Ga naar inhoud
  • 0

Waarschijnlijk een rootkit op mijn computer


Anoniem2

Vraag

Ik heb mijn computers laatst gescand met AVG anti-rootkit en hij had één rootkit gevonden, het is een hidden driver file in system32.\r\nMaar als ik hem dan verwijder en weer opnieuw scan dan komt tie weer terug maar dan met een andere naam: C:\\Windows\\System32\\Drivers\\aivhhmii.SYS\r\nEn die letters aan het einde voor sys die veranderen dan.\r\nIk heb mijn computer gescand met windows defender, ad aware 2007 en mijn virusscanner laten draaien maar die kunnen allemaal niks vinden.\r\nHier is mijn hijack log:\r\n\r\nLogfile of Trend Micro HijackThis v2.0.2\r\nScan saved at 19:15:37, on 21-10-2007\r\nPlatform: Windows Vista (WinNT 6.00.1904)\r\nMSIE: Internet Explorer v7.00 (7.00.6000.16546)\r\nBoot mode: Normal\r\n\r\nRunning processes:\r\nC:\\Windows\\system32\\taskeng.exe\r\nC:\\Windows\\system32\\Dwm.exe\r\nC:\\Windows\\Explorer.EXE\r\nC:\\Program Files\\Synaptics\\SynTP\\SynTPEnh.exe\r\nC:\\Windows\\sttray.exe\r\nC:\\Program Files\\Common Files\\InstallShield\\UpdateService\\issch.exe\r\nC:\\Program Files\\Dell\\MediaDirect\\PCMService.exe\r\nC:\\Program Files\\Grisoft\\AVG7\\avgcc.exe\r\nC:\\Program Files\\Java\\jre1.6.0_02\\bin\\jusched.exe\r\nC:\\Program Files\\Windows Sidebar\\sidebar.exe\r\nC:\\Windows\\ehome\\ehtray.exe\r\nC:\\Program Files\\Common Files\\Ahead\\Lib\\NMBgMonitor.exe\r\nC:\\Program Files\\ATI Technologies\\ATI.ACE\\CLI.EXE\r\nC:\\Program Files\\RocketDock\\RocketDock.exe\r\nC:\\Program Files\\Slawdog\\Smart Shutdown LX\\Smart Shutdown.exe\r\nC:\\Program Files\\DAEMON Tools\\daemon.exe\r\nC:\\Program Files\\Digital Line Detect\\DLG.exe\r\nC:\\Program Files\\Dell\\QuickSet\\quickset.exe\r\nC:\\Program Files\\ZyDAS Technology Corporation\\ZyDAS_802.11g_Utility\\ZDWlan.exe\r\nC:\\Windows\\system32\\wbem\\unsecapp.exe\r\nC:\\Windows\\ehome\\ehmsas.exe\r\nc:\\program files\\common files\\installshield\\updateservice\\isuspm.exe\r\nC:\\Program Files\\Common Files\\Ahead\\Lib\\NMIndexStoreSvr.exe\r\nC:\\Program Files\\Windows Sidebar\\sidebar.exe\r\nC:\\Program Files\\ATI Technologies\\ATI.ACE\\CLI.exe\r\nC:\\Program Files\\ATI Technologies\\ATI.ACE\\CLI.exe\r\nC:\\PROGRA~1\\COMMON~1\\INSTAL~1\\UPDATE~1\\agent.exe\r\nC:\\Program Files\\Java\\jre1.6.0_02\\bin\\jucheck.exe\r\nC:\\Program Files\\MSN Messenger\\msnmsgr.exe\r\nC:\\Windows\\System32\\mobsync.exe\r\nC:\\Program Files\\Windows Defender\\MSASCui.exe\r\nC:\\Program Files\\Internet Explorer\\ieuser.exe\r\nC:\\Windows\\system32\\SearchFilterHost.exe\r\nC:\\Program Files\\Trend Micro\\HijackThis\\HijackThis.exe\r\n\r\nR1 - HKCU\\Software\\Microsoft\\Internet Explorer\\Main,Search Bar = [url]http://g.msn.nl/0SENLNL/SAOS01?FORM=TOOLBR[/url]\r\nR1 - HKCU\\Software\\Microsoft\\Internet Explorer\\Main,Search Page = [url]http://g.msn.nl/0SENLNL/SAOS01?FORM=TOOLBR[/url]\r\nR0 - HKCU\\Software\\Microsoft\\Internet Explorer\\Main,Start Page = [url]http://www.google.nl/ig?hl=nl[/url]\r\nR1 - HKLM\\Software\\Microsoft\\Internet Explorer\\Main,Default_Page_URL = [url]http://go.microsoft.com/fwlink/?LinkId=69157[/url]\r\nR1 - HKLM\\Software\\Microsoft\\Internet Explorer\\Main,Default_Search_URL = [url]http://go.microsoft.com/fwlink/?LinkId=54896[/url]\r\nR1 - HKLM\\Software\\Microsoft\\Internet Explorer\\Main,Search Page = [url]http://go.microsoft.com/fwlink/?LinkId=54896[/url]\r\nR0 - HKLM\\Software\\Microsoft\\Internet Explorer\\Main,Start Page = [url]http://go.microsoft.com/fwlink/?LinkId=69157[/url]\r\nR0 - HKLM\\Software\\Microsoft\\Internet Explorer\\Search,SearchAssistant = \r\nR0 - HKLM\\Software\\Microsoft\\Internet Explorer\\Search,CustomizeSearch = \r\nR1 - HKCU\\Software\\Microsoft\\Internet Explorer\\SearchURL,(Default) = [url]http://g.msn.nl/0SENLNL/SAOS01?FORM=TOOLBR[/url]\r\nR1 - HKCU\\Software\\Microsoft\\Internet Explorer\\Main,Window Title = Internet Explorer aangeboden door Dell\r\nR0 - HKCU\\Software\\Microsoft\\Internet Explorer\\Toolbar,LinksFolderName = \r\nO1 - Hosts: ::1 localhost\r\nO2 - BHO: Adobe PDF Reader Help bij koppelingen - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\\Program Files\\Common Files\\Adobe\\Acrobat\\ActiveX\\AcroIEHelper.dll\r\nO2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\\Program Files\\Java\\jre1.6.0_02\\bin\\ssv.dll\r\nO2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)\r\nO2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\\Program Files\\Common Files\\Microsoft Shared\\Windows Live\\WindowsLiveLogin.dll\r\nO2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\\Program Files\\Windows Live Toolbar\\msntb.dll\r\nO2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\\Program Files\\BAE\\BAE.dll\r\nO3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\\Program Files\\Windows Live Toolbar\\msntb.dll\r\nO4 - HKLM\\..\\Run: [SynTPEnh] C:\\Program Files\\Synaptics\\SynTP\\SynTPEnh.exe\r\nO4 - HKLM\\..\\Run: [SigmatelSysTrayApp] sttray.exe\r\nO4 - HKLM\\..\\Run: [ATICCC] \"C:\\Program Files\\ATI Technologies\\ATI.ACE\\CLIStart.exe\"\r\nO4 - HKLM\\..\\Run: [ISUSScheduler] \"C:\\Program Files\\Common Files\\InstallShield\\UpdateService\\issch.exe\" -start\r\nO4 - HKLM\\..\\Run: [ECenter] c:\\dell\\E-Center\\EULALauncher.exe\r\nO4 - HKLM\\..\\Run: [PCMService] \"C:\\Program Files\\Dell\\MediaDirect\\PCMService.exe\"\r\nO4 - HKLM\\..\\Run: [NeroFilterCheck] C:\\Program Files\\Common Files\\Ahead\\Lib\\NeroCheck.exe\r\nO4 - HKLM\\..\\Run: [AVG7_CC] C:\\PROGRA~1\\Grisoft\\AVG7\\avgcc.exe /STARTUP\r\nO4 - HKLM\\..\\Run: [Windows Defender] %ProgramFiles%\\Windows Defender\\MSASCui.exe -hide\r\nO4 - HKLM\\..\\Run: [snpstd] C:\\Windows\\vsnpstd.exe\r\nO4 - HKLM\\..\\Run: [SunJavaUpdateSched] \"C:\\Program Files\\Java\\jre1.6.0_02\\bin\\jusched.exe\"\r\nO4 - HKLM\\..\\Run: [Adobe Reader Speed Launcher] \"C:\\Program Files\\Adobe\\Reader 8.0\\Reader\\Reader_sl.exe\"\r\nO4 - HKCU\\..\\Run: [Sidebar] C:\\Program Files\\Windows Sidebar\\sidebar.exe /autoRun\r\nO4 - HKCU\\..\\Run: [ehTray.exe] C:\\Windows\\ehome\\ehTray.exe\r\nO4 - HKCU\\..\\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] \"C:\\Program Files\\Common Files\\Ahead\\Lib\\NMBgMonitor.exe\"\r\nO4 - HKCU\\..\\Run: [RocketDock] \"C:\\Program Files\\RocketDock\\RocketDock.exe\"\r\nO4 - HKCU\\..\\Run: [Smart Shutdown] C:\\Program Files\\Slawdog\\Smart Shutdown LX\\Smart Shutdown.exe\r\nO4 - HKCU\\..\\Run: [DAEMON Tools] \"C:\\Program Files\\DAEMON Tools\\daemon.exe\" -lang 1033\r\nO4 - HKUS\\S-1-5-19\\..