Intruder die via mijn account mails verstuurd

[radeloosje]

Voila, da's ook weer gebeurt.

Ik moest wel Norton compleet wissen, 'k vond nergens de tijdelijke afzet-fuctie. Dat wordt dan Avast of zo later installeren.

En hier is 't gevraagde:

ComboFix 10-03-24.03 - Carlo 25/03/2010 17:08:42.1.1 - x86

Gestart vanuit: c:\documents and settings\Carlo.IBM\Bureaublad\ComboFix.exe

.

(((((((((((((((((((((((((((((((((( Andere Verwijderingen )))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\recycler\NPROTECT . . . . konden niet verwijderd worden

c:\recycler\NPROTECT\NPROTECT.LOG . . . . konden niet verwijderd worden

.

(((((((((((((((((((( Bestanden Gemaakt van 2010-02-25 to 2010-03-25 ))))))))))))))))))))))))))))))

.

2010-03-25 15:26 . 2010-03-25 15:26 -------- d-----w- c:\documents and settings\Carlo.IBM\Application Data\Symantec

2010-03-25 07:21 . 2010-03-25 07:21 -------- d-----w- c:\documents and settings\Carlo.IBM\Application Data\Malwarebytes

2010-03-25 07:21 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-03-25 07:21 . 2010-03-25 07:21 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2010-03-25 07:21 . 2010-03-25 07:21 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2010-03-25 07:21 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-03-24 16:38 . 2010-03-24 16:38 -------- d-----w- c:\program files\Trend Micro

2010-03-14 12:41 . 2010-03-14 12:41 -------- d-----w- c:\documents and settings\Carlo.IBM\Application Data\ArcSoft

2010-03-14 12:32 . 2010-03-14 12:32 -------- d-----w- c:\windows\Profiles

2010-03-14 12:31 . 2010-03-14 12:31 -------- d-----w- c:\windows\system32\Adobe

2010-03-14 12:31 . 2010-03-14 12:31 -------- d-----w- c:\documents and settings\Carlo.IBM\Application Data\InterTrust

2010-03-14 12:31 . 2001-12-12 10:46 131072 ----a-w- c:\windows\system32\Epcmlib.dll

2010-03-14 12:30 . 2001-11-02 14:08 163840 ----a-w- c:\windows\system32\PhotoImpression Screen Saver.scr

2010-03-14 12:29 . 2010-03-14 12:29 -------- d-----w- c:\program files\ArcSoft

2010-03-14 12:29 . 1999-05-26 08:46 212480 ----a-w- c:\windows\pcdlib32.dll

2010-03-14 12:28 . 2001-10-19 11:19 57344 ----a-w- c:\windows\system32\PyWinTypes21.dll

2010-03-14 12:28 . 2001-10-19 11:18 708696 ----a-w- c:\windows\system32\python21.dll

2010-03-14 12:28 . 2001-10-19 11:18 290919 ----a-w- c:\windows\system32\pythoncom21.dll

2010-03-14 12:28 . 2010-03-14 12:28 -------- d-----w- c:\program files\Common Files\Python

2010-03-14 12:25 . 1999-12-07 01:03 73216 ----a-w- c:\windows\ADE.DLL

2010-03-14 12:25 . 1999-06-15 10:31 96768 ----a-w- c:\windows\SlantAdj.dll

2010-03-14 12:25 . 1999-04-26 23:17 3136 ----a-w- c:\windows\Ade001.bin

2010-03-14 12:23 . 2002-05-10 18:56 102400 ----a-w- c:\windows\system32\EEBDSCVR.dll

2010-03-14 12:23 . 2002-05-10 18:56 122880 ----a-w- c:\windows\system32\EEBAPI.dll

2010-03-14 12:23 . 2002-01-29 12:33 65536 ----a-w- c:\windows\system32\EBAPI.dll

2010-03-14 12:23 . 2002-01-10 18:05 65536 ----a-w- c:\windows\system32\EEBUtil.dll

2010-03-14 12:23 . 2001-08-21 00:00 54272 ----a-w- c:\windows\system32\EEBSDKIF.dll

2010-03-14 12:23 . 2010-03-14 12:23 -------- d-----w- c:\program files\Common Files\EPSON

