Trojan Malware

[HansvG]

Beste mensen

sinds een paar dagen heb ik een Trojaan op de PC. AdAware noemt hem win32.trojandownload.agent. Het programma zit in C:/windows/system32/xaayvkjr.dll Er verschijnen ook popups en zo. Ook start explorer ( niet internet explorer) vanzelf op met een bepaalde map. Met Adaware en Hijackthis krijg ik hem niet definitief verwijderd. Hij komt bij opstarten weer terug. Ook worden mijn herstartpunten in systeemherstel verwijderd. Herinstallatie van SP3 levert ook al niks op. Een dag geleden kreeg ik ook foutmeldingen over C:/windows/system32/wwhmjkx.dll en csrss.exe.

Attached Hijackthislog .

Iemand die kan helpen? Bij voorbaat dank.

vrgr

HansvG

hijackthis.log

[kape]

Strikt genomen is dit een verloren zaak : op basis van je log en je opmerkingen is het duidelijk dat je met een Virut-infectie worstelt. Het infecteert legitieme exe-bestanden, dus ook al je programma's, enz ...

SystemLookup - Global Search

Het slechte nieuws is dat bij een Virut normaal enkel een format en herinstallatie een goede oplossing is, alle andere pogingen zijn weinig succesvol. Lees hierover even dit verhaal :

Spyware

Kortom 80% van de exe-bestanden zijn geïnfecteerd hier. Dus, indien je een backup neemt van je bestanden vooraleer een format en herinstallatie te doen, zorg ervoor dat je geen backup neemt van exe, scr, html, htm, asp, php bestanden, want ook deze zijn allemaal geïnfecteerd.

Nu wil ik - samen met jou - wel even proberen om de merkbare besmettingen aan te pakken ... maar dit is geen enkele garantie dat dit ook zal leiden tot een optimale werking van de PC. Daarom laat ik de keuze graag aan jou : format & herinstallatie ... of een poging tot herstel (zonder enige zekerheid op succes en met een grote kans dat je in de toekomst opnieuw problemen tegen het lijf loopt) ? Laat maar weten wat je wenst ?

[HansvG]

Hallo

Bedankt voor je reactie. Ik had al door dat ik met een virut te maken had. Had nog enige hoop het met Windows Essentials op te lossen. Maar ook nop. Ik wil wel een poging wagen om het zonder format op te lossen. Hoewel het misschien meer tijd kost.

Vrgr

Hans

[kape]

Start Hijackthis op. Ben je gebruiker van Vista kies dan voor “Run as administrator" of "Uitvoeren als administrator". Selecteer “Do a system scan only”. Selecteer alleen de items die hieronder zijn genoemd:

O2 - BHO: (no name) - {034979DD-BAE9-44A2-9EC0-849E4EE4FA22} - C:\WINDOWS\system32\xaayvkjr.dll

O2 - BHO: (no name) - {03E99C36-8338-4C8F-83D4-870AAE156644} - (no file)

O2 - BHO: ezLife browser enhancer rrinaxmg - {18C59547-89BB-4FE3-B626-C67DDB807473} - C:\WINDOWS\system32\rrinaxmg.dll

O2 - BHO: (no name) - {53D3CC17-8B6B-4578-8EFB-F34C28F8B675} - c:\windows\system32\qgzbmam.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: hotrevenue browser enhancer - {7547EA31-E417-8874-B610-FC83DE39FC13} - C:\WINDOWS\system32\ngybilljom.dll

O2 - BHO: profithand - {bccaa557-a909-4511-14f5-fe062a9b5944} - C:\WINDOWS\system32\b12d2a08.dll

O2 - BHO: SmartAds browser enhancer oqlvepsp - {D104E75B-E6BA-45D6-8396-1A24F48E3795} - C:\WINDOWS\system32\oqlvepsp.dll

O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll

O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll

O4 - HKLM\..\Run: [net] "C:\WINDOWS\system32\net.net"

O4 - HKLM\..\Run: [ezLife] rundll32 "rrinaxmg.dll",,Run

O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe

O4 - HKLM\..\Run: [kqbvrkfswyk] C:\WINDOWS\System32\regsvr32.exe /s "C:\WINDOWS\system32\ngybilljom.dll"

O4 - HKCU\..\Run: [reader_s] C:\Documents and Settings\papa beheerder\reader_s.exe

Klik op 'Fix checked' om de items te verwijderen.

Verwijder het programma Ask.com via Configuratiescherm -> Software (indien aanwezig) of verwijder anders volgende vetgedrukte map C:\Program Files\Ask.com

Download MBAM (Malwarebytes Anti-Malware)

Dubbelklik op mbam-setup.exe om het programma te installeren.

Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien".

Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden.

Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan.

Het scannen kan een tijdje duren, dus wees geduldig.

Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien.

Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde.

Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder).

Indien er de rootkit (TDSS) aanwezig is, zal MBAM vragen te herstarten. Doe dit dan ook.

MBAM zal na de herstart opnieuw scannen en de rootkit verwijderen.

Het log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in het programma.

Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de computer opnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart.

Plak de inhoud van het logje in je volgende bericht, samen met een nieuw HijackThis log.

[HansvG]

Heb Windows maar opnieuw geinstalleerd.

[kape]

Heb Windows maar opnieuw geinstalleerd.

Geen slecht idee in dit geval ;-)