\\Run: [Sidebar] %ProgramFiles%\\Windows Sidebar\\Sidebar.exe /detectMem (User \'LOCAL SERVICE\')\r\nO4 - HKUS\\S-1-5-19\\..\\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User \'LOCAL SERVICE\')\r\nO4 - HKUS\\S-1-5-19\\..\\Run: [AVG7_Run] C:\\PROGRA~1\\Grisoft\\AVG7\\avgw.exe /RUNONCE (User \'LOCAL SERVICE\')\r\nO4 - HKUS\\S-1-5-20\\..\\Run: [Sidebar] %ProgramFiles%\\Windows Sidebar\\Sidebar.exe /detectMem (User \'NETWORK SERVICE\')\r\nO4 - Startup: Stardock ObjectDock.lnk = C:\\Program Files\\Stardock\\ObjectDock\\ObjectDock.exe\r\nO4 - Global Startup: Digital Line Detect.lnk = C:\\Program Files\\Digital Line Detect\\DLG.exe\r\nO4 - Global Startup: QuickSet.lnk = ?\r\nO4 - Global Startup: ZDWLan Utility.lnk = C:\\Program Files\\ZyDAS Technology Corporation\\ZyDAS_802.11g_Utility\\ZDWlan.exe\r\nO8 - Extra context menu item: &Windows Live Search - res://C:\\Program Files\\Windows Live Toolbar\\msntb.dll/search.htm\r\nO8 - Extra context menu item: Add to AMV Convert Tool... - C:\\Program Files\\MP3 Player Utilities 4.00\\AMVConverter\\grab.html\r\nO8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\\PROGRA~1\\MICROS~3\\Office12\\EXCEL.EXE/3000\r\nO8 - Extra context menu item: MediaManager tool grab multimedia file - C:\\Program Files\\MP3 Player Utilities 4.00\\MediaManager\\grab.html\r\nO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\\Program Files\\Java\\jre1.6.0_02\\bin\\npjpi160_02.dll\r\nO9 - Extra \'Tools\' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\\Program Files\\Java\\jre1.6.0_02\\bin\\npjpi160_02.dll\r\nO9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\\PROGRA~1\\MICROS~3\\Office12\\REFIEBAR.DLL\r\nO13 - Gopher Prefix: \r\nO17 - HKLM\\System\\CCS\\Services\\Tcpip\\..\\{82CB078D-D2AA-46C3-A075-0CC1B3C56348}: NameServer = 10.0.0.138\r\nO20 - Winlogon Notify: avgwlntf - C:\\Windows\\SYSTEM32\\avgwlntf.dll\r\nO23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\\Windows\\system32\\Ati2evxx.exe\r\nO23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\\PROGRA~1\\Grisoft\\AVG7\\avgamsvr.exe\r\nO23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\\PROGRA~1\\Grisoft\\AVG7\\avgupsvc.exe\r\nO23 - Service: AVG7 Resident Shield Service (AvgCoreSvc) - GRISOFT, s.r.o. - C:\\PROGRA~1\\Grisoft\\AVG7\\avgrssvc.exe\r\nO23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\\Program Files\\Common Files\\InstallShield\\Driver\\1050\\Intel 32\\IDriverT.exe\r\nO23 - Service: NBService - Nero AG - C:\\Program Files\\Nero\\Nero 7\\Nero BackItUp\\NBService.exe\r\nO23 - Service: NMIndexingService - Nero AG - C:\\Program Files\\Common Files\\Ahead\\Lib\\NMIndexingService.exe\r\nO23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\\Program Files\\SigmaTel\\C-Major Audio\\WDM\\STacSV.exe\r\nO23 - Service: stllssvr - Unknown owner - C:\\Program Files\\Common Files\\SureThing Shared\\stllssvr.exe (file missing)\r\nO23 - Service: XAudioService - Conexant Systems, Inc. - C:\\Windows\\system32\\DRIVERS\\xaudio.exe\r\n\r\n--\r\nEnd of file - 8492 bytes\r\n\r\nKan iemand mij misschien zeggen of ik deze rootkit gewoon kan laten staan en hoe ik hem anders moet verwijderen ? Alvast heel erg bedankt:D
Link naar reactie