2010-03-14 12:23 . 2001-08-23 00:04 139264 ----a-w- c:\windows\system32\EBAPI2.dll

2010-03-14 12:22 . 2008-04-13 23:15 15104 -c--a-w- c:\windows\system32\dllcache\usbscan.sys

2010-03-14 12:22 . 2008-04-13 23:15 15104 ----a-w- c:\windows\system32\drivers\usbscan.sys

2010-03-14 12:21 . 2002-08-26 02:30 73116 ----a-w- c:\windows\system32\EBPMON2.DLL

2010-03-14 12:21 . 2002-07-31 02:25 61440 ----a-w- c:\windows\system32\ECBTEG.DLL

2010-03-14 12:21 . 2001-09-04 02:04 182 ----a-w- c:\windows\system32\EBPPORT.DAT

2010-03-14 12:21 . 2000-06-07 01:01 34304 ----a-w- c:\windows\system32\EBPCHP.DLL

2010-03-14 12:21 . 2010-03-14 12:31 -------- d-----w- c:\program files\EPSON

2010-03-08 11:43 . 1999-11-10 11:05 86016 ----a-w- c:\windows\unvise32qt.exe

2010-03-08 11:43 . 2010-03-08 11:43 -------- d-----w- c:\windows\system32\QuickTime

2010-03-08 11:42 . 2005-07-12 11:21 225280 ----a-w- c:\windows\system32\KPDPMUI.dll

2010-03-08 11:42 . 2005-07-12 11:19 290816 ----a-w- c:\windows\system32\KPDPM.dll

2010-03-08 11:41 . 2010-03-08 11:41 -------- d-----w- c:\program files\Common Files\Kodak

2010-03-08 11:41 . 2010-03-08 11:41 -------- d-----w- C:\KPCMS

2010-03-08 11:39 . 2010-03-08 11:39 11572208 ----a-w- c:\documents and settings\All Users\Application Data\Kodak\EasyShareSetup\QUICK\QuickTimeInstaller.exe

2010-03-08 11:39 . 2010-03-08 11:39 163840 ----a-w- c:\documents and settings\All Users\Application Data\Kodak\EasyShareSetup\KDEVICES\CR2\cr_stop.exe

2010-03-08 11:39 . 2010-03-08 11:39 69632 ----a-w- c:\documents and settings\All Users\Application Data\Kodak\EasyShareSetup\Ksu\ksustop.exe

2010-03-08 11:38 . 2010-03-08 11:38 167936 ----a-w- c:\documents and settings\All Users\Application Data\Kodak\EasyShareSetup\CCS\CCSStop.exe

2010-03-08 11:38 . 2010-03-08 11:38 425984 ----a-w- c:\documents and settings\All Users\Application Data\Kodak\EasyShareSetup\$SETUP_140011_34b8e\EasyShrx.Dll

2010-03-08 11:38 . 2005-07-11 13:16 1110016 ----a-r- c:\documents and settings\All Users\Application Data\Kodak\EasyShareSetup\$SETUP_140011_34b8e\Setup.exe

.

((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-03-25 15:33 . 2005-03-25 15:06 -------- d-----w- c:\program files\Common Files\Symantec Shared

2010-03-25 15:32 . 2005-03-25 15:05 -------- d-----w- c:\program files\Symantec

2010-03-25 15:26 . 2005-03-25 15:06 -------- d-----w- c:\program files\Norton AntiVirus

2010-03-25 15:25 . 2005-03-25 15:05 -------- d-----w- c:\documents and settings\All Users\Application Data\Symantec

2010-03-14 12:31 . 2005-02-13 22:34 -------- d-----w- c:\program files\Common Files\Adobe

2010-03-14 12:31 . 2005-02-05 23:02 -------- d--h--w- c:\program files\InstallShield Installation Information

2010-03-08 11:43 . 2007-08-13 15:15 -------- d-----w- c:\program files\QuickTime

2010-03-08 11:42 . 2007-08-13 15:10 -------- d-----w- c:\program files\Kodak

2010-03-08 11:38 . 2007-08-13 15:11 -------- d-----w- c:\documents and settings\All Users\Application Data\Kodak

2010-01-31 20:49 . 2010-01-31 20:49 -------- d-----w- c:\documents and settings\Carlo.IBM\Application Data\Leadertech

