Anoniem2 Geplaatst: 21 oktober 2007 Delen Geplaatst: 21 oktober 2007 Ik heb mijn computers laatst gescand met AVG anti-rootkit en hij had één rootkit gevonden, het is een hidden driver file in system32.\r\nMaar als ik hem dan verwijder en weer opnieuw scan dan komt tie weer terug maar dan met een andere naam: C:\\Windows\\System32\\Drivers\\aivhhmii.SYS\r\nEn die letters aan het einde voor sys die veranderen dan.\r\nIk heb mijn computer gescand met windows defender, ad aware 2007 en mijn virusscanner laten draaien maar die kunnen allemaal niks vinden.\r\nHier is mijn hijack log:\r\n\r\nLogfile of Trend Micro HijackThis v2.0.2\r\nScan saved at 19:15:37, on 21-10-2007\r\nPlatform: Windows Vista (WinNT 6.00.1904)\r\nMSIE: Internet Explorer v7.00 (7.00.6000.16546)\r\nBoot mode: Normal\r\n\r\nRunning processes:\r\nC:\\Windows\\system32\\taskeng.exe\r\nC:\\Windows\\system32\\Dwm.exe\r\nC:\\Windows\\Explorer.EXE\r\nC:\\Program Files\\Synaptics\\SynTP\\SynTPEnh.exe\r\nC:\\Windows\\sttray.exe\r\nC:\\Program Files\\Common Files\\InstallShield\\UpdateService\\issch.exe\r\nC:\\Program Files\\Dell\\MediaDirect\\PCMService.exe\r\nC:\\Program Files\\Grisoft\\AVG7\\avgcc.exe\r\nC:\\Program Files\\Java\\jre1.6.0_02\\bin\\jusched.exe\r\nC:\\Program Files\\Windows Sidebar\\sidebar.exe\r\nC:\\Windows\\ehome\\ehtray.exe\r\nC:\\Program Files\\Common Files\\Ahead\\Lib\\NMBgMonitor.exe\r\nC:\\Program Files\\ATI Technologies\\ATI.ACE\\CLI.EXE\r\nC:\\Program Files\\RocketDock\\RocketDock.exe\r\nC:\\Program Files\\Slawdog\\Smart Shutdown LX\\Smart Shutdown.exe\r\nC:\\Program Files\\DAEMON Tools\\daemon.exe\r\nC:\\Program Files\\Digital Line Detect\\DLG.exe\r\nC:\\Program Files\\Dell\\QuickSet\\quickset.exe\r\nC:\\Program Files\\ZyDAS Technology Corporation\\ZyDAS_802.11g_Utility\\ZDWlan.exe\r\nC:\\Windows\\system32\\wbem\\unsecapp.exe\r\nC:\\Windows\\ehome\\ehmsas.exe\r\nc:\\program files\\common files\\installshield\\updateservice\\isuspm.exe\r\nC:\\Program Files\\Common Files\\Ahead\\Lib\\NMIndexStoreSvr.exe\r\nC:\\Program Files\\Windows Sidebar\\sidebar.exe\r\nC:\\Program Files\\ATI Technologies\\ATI.ACE\\CLI.exe\r\nC:\\Program Files\\ATI Technologies\\ATI.ACE\\CLI.exe\r\nC:\\PROGRA~1\\COMMON~1\\INSTAL~1\\UPDATE~1\\agent.exe\r\nC:\\Program Files\\Java\\jre1.6.0_02\\bin\\jucheck.exe\r\nC:\\Program Files\\MSN Messenger\\msnmsgr.exe\r\nC:\\Windows\\System32\\mobsync.exe\r\nC:\\Program Files\\Windows Defender\\MSASCui.exe\r\nC:\\Program Files\\Internet Explorer\\ieuser.exe\r\nC:\\Windows\\system32\\SearchFilterHost.exe\r\nC:\\Program Files\\Trend Micro\\HijackThis\\HijackThis.exe\r\n\r\nR1 - HKCU\\Software\\Microsoft\\Internet Explorer\\Main,Search Bar = [url]http://g.msn.nl/0SENLNL/SAOS01?FORM=TOOLBR[/url]\r\nR1 - HKCU\\Software\\Microsoft\\Internet Explorer\\Main,Search Page = [url]http://g.msn.nl/0SENLNL/SAOS01?FORM=TOOLBR[/url]\r\nR0 - HKCU\\Software\\Microsoft\\Internet Explorer\\Main,Start Page = [url]http://www.google.nl/ig?hl=nl[/url]\r\nR1 - HKLM\\Software\\Microsoft\\Internet Explorer\\Main,Default_Page_URL = [url]http://go.microsoft.com/fwlink/?LinkId=69157[/url]\r\nR1 - HKLM\\Software\\Microsoft\\Internet Explorer\\Main,Default_Search_URL = [url]http://go.microsoft.com/fwlink/?LinkId=54896[/url]\r\nR1 - HKLM\\Software\\Microsoft\\Internet Explorer\\Main,Search Page = [url]http://go.microsoft.com/fwlink/?LinkId=54896[/url]\r\nR0 - HKLM\\Software\\Microsoft\\Internet Explorer\\Main,Start Page = [url]http://go.microsoft.com/fwlink/?LinkId=69157[/url]\r\nR0 - HKLM\\Software\\Microsoft\\Internet Explorer\\Search,SearchAssistant = \r\nR0 - HKLM\\Software\\Microsoft\\Internet Explorer\\Search,CustomizeSearch = \r\nR1 - HKCU\\Software\\Microsoft\\Internet Explorer\\SearchURL,(Default) = [url]http://g.msn.nl/0SENLNL/SAOS01?FORM=TOOLBR[/url]\r\nR1 - HKCU\\Software\\Microsoft\\Internet Explorer\\Main,Window Title = Internet Explorer aangeboden door Dell\r\nR0 - HKCU\\Software\\Microsoft\\Internet Explorer\\Toolbar,LinksFolderName = \r\nO1 - Hosts: ::1 localhost\r\nO2 - BHO: Adobe PDF Reader Help bij koppelingen - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\\Program Files\\Common Files\\Adobe\\Acrobat\\ActiveX\\AcroIEHelper.dll\r\nO2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\\Program Files\\Java\\jre1.6.0_02\\bin\\ssv.dll\r\nO2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)\r\nO2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\\Program Files\\Common Files\\Microsoft Shared\\Windows Live\\WindowsLiveLogin.dll\r\nO2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\\Program Files\\Windows Live Toolbar\\msntb.dll\r\nO2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\\Program Files\\BAE\\BAE.dll\r\nO3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\\Program Files\\Windows Live Toolbar\\msntb.dll\r\nO4 - HKLM\\..\\Run: [SynTPEnh] C:\\Program Files\\Synaptics\\SynTP\\SynTPEnh.exe\r\nO4 - HKLM\\..\\Run: [SigmatelSysTrayApp] sttray.exe\r\nO4 - HKLM\\..\\Run: [ATICCC] \"C:\\Program Files\\ATI Technologies\\ATI.ACE\\CLIStart.exe\"\r\nO4 - HKLM\\..\\Run: [ISUSScheduler] \"C:\\Program Files\\Common Files\\InstallShield\\UpdateService\\issch.exe\" -start\r\nO4 - HKLM\\..\\Run: [ECenter] c:\\dell\\E-Center\\EULALauncher.exe\r\nO4 - HKLM\\..\\Run: [PCMService] \"C:\\Program Files\\Dell\\MediaDirect\\PCMService.exe\"\r\nO4 - HKLM\\..\\Run: [NeroFilterCheck] C:\\Program Files\\Common Files\\Ahead\\Lib\\NeroCheck.exe\r\nO4 - HKLM\\..\\Run: [AVG7_CC] C:\\PROGRA~1\\Grisoft\\AVG7\\avgcc.exe /STARTUP\r\nO4 - HKLM\\..\\Run: [Windows Defender] %ProgramFiles%\\Windows Defender\\MSASCui.exe -hide\r\nO4 - HKLM\\..\\Run: [snpstd] C:\\Windows\\vsnpstd.exe\r\nO4 - HKLM\\..\\Run: [SunJavaUpdateSched] \"C:\\Program Files\\Java\\jre1.6.0_02\\bin\\jusched.exe\"\r\nO4 - HKLM\\..\\Run: [Adobe Reader Speed Launcher] \"C:\\Program Files\\Adobe\\Reader 8.0\\Reader\\Reader_sl.exe\"\r\nO4 - HKCU\\..\\Run: [Sidebar] C:\\Program Files\\Windows Sidebar\\sidebar.exe /autoRun\r\nO4 - HKCU\\..\\Run: [ehTray.exe] C:\\Windows\\ehome\\ehTray.exe\r\nO4 - HKCU\\..\\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] \"C:\\Program Files\\Common Files\\Ahead\\Lib\\NMBgMonitor.exe\"\r\nO4 - HKCU\\..\\Run: [RocketDock] \"C:\\Program Files\\RocketDock\\RocketDock.exe\"\r\nO4 - HKCU\\..\\Run: [Smart Shutdown] C:\\Program Files\\Slawdog\\Smart Shutdown LX\\Smart Shutdown.exe\r\nO4 - HKCU\\..\\Run: [DAEMON Tools] \"C:\\Program Files\\DAEMON Tools\\daemon.exe\" -lang 1033\r\nO4 - HKUS\\S-1-5-19\\..\\Run: [Sidebar] %ProgramFiles%\\Windows Sidebar\\Sidebar.exe /detectMem (User \'LOCAL SERVICE\')\r\nO4 - HKUS\\S-1-5-19\\..\\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User \'LOCAL SERVICE\')\r\nO4 - HKUS\\S-1-5-19\\..\\Run: [AVG7_Run] C:\\PROGRA~1\\Grisoft\\AVG7\\avgw.exe /RUNONCE (User \'LOCAL SERVICE\')\r\nO4 - HKUS\\S-1-5-20\\..