    Name: ACPI
    Type: Kernel driver (0x1)
    Start: Boot (0x0)
    ImagePath: system32\DRIVERS\ACPI.sys
    Suspicious states: Forged file;
    —–

    [InfectedFile]
    Type: Raw image
    Src: C:\WINDOWS\system32\DRIVERS\ACPI.sys
    md5: 5e063b753898d840f7372e1a8bbf7fbc
    ————–
    [InfectedFile]
    Type: Api image
    Src: C:\WINDOWS\system32\DRIVERS\ACPI.sys
    md5: 942e7a41dd7974de71eb60f914c0fd79
    —————–


    Heb je hier iets aan?

    Ik ben bij de ING.
  • Hoi, waar je die gevens vandaan hebt, weet ik niet.
    Je hebt/had een MBR=rootkit in jouw Windows.
    Of die nu wel of niet verwijderd is, is mij ook onbekend.
    En je moet er van uitgaan dat er indentitieitsdiefstal heeft plaatsgevonden.
    In welke mate dat gebeurd is, kan ik niet zeggen.

    We gaan controleren of de MBR nu gerepareerd is of niet.

    [b:fd6d54a7a4]Welk programma[/b:fd6d54a7a4]:
  • Dit is het resultaat:



    13:06:01.0359 3052 TDSS rootkit removing tool 2.7.39.0 Jun 14 2012 08:11:46
    13:06:01.0359 3052 ============================================================
    13:06:01.0359 3052 Current date / time: 2012/06/15 13:06:01.0359
    13:06:01.0359 3052 SystemInfo:
    13:06:01.0359 3052
    13:06:01.0359 3052 OS Version: 5.1.2600 ServicePack: 3.0
    13:06:01.0359 3052 Product type: Workstation
    13:06:01.0359 3052 ComputerName: E12F92C28
    13:06:01.0359 3052 UserName: *****
    13:06:01.0359 3052 Windows directory: C:\WINDOWS
    13:06:01.0359 3052 System windows directory: C:\WINDOWS
    13:06:01.0359 3052 Processor architecture: Intel x86
    13:06:01.0359 3052 Number of processors: 2
    13:06:01.0359 3052 Page size: 0x1000
    13:06:01.0359 3052 Boot type: Normal boot
    13:06:01.0359 3052 ============================================================
    13:06:03.0562 3052 Drive \Device\Harddisk0\DR0 - Size: 0x25433D6000 (149.05 Gb), SectorSize: 0x200, Cylinders: 0x4C01, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'K0', Flags 0x00000054
    13:06:03.0609 3052 ============================================================
    13:06:03.0609 3052 \Device\Harddisk0\DR0:
    13:06:03.0656 3052 MBR partitions:
    13:06:03.0656 3052 \Device\Harddisk0\DR0\Partition0: MBR, Type 0x7, StartLBA 0x3F, BlocksNum 0x9C41AD8
    13:06:03.0656 3052 \Device\Harddisk0\DR0\Partition1: MBR, Type 0x7, StartLBA 0x9C41B17, BlocksNum 0x8DD6FAA
    13:06:03.0656 3052 ============================================================
    13:06:03.0812 3052 C: <-> \Device\Harddisk0\DR0\Partition0
    13:06:03.0921 3052 E: <-> \Device\Harddisk0\DR0\Partition1
    13:06:03.0937 3052 ============================================================
    13:06:03.0937 3052 Initialize success
    13:06:03.0937 3052 ============================================================
    13:06:04.0015 3068 ============================================================
    13:06:04.0015 3068 Scan started
    13:06:04.0015 3068 Mode: Auto (DCExact ); SigCheck; TDLFS; Silent;
    13:06:04.0015 3068 ============================================================
    13:06:05.0703 3068 ACPI (12139c5b5d7366e54ef3029c65b8ca97) C:\WINDOWS\system32\DRIVERS\ACPI.sys
    13:06:09.0515 3068 ACPIEC (63f517b1a87dabf3f5acb8a7952fc1d1) C:\WINDOWS\system32\drivers\ACPIEC.sys
    13:06:09.0890 3068 AdobeFlashPlayerUpdateSvc (f3cd7b20b27d1772c946df993ff3635c) C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
    13:06:10.0109 3068 aec (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
    13:06:10.0578 3068 AFD (1e44bc1e83d8fd2305f8d452db109cf9) C:\WINDOWS\System32\drivers\afd.sys
    13:06:10.0875 3068 Alerter (8bed67d13dcb55b3e9ff6dac4c6d3b49) C:\WINDOWS\system32\alrsvc.dll
    13:06:11.0437 3068 ALG (dab2a89fde5cf791161200d90c1bcb12) C:\WINDOWS\System32\alg.exe
    13:06:11.0562 3068 AmdK8 (27e10d39513c3b04d3385b77e0de7804) C:\WINDOWS\system32\DRIVERS\AmdK8.sys
    13:06:11.0718 3068 aspnet_state (0e5e4957549056e2bf2c49f4f6b601ad) C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
    13:06:11.0828 3068 AsyncMac (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
    13:06:11.0984 3068 atapi (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
    13:06:12.0140 3068 Atmarpc (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
    13:06:12.0312 3068 AudioSrv (f10745ed3195360e69aa4a6e7768c0e0) C:\WINDOWS\System32\audiosrv.dll
    13:06:12.0515 3068 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
    13:06:12.0671 3068 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
    13:06:12.0937 3068 BITS (5c0073a51c4873430fa8b262e92183ff) C:\WINDOWS\system32\qmgr.dll
    13:06:13.0328 3068 Browser (69eaa7501f53a40e8c04c69f2391224f) C:\WINDOWS\System32\browser.dll
    13:06:13.0500 3068 BrPar (2fe6d5be0629f706197b30c0aa05de30) C:\WINDOWS\System32\drivers\BrPar.sys
    13:06:13.0531 3068 BrPar ( UnsignedFile.Multi.Generic ) - [b:8e0ca19047]
  • Prima, er is dus geen MBR-rootkit meer.
    We gaan dan ook nu op andere wijze diep in jouw Windows kijken.