1999-05-03 13:01 . 1999-05-03 13:01 99840 ----a-w- c:\program files\Common Files\IRAABOUT.DLL

1998-12-08 22:53 . 1998-12-08 22:53 70144 ----a-w- c:\program files\Common Files\IRAMDMTR.DLL

1998-12-08 22:53 . 1998-12-08 22:53 48640 ----a-w- c:\program files\Common Files\IRALPTTR.DLL

1998-12-08 22:53 . 1998-12-08 22:53 31744 ----a-w- c:\program files\Common Files\IRAWEBTR.DLL

1998-12-08 22:53 . 1998-12-08 22:53 186368 ----a-w- c:\program files\Common Files\IRAREG.DLL

1998-12-08 22:53 . 1998-12-08 22:53 17920 ----a-w- c:\program files\Common Files\IRASRIAL.DLL

.

((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IgfxTray"="c:\windows\System32\igfxtray.exe" [2003-11-17 155648]

"HotKeysCmds"="c:\windows\System32\hkcmd.exe" [2003-11-17 118784]

"Advanced Tools Check"="c:\progra~1\NORTON~1\AdvTools\ADVCHK.EXE" [2003-08-27 74904]

"AGRSMMSG"="AGRSMMSG.exe" [2003-04-29 88363]

"FLMOFFICE4DMOUSE"="c:\program files\Mini Notebook Mouse\mouse32a.exe" [2005-10-24 356352]

"Adobe Photo Downloader"="c:\program files\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-22 63712]

"WinampAgent"="c:\program files\Winamp\winampa.exe" [2009-04-10 37888]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2010-03-08 77824]

"EPSON Stylus CX3200"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE" [2002-07-01 74752]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu Start\Programma's\Opstarten\

Kodak EasyShare software.lnk - c:\program files\Kodak\Kodak EasyShare software\bin\EasyShare.exe [2005-7-22 151552]

Kodak software updater.lnk - c:\program files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe [2004-2-13 16423]

Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]

Poort voor Symantec Fax Starter Edition.lnk - c:\program files\Microsoft Office\Office\1043\OLFSNT40.EXE [1999-5-3 46077]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

Authentication Packages REG_MULTI_SZ msv1_0 nwprovau

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Kodak\\KODAK Software Updater\\7288971\\Program\\Kodak Software Updater.exe"=

"c:\\Program Files\\Kodak\\Kodak EasyShare software\\bin\\EasyShare.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R2 NProtectService;Norton Unerase Protection;c:\program files\Norton AntiVirus\AdvTools\NPROTECT.EXE [25/03/2005 16:07 139264]

S3 Am772;IEEE 802.11b Wireless LAN Cardbus Card Driver;c:\windows\system32\DRIVERS\WLANNDS.sys --> c:\windows\system32\DRIVERS\WLANNDS.sys [?]

S3 ATMEL FVNETusbASKEY (AR)®;ATMEL FVNETusbASKEY (AR)® Service for SANTIS WLAN USB Adapter;c:\windows\system32\drivers\vnetusbk.sys [20/02/2003 18:15 93184]

S3 ATMEL WinXP PCMCIAFVNETR (2ARC)®;ATMEL WinXP PCMCIAFVNETR (2ARC)® Service for SANTIS WLAN PC Card;c:\windows\system32\drivers\fvnetr51.sys [14/01/2003 12:44 91648]

S3 SMC2835W_PCI;SMC2835W 2.4GHz 54 Mbps Wireless Cardbus Driver;c:\windows\system32\drivers\2835WICB.sys [26/04/2005 14:32 385920]

S3 Usblink;Usblink Driver;c:\windows\system32\Drivers\ulink.sys --> c:\windows\system32\Drivers\ulink.sys [?]

S3 Wdm1;USB Bridge Cable Driver;c:\windows\system32\drivers\usbbc.sys [24/02/2005 10:57 15576]

S3 ZDBRGSYS;ZDBRGSYS NDIS Protocol Driver;c:\windows\system32\ZDBRGSYS.sys [25/04/2005 12:19 19200]

.

Inhoud van de 'Gedeelde Taken' map

2010-03-25 c:\windows\Tasks\Symantec NetDetect.job

- c:\program files\Symantec\LiveUpdate\NDETECT.EXE [2005-03-25 09:27]

.