\\Run: [Sidebar] %ProgramFiles%\\Windows Sidebar\\Sidebar.exe /detectMem (User \'NETWORK SERVICE\')\r\nO4 - Startup: Stardock ObjectDock.lnk = C:\\Program Files\\Stardock\\ObjectDock\\ObjectDock.exe\r\nO4 - Global Startup: Digital Line Detect.lnk = C:\\Program Files\\Digital Line Detect\\DLG.exe\r\nO4 - Global Startup: QuickSet.lnk = ?\r\nO4 - Global Startup: ZDWLan Utility.lnk = C:\\Program Files\\ZyDAS Technology Corporation\\ZyDAS_802.11g_Utility\\ZDWlan.exe\r\nO8 - Extra context menu item: &Windows Live Search - res://C:\\Program Files\\Windows Live Toolbar\\msntb.dll/search.htm\r\nO8 - Extra context menu item: Add to AMV Convert Tool... - C:\\Program Files\\MP3 Player Utilities 4.00\\AMVConverter\\grab.html\r\nO8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\\PROGRA~1\\MICROS~3\\Office12\\EXCEL.EXE/3000\r\nO8 - Extra context menu item: MediaManager tool grab multimedia file - C:\\Program Files\\MP3 Player Utilities 4.00\\MediaManager\\grab.html\r\nO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\\Program Files\\Java\\jre1.6.0_02\\bin\\npjpi160_02.dll\r\nO9 - Extra \'Tools\' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\\Program Files\\Java\\jre1.6.0_02\\bin\\npjpi160_02.dll\r\nO9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\\PROGRA~1\\MICROS~3\\Office12\\REFIEBAR.DLL\r\nO13 - Gopher Prefix: \r\nO17 - HKLM\\System\\CCS\\Services\\Tcpip\\..\\{82CB078D-D2AA-46C3-A075-0CC1B3C56348}: NameServer = 10.0.0.138\r\nO20 - Winlogon Notify: avgwlntf - C:\\Windows\\SYSTEM32\\avgwlntf.dll\r\nO23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\\Windows\\system32\\Ati2evxx.exe\r\nO23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\\PROGRA~1\\Grisoft\\AVG7\\avgamsvr.exe\r\nO23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\\PROGRA~1\\Grisoft\\AVG7\\avgupsvc.exe\r\nO23 - Service: AVG7 Resident Shield Service (AvgCoreSvc) - GRISOFT, s.r.o. - C:\\PROGRA~1\\Grisoft\\AVG7\\avgrssvc.exe\r\nO23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\\Program Files\\Common Files\\InstallShield\\Driver\\1050\\Intel 32\\IDriverT.exe\r\nO23 - Service: NBService - Nero AG - C:\\Program Files\\Nero\\Nero 7\\Nero BackItUp\\NBService.exe\r\nO23 - Service: NMIndexingService - Nero AG - C:\\Program Files\\Common Files\\Ahead\\Lib\\NMIndexingService.exe\r\nO23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\\Program Files\\SigmaTel\\C-Major Audio\\WDM\\STacSV.exe\r\nO23 - Service: stllssvr - Unknown owner - C:\\Program Files\\Common Files\\SureThing Shared\\stllssvr.exe (file missing)\r\nO23 - Service: XAudioService - Conexant Systems, Inc. - C:\\Windows\\system32\\DRIVERS\\xaudio.exe\r\n\r\n--\r\nEnd of file - 8492 bytes\r\n\r\nKan iemand mij misschien zeggen of ik deze rootkit gewoon kan laten staan en hoe ik hem anders moet verwijderen ? Alvast heel erg bedankt:D Quote Link naar reactie
0 Anoniem2 Geplaatst: 22 oktober 2007 Auteur Delen Geplaatst: 22 oktober 2007 distar, pas je titel even aan in iets die wat over je vraag zegt. Anders wordt \'ie afgesloten.\n \nAanpassen doe je door in je eerste post op het schaartje te klikken en dan \'meer opties\'. Quote Link naar reactie
0 Anoniem2 Geplaatst: 22 oktober 2007 Auteur Delen Geplaatst: 22 oktober 2007 deze deugen niet\nO4 - HKLM\\..\\Run: [ECenter] c:\\dell\\E-Center\\EULALauncher.exe\nO13 - Gopher Prefix: Quote Link naar reactie
0 Anoniem2 Geplaatst: 27 oktober 2007 Auteur Delen Geplaatst: 27 oktober 2007 kan iemand dan even helpen alsjeblieft ? Quote Link naar reactie