    [b:86155d19d6]Welk programma[/b:86155d19d6]:
  • Hallo, dit ging vrij snel, dit is het resultaat;



    ComboFix 12-06-15.03 - ***** 15-06-2012 20:48:54.1.2 - x86
    Microsoft Windows XP Home Edition 5.1.2600.3.1252.31.1043.18.766.329 [GMT 2:00]
    Gestart vanuit: c:\documents and settings\*****\Bureaublad\ComboFix.exe
    AV: Microsoft Security Essentials *Disabled/Updated* {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}
    .
    .
    (((((((((((((((((((((((((((((((((( Andere Verwijderingen )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    c:\windows\IsUn0413.exe
    c:\windows\system32\dllcache\dlimport.exe
    c:\windows\system32\SET9E.tmp
    c:\windows\system32\SETA4.tmp
    c:\windows\system32\SETAD.tmp
    .
    .
    (((((((((((((((((((( Bestanden Gemaakt van 2012-05-15 to 2012-06-15 ))))))))))))))))))))))))))))))
    .
    .
    2012-06-15 18:43 . 2012-06-15 18:43 56200 —-a-w- c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{CAD59EB2-BC64-4761-9CFE-28FD07ED964D}\offreg.dll
    2012-06-15 11:11 . 2012-05-08 16:40 6737808 —-a-w- c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{CAD59EB2-BC64-4761-9CFE-28FD07ED964D}\mpengine.dll
    2012-06-15 11:05 . 2012-06-15 11:07 ——– d—–w- C:\TDSSStarter
    2012-06-14 13:59 . 2012-06-14 13:59 ——– d—–w- C:\TDSSKiller_Quarantine
    2012-06-14 08:05 . 2012-05-08 16:40 6737808 —-a-w- c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
    2012-06-14 07:32 . 2012-06-14 07:32 ——– d—–w- c:\documents and settings\*****\Application Data\Malwarebytes
    2012-06-14 07:31 . 2012-06-14 07:31 ——– d—–w- c:\documents and settings\All Users\Application Data\Malwarebytes
    2012-06-14 07:31 . 2012-06-14 07:32 ——– d—–w- c:\program files\Malwarebytes' Anti-Malware
    2012-06-14 07:31 . 2012-04-04 13:56 22344 —-a-w- c:\windows\system32\drivers\mbam.sys
    2012-06-14 07:24 . 2012-06-14 13:57 ——– d—–w- c:\program files\MBAM
    2012-06-13 06:15 . 2012-05-11 14:44 521728 -c—-w- c:\windows\system32\dllcache\jsdbgui.dll
    2012-06-10 16:31 . 2012-06-10 16:31 ——– d—–w- c:\program files\Common Files\xing shared
    2012-06-05 16:15 . 2012-06-05 16:15 ——– d—–w- c:\documents and settings\*****\Local Settings\Application Data\PCHealth
    2012-06-04 11:34 . 2012-06-04 11:38 ——– dc-h–w- c:\windows\ie8
    .
    .
    .
    ((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2012-06-14 14:00 . 2006-03-02 12:00 188544 —-a-w- c:\windows\system32\drivers\acpi.sys
    2012-06-13 06:13 . 2012-03-29 16:20 426184 —-a-w- c:\windows\system32\FlashPlayerApp.exe
    2012-06-13 06:13 . 2011-05-14 08:43 70344 —-a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
    2012-06-10 16:30 . 2011-11-21 08:53 499712 —-a-w- c:\windows\system32\msvcp71.dll
    2012-06-10 16:30 . 2011-11-21 08:53 348160 —-a-w- c:\windows\system32\msvcr71.dll
    2012-05-31 13:22 . 2006-03-02 12:00 602624 —-a-w- c:\windows\system32\crypt32.dll
    2012-05-16 15:09 . 2006-03-02 12:00 916992 —-a-w- c:\windows\system32\wininet.dll
    2012-05-15 13:55 . 2006-03-02 12:00 1863296 ——w- c:\windows\system32\win32k.sys
    2012-05-11 14:44 . 2006-03-02 12:00 43520 ——w- c:\windows\system32\licmgr10.dll
    2012-05-11 14:44 . 2006-03-02 12:00 1469440 ——w- c:\windows\system32\inetcpl.cpl
    2012-05-11 11:39 . 2006-03-02 12:00 385024 ——w- c:\windows\system32\html.iec
    2012-05-05 03:15 . 2006-03-02 12:00 2152960 ——w- c:\windows\system32\ntoskrnl.exe
    2012-05-05 03:14 . 2004-08-04 00:58 2031104 ——w- c:\windows\system32\ntkrnlpa.exe
    2012-05-02 13:47 . 2008-09-16 13:32 139656 ——w- c:\windows\system32\drivers\rdpwd.sys
    2012-05-01 06:45 . 2012-05-01 06:46 73728 —-a-w- c:\windows\system32\javacpl.cpl
    2012-05-01 06:45 . 2011-01-23 16:08 472808 —-a-w- c:\windows\system32\deployJava1.dll
    2012-04-13 07:36 . 2012-05-05 05:55 6734704 ——w- c:\documents and settings\All Users\Application Data\Microsoft\Windows Defender\Definition Updates\{248EED4B-3588-4CC6-A97E-D56E6501DB8F}\mpengine.dll
