Anoniem2 Geplaatst: 13 december 2009 Delen Geplaatst: 13 december 2009 Ook ik heb sinds vandaag last van deze zelfde trojan horse.\r\nWindows start niet meer via de normale weg op. Ik kan wel gewoon starten via de opsporings modus.\r\nBij mij zit het filetjje svchost.exe niet in de Windows/temp map, maar geeft AVG aan dat het in Windows/system/32 zou moeten zitten:\r\n\r\n \r\nIk heb met hijackthis een scan en logje gemaakt, maar weet niet hoe het nu verder moet.\r\nWie kan me helpen?\r\n\r\n\r\n\r\n\r\nLogfile of Trend Micro HijackThis v2.0.3 (BETA)\r\nScan saved at 0:10:06, on 13-12-2009\r\nPlatform: Windows XP SP3 (WinNT 5.01.2600)\r\nMSIE: Internet Explorer v8.00 (8.00.6001.18702)\r\nBoot mode: Normal\r\n\r\nRunning processes:\r\nC:\\WINDOWS\\System32\\smss.exe\r\nC:\\WINDOWS\\system32\\winlogon.exe\r\nC:\\WINDOWS\\system32\\services.exe\r\nC:\\WINDOWS\\system32\\lsass.exe\r\nC:\\WINDOWS\\system32\\svchost.exe\r\nC:\\WINDOWS\\System32\\svchost.exe\r\nC:\\WINDOWS\\system32\\svchost.exe\r\nC:\\WINDOWS\\system32\\spoolsv.exe\r\nC:\\WINDOWS\\Explorer.EXE\r\nC:\\PROGRA~1\\AVG\\AVG8\\avgwdsvc.exe\r\nC:\\Program Files\\Bonjour\\mDNSResponder.exe\r\nC:\\Program Files\\Spyware Doctor\\BDT\\BDTUpdateService.exe\r\nC:\\WINDOWS\\system32\\CTSvcCDA.EXE\r\nC:\\Program Files\\Common Files\\LightScribe\\LSSrvc.exe\r\nC:\\PROGRA~1\\AVG\\AVG8\\avgam.exe\r\nC:\\PROGRA~1\\AVG\\AVG8\\avgrsx.exe\r\nC:\\PROGRA~1\\AVG\\AVG8\\avgnsx.exe\r\nC:\\Program Files\\Common Files\\Nero\\Nero BackItUp 4\\NBService.exe\r\nC:\\Program Files\\Norton Ghost\\Agent\\VProSvc.exe\r\nC:\\Program Files\\Spyware Doctor\\pctsAuxs.exe\r\nC:\\Program Files\\Alcohol Soft\\Alcohol 120\\StarWind\\StarWindServiceAE.exe\r\nC:\\WINDOWS\\system32\\svchost.exe\r\nC:\\WINDOWS\\system32\\dllhost.exe\r\nC:\\WINDOWS\\system32\\MsPMSPSv.exe\r\nC:\\PROGRA~1\\AVG\\AVG8\\avgemc.exe\r\nC:\\Program Files\\AVG\\AVG8\\avgcsrvx.exe\r\nC:\\WINDOWS\\system32\\dllhost.exe\r\nC:\\Program Files\\Norton Ghost\\Shared\\Drivers\\SymSnapService.exe\r\nC:\\PROGRA~1\\AVG\\AVG8\\avgtray.exe\r\nC:\\WINDOWS\\system32\\CTHELPER.EXE\r\nC:\\WINDOWS\\system32\\ctfmon.exe\r\nE:\\i386\\winnt32.exe\r\nC:\\Program Files\\Internet Explorer\\iexplore.exe\r\nC:\\Program Files\\Internet Explorer\\iexplore.exe\r\nC:\\Program Files\\Internet Explorer\\iexplore.exe\r\nC:\\WINDOWS\\system32\\msiexec.exe\r\nC:\\Program Files\\TrendMicro\\HiJackThis\\HiJackThis.exe\r\n\r\nR0 - HKCU\\Software\\Microsoft\\Internet Explorer\\Main,Start Page = [url]http://www.startpagina.nl/[/url]\r\nR1 - HKLM\\Software\\Microsoft\\Internet Explorer\\Main,Default_Page_URL = [url]http://go.microsoft.com/fwlink/?LinkId=69157[/url]\r\nR1 - HKLM\\Software\\Microsoft\\Internet Explorer\\Main,Default_Search_URL = [url]http://go.microsoft.com/fwlink/?LinkId=54896[/url]\r\nR1 - HKLM\\Software\\Microsoft\\Internet Explorer\\Main,Search Page = [url]http://go.microsoft.com/fwlink/?LinkId=54896[/url]\r\nR0 - HKLM\\Software\\Microsoft\\Internet Explorer\\Main,Start Page = [url]http://go.microsoft.com/fwlink/?LinkId=69157[/url]\r\nR1 - HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings,ProxyOverride = *.local\r\nR0 - HKCU\\Software\\Microsoft\\Internet Explorer\\Toolbar,LinksFolderName = Koppelingen\r\nO2 - BHO: Adobe PDF Reader Help bij koppelingen - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\\Program Files\\Common Files\\Adobe\\Acrobat\\ActiveX\\AcroIEHelper.dll\r\nO2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\\Program Files\\Skype\\Toolbars\\Internet Explorer\\SkypeIEPlugin.dll\r\nO2 - BHO: Browser Defender BHO - {2A0F3D1B-0909-4FF4-B272-609CCE6054E7} - C:\\Program Files\\Spyware Doctor\\BDT\\PCTBrowserDefender.dll\r\nO2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\\Program Files\\AVG\\AVG8\\avgssie.dll\r\nO3 - Toolbar: PC Tools Browser Guard - {472734EA-242A-422B-ADF8-83D1E48CC825} - C:\\Program Files\\Spyware Doctor\\BDT\\PCTBrowserDefender.dll\r\nO4 - HKLM\\..