0 Anoniem2 Geplaatst: 29 oktober 2007 Auteur Delen Geplaatst: 29 oktober 2007 ga even naar fsecure blacklight downloaden en instaleren en dan even scannen dit programma is speciaal voor rootkit ik hoor het wel grt patro Quote Link naar reactie
0 Anoniem2 Geplaatst: 30 oktober 2007 Auteur Delen Geplaatst: 30 oktober 2007 Heb ik gedaan en die kon geen rootkit vinden.\r\nAlleen AVG anti-rootkit vindt hem, heel raar. Quote Link naar reactie
0 Anoniem2 Geplaatst: 31 oktober 2007 Auteur Delen Geplaatst: 31 oktober 2007 Download [url=http://download.bleepingcomputer.com/sUBs/Beta/ComboFix.exe]Combofix[/url] naar je Bureaublad.\n[list]\nDubbelklik [b]Combofix.exe[/b]\nVolg de instructies, aanvaard de disclaimer door \"[b]1[/b]\" te typen en te bevestigen via \"[b]Enter[/b]\".\nTijdens het runnen van de fix, [b]NIET[/b] in het venster klikken, want dit zal je pc doen vasthangen.[/list]\n\nWanneer de fix voltooid is en na herstart, zal de log combofix.txt openen.\n[i]Plaats deze log in je volgende post samen met een nieuw HijackThis log.[/i]\n\n[b]Note:[/b] Indien je virusscanner reageert tijdens het downloaden of gebruik van Combofix, mag je dit negeren. Quote Link naar reactie
0 Anoniem2 Geplaatst: 31 oktober 2007 Auteur Delen Geplaatst: 31 oktober 2007 Zo te zien heb je al hulp:\r\n[url]http://www.hijackthis.nl/forum/viewtopic.php?t=12030[/url]\r\n\r\nTopic kan opslot. Quote Link naar reactie
0 Anoniem2 Geplaatst: 31 oktober 2007 Auteur Delen Geplaatst: 31 oktober 2007 @ Pim , dat kan de TS zelf wel aangeven , als hij er een slotje op wil .\nhij is vrij om ook hier zijn vraag te stellen . Quote Link naar reactie
0 Anoniem2 Geplaatst: 31 oktober 2007 Auteur Delen Geplaatst: 31 oktober 2007 Pim doet er goed aan dit te melden, het is een ongeschreven regel om malware slechts op 1 forum gelijktijdig te laten behandelen ;)\r\nDe goede helpers weten dit, de slechte trekken zich er niks van aan :cool: Quote Link naar reactie
0 Anoniem2 Geplaatst: 1 november 2007 Auteur Delen Geplaatst: 1 november 2007 [QUOTE=ErikX;351192]\r\nDe goede helpers weten dit, de slechte trekken zich er niks van aan :cool:[/QUOTE]\r\n\r\nDit plus het feit dat wanneer Thor en ik allebei tools gaan inzetten het elkaar gaat tegenwerken. Quote Link naar reactie
0 Anoniem2 Geplaatst: 1 november 2007 Auteur Delen Geplaatst: 1 november 2007 ja maar ik kreeg eerst heel lang geen reactie op hijackthis dus daarom keek ik of hier iemand mij kan helpen.\r\nMaar waarschijnlijk krijg ik die malware niet van mij computer af dus ik ga denk ik recovery doen.\r\nmaar bedankt voor jullie hulp Quote Link naar reactie
0 Anoniem2 Geplaatst: 1 november 2007 Auteur Delen Geplaatst: 1 november 2007 Ik zou toch maar even het antwoord van Thor afwachten, ik weet zeker dat hij de oplossing kan vinden:D Quote Link naar reactie
0 Anoniem2 Geplaatst: 1 november 2007 Auteur Delen Geplaatst: 1 november 2007 [quote=ErikX;351192]Pim doet er goed aan dit te melden, het is een ongeschreven regel om malware slechts op 1 forum gelijktijdig te laten behandelen ;)\nDe goede helpers weten dit, de slechte trekken zich er niks van aan :cool:[/quote]\nwat een kolder.\nen als je zo\'\'n goede helper bent , en het staat je hier niet aan , ga je toch gauw ergens anders helpen :rolleyes: Quote Link naar reactie
0 Anoniem2 Geplaatst: 13 november 2007 Auteur Delen Geplaatst: 13 november 2007 tis zeker windstil nu? Quote Link naar reactie
Vraag
Anoniem2
Link naar reactie
14 antwoorden op deze vraag
Aanbevolen berichten
Om een reactie te plaatsen, moet je eerst inloggen