    2012-04-13 07:36 . 2008-10-18 07:52 6734704 ——w- c:\documents and settings\All Users\Application Data\Microsoft\Windows Defender\Definition Updates\Backup\mpengine.dll
    2012-03-20 18:44 . 2012-03-20 18:44 171064 —-a-w- c:\windows\system32\drivers\MpFilter.sys
    .
    .
    ((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond
    REGEDIT4
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
    "{A26503FE-B3B8-4910-A9DC-9CBD25C6B8D6}"= "c:\documents and settings\*****\Local Settings\Application Data\CyberDefender\cdmyidd.dll" [2010-01-22 3958088]
    "{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\program files\Ask.com\GenericAskToolbar.dll" [2012-04-09 1519272]
    .
    [HKEY_CLASSES_ROOT\clsid\{a26503fe-b3b8-4910-a9dc-9cbd25c6b8d6}]
    [HKEY_CLASSES_ROOT\Cdmyidd.SecurityToolbar.1]
    [HKEY_CLASSES_ROOT\TypeLib\{CD24EB02-9831-4838-99D0-726D411B1328}]
    [HKEY_CLASSES_ROOT\Cdmyidd.SecurityToolbar]
    .
    [HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
    [HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
    [HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
    [HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]
    .
    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
    "{A26503FE-B3B8-4910-A9DC-9CBD25C6B8D6}"= "c:\documents and settings\*****\Local Settings\Application Data\CyberDefender\cdmyidd.dll" [2010-01-22 3958088]
    "{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\program files\Ask.com\GenericAskToolbar.dll" [2012-04-09 1519272]
    .
    [HKEY_CLASSES_ROOT\clsid\{a26503fe-b3b8-4910-a9dc-9cbd25c6b8d6}]
    [HKEY_CLASSES_ROOT\Cdmyidd.SecurityToolbar.1]
    [HKEY_CLASSES_ROOT\TypeLib\{CD24EB02-9831-4838-99D0-726D411B1328}]
    [HKEY_CLASSES_ROOT\Cdmyidd.SecurityToolbar]
    .
    [HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
    [HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
    [HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
    [HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]
    .
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "LightScribe Control Panel"="c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe" [2007-04-19 484904]
    "OM2_Monitor"="c:\program files\OLYMPUS\OLYMPUS Master 2\MMonitor.exe" [2009-11-25 95632]
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "VTTimer"="VTTimer.exe" [2006-09-21 53248]
    "S3Trayp"="S3trayp.exe" [2006-10-09 176128]
    "RTHDCPL"="RTHDCPL.EXE" [2007-04-12 16132608]
    "OM2_Monitor"="c:\program files\OLYMPUS\OLYMPUS Master 2\FirstStart.exe" [2009-11-25 54672]
    "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2012-02-16 421888]
    "APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2011-09-27 59240]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-03-27 37296]
    "Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712]
    "SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2012-01-18 254696]
    "ApnUpdater"="c:\program files\Ask.com\Updater\Updater.exe" [2012-04-09 1557160]
    "MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2012-03-26 931200]
    "TkBellExe"="c:\program files\real\realplayer\update\realsched.exe" [2012-06-10 296056]
    .
    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
    .
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
    @="Service"
    .
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
    @="Service"
    .
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\Program Files\\Common Files\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=
    "c:\\Program Files\\Microsoft Office\\Office14\\ONENOTE.EXE"=
    .
    S2 gupdate;Google Updateservice (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [27-7-2011 8:57 135664]