\\Run: [AVG8_TRAY] C:\\PROGRA~1\\AVG\\AVG8\\avgtray.exe\r\nO4 - HKLM\\..\\Run: [CTHelper] CTHELPER.EXE\r\nO4 - HKCU\\..\\Run: [ctfmon.exe] C:\\WINDOWS\\system32\\ctfmon.exe\r\nO4 - HKUS\\S-1-5-19\\..\\Run: [CTFMON.EXE] C:\\WINDOWS\\system32\\CTFMON.EXE (User \'Lokale service\')\r\nO4 - HKUS\\S-1-5-20\\..\\Run: [CTFMON.EXE] C:\\WINDOWS\\system32\\CTFMON.EXE (User \'Netwerkservice\')\r\nO4 - HKUS\\S-1-5-18\\..\\Run: [CTFMON.EXE] C:\\WINDOWS\\system32\\CTFMON.EXE (User \'SYSTEM\')\r\nO4 - HKUS\\.DEFAULT\\..\\Run: [CTFMON.EXE] C:\\WINDOWS\\system32\\CTFMON.EXE (User \'Default user\')\r\nO8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\\PROGRA~1\\MICROS~2\\Office12\\EXCEL.EXE/3000\r\nO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\\Program Files\\Java\\jre1.5.0_03\\bin\\npjpi150_03.dll\r\nO9 - Extra \'Tools\' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\\Program Files\\Java\\jre1.5.0_03\\bin\\npjpi150_03.dll\r\nO9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\\Program Files\\Skype\\Toolbars\\Internet Explorer\\SkypeIEPlugin.dll\r\nO9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\\PROGRA~1\\MICROS~2\\Office12\\REFIEBAR.DLL\r\nO9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe\r\nO9 - Extra \'Tools\' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe\r\nO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\\Program Files\\Messenger\\msmsgs.exe\r\nO9 - Extra \'Tools\' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\\Program Files\\Messenger\\msmsgs.exe\r\nO16 - DPF: {34DC6011-88B5-4EA9-BA7A-DC7B4F4437FE} (JordanUploader Class) - [url]http://foto.hema.nl/ips-opdata/layout/hema/objects/jordan.cab[/url]\r\nO16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - [url]http://verkopen.marktplaats.nl/js/widgets/imageUploader/aurigma/5_7_24_0/ImageUploader5.cab[/url]\r\nO16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.5.0) - [url]http://javadl-esd.sun.com/update/1.5.0/jinstall-1_5_0_03-windows-i586.cab[/url]\r\nO18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\\Program Files\\AVG\\AVG8\\avgpp.dll\r\nO18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\\PROGRA~1\\COMMON~1\\Skype\\SKYPE4~1.DLL\r\nO20 - Winlogon Notify: avgrsstarter - avgrsstx.dll (file missing)\r\nO22 - SharedTaskScheduler: Preloader van browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\\WINDOWS\\system32\\browseui.dll\r\nO22 - SharedTaskScheduler: Cache-daemon voor onderdeelcategorieën - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\\WINDOWS\\system32\\browseui.dll\r\nO23 - Service: Ati HotKey Poller - Unknown owner - C:\\WINDOWS\\system32\\Ati2evxx.exe (file missing)\r\nO23 - Service: ATI Smart - Unknown owner - C:\\WINDOWS\\system32\\ati2sgag.exe (file missing)\r\nO23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\\PROGRA~1\\AVG\\AVG8\\avgemc.exe\r\nO23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\\PROGRA~1\\AVG\\AVG8\\avgwdsvc.exe\r\nO23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\\Program Files\\Bonjour\\mDNSResponder.exe\r\nO23 - Service: Browser Defender Update Service - Unknown owner - C:\\Program Files\\Spyware