.

------- Bijkomende Scan -------

.

uStart Page = hxxp://www.google.be/

mStart Page = hxxp://breedband.telenet.be

mWindow Title = Telenet Internet

IE: &Winamp Toolbar Search - c:\documents and settings\All Users\Application Data\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html

DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab

DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab

.

- - - - ORPHANS VERWIJDERD - - - -

AddRemove-MediaShow - c:\program files\CyberLink\MediaShow\Uninst.isu

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2010-03-25 17:27

Windows 5.1.2600 Service Pack 3 NTFS

scannen van verborgen processen ...

scannen van verborgen autostart items ...

scannen van verborgen bestanden ...

Scan succesvol afgerond

verborgen bestanden: 0

**************************************************************************

.

--------------------- VERGRENDELDE REGISTER SLEUTELS ---------------------

[HKEY_USERS\S-1-5-21-1614895754-839522115-1343024091-1005\Software\Microsoft\SystemCertificates\AddressBook*]

@Allowed: (Read) (RestrictedCode)

@Allowed: (Read) (RestrictedCode)

.

--------------------- DLLs Geladen Onder Lopende Processen ---------------------

- - - - - - - > 'explorer.exe'(2724)

c:\docume~1\Carlo.IBM\LOCALS~1\Temp\IadHide5.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

c:\program files\Mini Notebook Mouse\MOUDL32A.DLL

.

------------------------ Andere Aktieve Processen ------------------------

.

c:\windows\System32\ibmpmsvc.exe

c:\windows\System32\brss01a.exe

c:\program files\Common Files\EPSON\EBAPI\eEBSVC.exe

c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

c:\program files\Common Files\EPSON\EBAPI\SAgent2.exe

c:\windows\system32\wscntfy.exe

c:\windows\AGRSMMSG.exe

.

**************************************************************************

.

Voltooingstijd: 2010-03-25 17:36:19 - machine werd herstart

ComboFix-quarantined-files.txt 2010-03-25 16:36

Pre-Run: 24.951.648.256 bytes beschikbaar

Post-Run: 26.105.896.960 bytes beschikbaar

WindowsXP-KB310994-SP2-Pro-BootDisk-NLD.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

- - End Of File - - C4F3398848C903A81B54E7C20DDCB331

[kape]

Dit ziet er goed uit? Hoe staat het nu met de problemen ? Worden er nog mails verstuurd ?

[radeloosje]

Hallo,

Oef, da's een pak van m'n hart!

Maar hoe kunnen ze dan mijn account gebruiken, zelfs bestanden wissen? En nee, het gebeurt om de zoveel maanden eens. 't was nu dus de tweede keer, mét "schade" voor mij: alle mails verstuurd dit jaar waren gewist. En ik had de meeste nog nodig!

Maar wat kan ik nu doen zodat ze niet meer kunnen indringen? Helpt dat eerder gemeld "trukje" om 'aantivirus0000" in mijn adressenbestand te zetten? Of misschien wel bij "amateur-indringers", maar niet bij pro's?

En welke anti-virus scanner zou ik nu best installeren, nu Norton gewist is? Avast? Of ...? Ik heb een tijd geleden Avast als eens geïnstaleerd, maar dat maakte m'n LapTopje tergend traag! Ofwel kwam dat omdat zowel Avast als Norton er nog op stonden?

Nu, wat met de ge-downloade programma's (HighjackThis, MalwareBytes, ComboFix)? Staan laten voor eventuele toekomstige intruders? Of ze om de zoveel tijd eens laten runnen (of zijn 't géén virus-verwijderaars, alleen scanners om te zien waar wat voor schade is aangericht?)?

Of best Combo fix wissen, zoals vermeld in de handleiding?

Groetjes

[kape]

De traagheid van de virusscanner zal eerder door Norton dan door Avast veroorzaakt zijn. En zeker als je ze eventueel tegelijkertijd op de PC had staan. Nu Avast downloaden is dus een goede optie !

Wat de gebruikte programma's betreft zou ik aanbevelen om Malwarebytes op de PC te houden. Die kan je - op regelmatige basis - eens laten scannen, om eventuele nieuwe besmettingen mee op te lossen. Vergeet niet bij elk gebruik Malwarebytes een update te geven.