    S2 WinDefend;Windows Defender;c:\program files\Windows Defender\MsMpEng.exe [3-11-2006 19:19 13592]
    S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [29-3-2012 18:20 257224]
    S3 gupdatem;Google Update-service (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [27-7-2011 8:57 135664]
    S3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [9-1-2010 21:37 4640000]
    S3 SetupNTGLM7X;SetupNTGLM7X;\??\d:\ntglm7x.sys –> d:\NTGLM7X.sys [?]
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
    2007-04-19 11:23 452136 —-a-w- c:\program files\Common Files\LightScribe\LSRunOnce.exe
    .
    Inhoud van de 'Gedeelde Taken' map
    .
    2012-06-15 c:\windows\Tasks\Adobe Flash Player Updater.job
    - c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-03-29 06:13]
    .
    2012-05-01 c:\windows\Tasks\AppleSoftwareUpdate.job
    - c:\program files\Apple Software Update\SoftwareUpdate.exe [2011-06-01 16:57]
    .
    2012-06-15 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2011-07-27 06:57]
    .
    2012-06-15 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2011-07-27 06:57]
    .
    2012-06-15 c:\windows\Tasks\Microsoft Antimalware Scheduled Scan.job
    - c:\program files\Microsoft Security Client\MpCmdRun.exe [2012-03-26 15:03]
    .
    2012-06-15 c:\windows\Tasks\MpIdleTask.job
    - c:\program files\Microsoft Security Client\MpCmdRun.exe [2012-03-26 15:03]
    .
    2012-06-15 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-1417001333-1303643608-725345543-1004.job
    - c:\program files\Real\RealUpgrade\realupgrade.exe [2012-04-30 16:21]
    .
    2012-06-10 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-1417001333-1303643608-725345543-1004.job
    - c:\program files\Real\RealUpgrade\realupgrade.exe [2012-04-30 16:21]
    .
    2012-06-15 c:\windows\Tasks\Scheduled Update for Ask Toolbar.job
    - c:\program files\Ask.com\UpdateTask.exe [2012-04-09 15:43]
    .
    .
    ——- Bijkomende Scan ——-
    .
    uStart Page = hxxp://europa.buienradar.nl/world-weather-fc.aspx?bron=3
    TCP: DhcpNameServer = 192.168.1.254
    .
    - - - - ORPHANS VERWIJDERD - - - -
    .
    Toolbar-Locked - (no file)
    HKCU-Run-BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} - c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe
    HKLM-Run-WinPatrol - c:\program files\BillP Studios\WinPatrol\winpatrol.exe
    SafeBoot-22798239.sys
    .
    .
    .
    **************************************************************************
    .
    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2012-06-15 20:56
    Windows 5.1.2600 Service Pack 3 NTFS
    .
    scannen van verborgen processen …
    .
    scannen van verborgen autostart items …
    .
    scannen van verborgen bestanden …
    .
    Scan succesvol afgerond
    verborgen bestanden: 0
    .
    **************************************************************************
    .
    Voltooingstijd: 2012-06-15 20:59:38
    ComboFix-quarantined-files.txt 2012-06-15 18:59
    .
    Pre-Run: 60.686.643.200 bytes beschikbaar
    Post-Run: 61.417.234.432 bytes beschikbaar
    .
    WindowsXP-KB310994-SP2-Home-BootDisk-NLD.exe
    [boot loader]
    timeout=2
    default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
    [operating systems]
    c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
    UnsupportedDebug="do not select this" /debug
    multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect /usepmtimer
    .
    - - End Of File - - 0F9F05933686ADDFCF9D2904FD288C86
  • Hallo Bertus, we gebruiken nu ComboFix middels een script.

    Open een nieuw kladblok (of anders: notepad) bestand, via "Start\Alle programma’s\Bureau-accessoires\[b:162752f123]Kladblok (of Notepad)[/b:162752f123]".

    Kopieer en plak de volgende (vetgedrukte, blauwe tekst) in het lege kladblokvenstervenster


    [b:162752f123]

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.