14 antwoorden op deze vraag

Aanbevolen berichten

  • 0
Download [url=http://download.bleepingcomputer.com/sUBs/Beta/ComboFix.exe]Combofix[/url] naar je Bureaublad.\n[list]\nDubbelklik [b]Combofix.exe[/b]\nVolg de instructies, aanvaard de disclaimer door \"[b]1[/b]\" te typen en te bevestigen via \"[b]Enter[/b]\".\nTijdens het runnen van de fix, [b]NIET[/b] in het venster klikken, want dit zal je pc doen vasthangen.[/list]\n\nWanneer de fix voltooid is en na herstart, zal de log combofix.txt openen.\n[i]Plaats deze log in je volgende post samen met een nieuw HijackThis log.[/i]\n\n[b]Note:[/b] Indien je virusscanner reageert tijdens het downloaden of gebruik van Combofix, mag je dit negeren.
Link naar reactie
  • 0
[quote=ErikX;351192]Pim doet er goed aan dit te melden, het is een ongeschreven regel om malware slechts op 1 forum gelijktijdig te laten behandelen ;)\nDe goede helpers weten dit, de slechte trekken zich er niks van aan :cool:[/quote]\nwat een kolder.\nen als je zo\'\'n goede helper bent , en het staat je hier niet aan , ga je toch gauw ergens anders helpen :rolleyes:
Link naar reactie

Om een reactie te plaatsen, moet je eerst inloggen

Gast
Antwoord op deze vraag...

×   Geplakt als verrijkte tekst.   Herstel opmaak

  Er zijn maximaal 75 emoji toegestaan.

×   Je link werd automatisch ingevoegd.   Tonen als normale link

×   Je vorige inhoud werd hersteld.   Leeg de tekstverwerker

×   Je kunt afbeeldingen niet direct plakken. Upload of voeg afbeeldingen vanaf een URL in

×
×
  • Nieuwe aanmaken...