HijackThis en Combofix zijn tools die enkel noodzakelijk zijn bij probleemoplossing. Mag je dus verwijderen. Voor Combofix doe je dat zo :

Verwijder Combofix: Start -> Uitvoeren en typ: ComboFix /Uninstall

Dit zal Combofix verwijderen + gerelateerde mappen en bestanden, herstelt de klokinstellingen opnieuw, verbergt de bestandsextensies, gaat verborgen bestanden en systeembestanden terug verbergen en maakt een nieuw herstelpunt.

En dan kan je best de restjes nog even opruimen met CCleaner.

Download CCleaner. Klik op deze pagina op één van de mirrorsites van MajorGeeks en dan start de download van CCleaner automatisch en gratis op.

Installeer het en start CCleaner op. Klik in de linkse kolom op “Cleaner”. Klik achtereenvolgens op ‘Analyseren’ en 'Schoonmaken'. Soms is 1 analyse niet voldoende. Deze procedure mag je herhalen tot de analyse geen fouten meer aangeeft. Klik vervolgens in de linkse kolom op “Register” en klik op ‘Scan naar problemen”. Als er fouten gevonden worden klik je op ”Herstel geselecteerde problemen” en ”OK”. Dan krijg je de vraag om een back-up te maken. Klik op “JA”. Kies dan “Herstel alle geselecteerde fouten”. Sluit hierna CCleaner terug af.

Wil je dit uitgebreid in beeld bekijken, klik dan hier voor de handleiding.

That's it !

[radeloosje]

Hey,

OK, daar beginnen we dadelijk mee.

Maar ik heb nog een paar openstaande vraagjes.

Hoe zijn ze dan mijn account kunnen binnendringen, zelfs bestanden kunnen wissen? En wat kan ik nu doen zodat ze niet meer kunnen indringen?

Helpt dat eerder gemeld "trukje" om 'aantivirus0000" in mijn adressenbestand te zetten? Misschien helpt 't wel tegen amateur-indringers, maar niet bij de pro's?

Mijn password is al verandert, en om de 72 dagen krijg ik automatisch een boodschap om 't weer te veranderen.

Of zijn er andere, betere methode's?

Graag nog een woordje uitleg hierover. Ik zou echt niet meer willen dat ze nog eens binnen dringen, en dan echt veel meer schade aanrichten.

[kape]

Om indringen te vermijden is installatie van een firewall erg zinvol. Ofwel kan je dit in combinatie met een virusscanner installeren, ofwel kan je deze als stand-alone combineren met je AVAST.

Blijft ook nog de persoonlijke inbreng bij eventueel indringen. En dan gaat het vooral over het opletten bij het aanklikken van foute linkjes, waardoor bvb. je antivirus wordt omzeild. Slim internetgebruik, dus

[radeloosje]

OK, dan nog op zoek gaan naar een goede fire-wall (als Avast er geen heeft).

En intussen ook al CCleaner laten lopen. Resultaat na de eerste run: "Geen fouten gevonden"!

Blijkbaar had ik een gentleman-indringer. Alhoewel hij bij de tweede keer toch mijn mails heeft gewist.

Voila, een dikke dank-je-wel is hier op z'n plaats!

[kape]

Comodo als firewall ... aan te bevelen.

26 maart 2010 aangepast door kape

[radeloosje]

Ik heb nog een vraagje/probleempje m.b.t. Norton:

Ik ontdekte via C:/Program Files toch nog een map/bestand "Norton Antvirus"!

Deze Norton Antivirus-map bevat nog twee mappen: AdvTools (mét bestanden in) en Savrt (leeg).

Als ik de map Norton Antivirus wil wissen krijg ik de boodschap dat die beschermd is! Hoe kan ik deze alsnog wissen, want ik zou niet opnieuw met Avast in conflikt komen.

Ook is mijn prullenbak getitelt: "Door Norton beveiligde Prullenbak". Wat moet ik hiermee?

Alles erin wissen, zonder risico's?

[kape]

Laat de Norton Removal Tool eens zijn werk doen. Zou normaal alle resten van Norton/Symantec moeten elimineren.