Doctor\\BDT\\BDTUpdateService.exe\r\nO23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\\WINDOWS\\system32\\CTSvcCDA.EXE\r\nO23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\\Program Files\\Common Files\\Macrovision Shared\\FLEXnet Publisher\\FNPLicensingService.exe\r\nO23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\\Program Files\\Common Files\\InstallShield\\Driver\\1050\\Intel 32\\IDriverT.exe\r\nO23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\\Program Files\\Common Files\\LightScribe\\LSSrvc.exe\r\nO23 - Service: LiveUpdate - Symantec Corporation - C:\\PROGRA~1\\Symantec\\LIVEUP~1\\LUCOMS~1.EXE\r\nO23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\\Program Files\\Common Files\\Nero\\Nero BackItUp 4\\NBService.exe\r\nO23 - Service: NMIndexingService - Unknown owner - C:\\Program Files\\Common Files\\Ahead\\Lib\\NMIndexingService.exe (file missing)\r\nO23 - Service: Norton Ghost - Symantec Corporation - C:\\Program Files\\Norton Ghost\\Agent\\VProSvc.exe\r\nO23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\\Program Files\\Spyware Doctor\\pctsAuxs.exe\r\nO23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\\Program Files\\Spyware Doctor\\pctsSvc.exe\r\nO23 - Service: ServiceLayer - Nokia. - C:\\Program Files\\PC Connectivity Solution\\ServiceLayer.exe\r\nO23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\\Program Files\\Alcohol Soft\\Alcohol 120\\StarWind\\StarWindServiceAE.exe\r\nO23 - Service: SymSnapService - Symantec - C:\\Program Files\\Norton Ghost\\Shared\\Drivers\\SymSnapService.exe\r\nO23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\\WINDOWS\\System32\\TuneUpDefragService.exe\r\n\r\n--\r\nEnd of file - 8328 bytes\r\n\r\n\r\nAlvast bedankt. Quote Link naar reactie
0 Anoniem2 Geplaatst: 13 december 2009 Auteur Delen Geplaatst: 13 december 2009 Start Hijackthis op. Ben je gebruiker van Vista kies dan voor “Run as administrator\" of \"Uitvoeren als administrator\". Selecteer “Do a system scan only”. Selecteer alleen de items die hieronder zijn genoemd:\r\n\r\n[B]O20 - Winlogon Notify: avgrsstarter - avgrsstx.dll (file missing)[/B]\r\n\r\nKlik op \'Fix checked\' om de items te verwijderen.\r\n\r\nDownload [b][url=http://www.besttechie.net/tools/mbam-setup.exe]MBAM (Malwarebytes\' Anti-Malware).[/url][/b]\r\n\r\nDubbelklik op mbam-setup.exe om het programma te installeren.\r\n\r\nZorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes\' Anti-Malware en Start Malwarebytes\' Anti-Malware, Klik daarna op \"Voltooien\".\r\nIndien een update gevonden werd, zal die gedownload en geïnstalleerd worden.\r\nWanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : \"Snelle Scan\", daarna klik op Scan.\r\nHet scannen kan een tijdje duren, dus wees geduldig.\r\nWanneer de scan voltooid is, klik op OK, daarna \"Bekijk Resultaten\" om de resultaten te zien.\r\nZorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde.\r\nNa het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder). \r\n\r\nIndien er de rootkit (TDSS) aanwezig is, zal MBAM vragen te herstarten. Doe dit dan ook.\r\nMBAM zal na de herstart opnieuw scannen en de rootkit verwijderen.\r\n\r\nHet log wordt automatisch bewaard door MBAM en kan je terugvinden door op de \"Logs\" tab te klikken in het programma.\r\n\r\nIndien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de computer opnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart.\r\n\r\nPlak de inhoud van het logje in je volgende bericht, samen met een nieuw HijackThis log. Quote Link naar reactie
Vraag
Anoniem2
Link naar reactie
1 antwoord op deze vraag
Aanbevolen berichten
Om een reactie te plaatsen, moet je eerst inloggen