Win32/Alureon.H

[kape]

Download ComboFix van één van deze locaties:

Link 1

Link 2

* BELANGRIJK !!! Sla ComboFix.exe op je Bureaublad op

Lees hier meer over correct gebruik van Combofix.

• Schakel alle antivirus- en antispywareprogramma's uit, want anders kunnen ze misschien conflicteren met ComboFix. Hier is een handleiding over hoe je ze kan uitschakelen: Klik hier Als het je niet lukt om ze uit te schakelen, ga dan gewoon door naar de volgende stap.
  
• Dubbelklik op ComboFix.exe en volg de meldingen op het scherm.
  
• ComboFix zal controleren of dat de Microsoft Windows Recovery Console reeds is geïnstalleerd. Als deze Recovery Console al is geïnstalleerd zal ComboFix automatisch verder gaan met het scannen naar malware
  
• Volg anders de meldingen op het scherm om ComboFix de Microsoft Windows Recovery Console te laten downloaden en installeren. Wanneer de Recovery Console succesvol is geïnstalleerd, klik je op “JA” om verder te gaan met het scannen naar malware.
  

NOTA: Wanneer ComboFix start, kan het zijn dat je een foutmelding krijgt dat “De inhoud van het ComboFix pakket werd gewijzigd”. Ga dan niet verder met de instructies, maar download ComboFix opnieuw. Deze melding kan verschijnen wanneer een file-infector (Virut) actief is op de computer. Blijf je die melding krijgen dan meld je dit.

Wanneer ComboFix klaar is, zal het het een logbestand voor je maken. Post de inhoud van dit logbestand (te vinden als C:\ComboFix.txt) in je volgende bericht.

P.S. : mOcht je dit nu niet meer kunnen uitvoeren, geen probleem ... we houden dit onderwerp wel voor een tijdje open ;-)

[Papavanvijf]

ComboFix 10-08-08.03 - Eigenaar 09-08-2010 19:44:11.1.2 - x86

Microsoft Windows XP Home Edition 5.1.2600.3.1252.31.1043.18.3327.2635 [GMT 2:00]

Gestart vanuit: c:\documents and settings\Eigenaar\Bureaublad\ComboFix.exe

AV: AVG Anti-Virus Free *On-access scanning disabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}

AV: COMODO Antivirus *On-access scanning disabled* (Updated) {043803A5-4F86-4ef7-AFC5-F6E02A79969B}

.

(((((((((((((((((((((((((((((((((( Andere Verwijderingen )))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\documents and settings\All Users\Documenten\Settings

.

(((((((((((((((((((( Bestanden Gemaakt van 2010-07-09 to 2010-08-09 ))))))))))))))))))))))))))))))

.

2010-08-08 19:09 . 2010-05-06 10:36 743424 -c----w- c:\windows\system32\dllcache\iedvtool.dll

2010-08-03 20:57 . 2010-08-03 20:57 503808 ----a-w- c:\documents and settings\Eigenaar\Application Data\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-638eabd6-n\msvcp71.dll

2010-08-03 20:57 . 2010-08-03 20:57 499712 ----a-w- c:\documents and settings\Eigenaar\Application Data\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-638eabd6-n\jmc.dll

2010-08-03 20:57 . 2010-08-03 20:57 348160 ----a-w- c:\documents and settings\Eigenaar\Application Data\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-638eabd6-n\msvcr71.dll

2010-08-03 20:57 . 2010-08-03 20:57 61440 ----a-w- c:\documents and settings\Eigenaar\Application Data\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-61beed2c-n\decora-sse.dll

2010-08-03 20:57 . 2010-08-03 20:57 12800 ----a-w- c:\documents and settings\Eigenaar\Application Data\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-61beed2c-n\decora-d3d.dll

2010-08-03 07:51 . 2010-08-03 07:51 664 ----a-w- c:\windows\system32\d3d9caps.dat

2010-08-01 20:33 . 2010-08-01 20:33 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache

2010-07-31 21:09 . 2010-07-31 21:09 -------- d-----w- c:\documents and settings\NetworkService\Mijn documenten

2010-07-31 21:09 . 2010-07-31 21:09 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Adobe

2010-07-12 21:55 . 2010-07-12 21:55 503808 ----a-w- c:\documents and settings\Eigenaar\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-7472ecf2-n\msvcp71.dll

2010-07-12 21:55 . 2010-07-12 21:55 499712 ----a-w- c:\documents and settings\Eigenaar\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-7472ecf2-n\jmc.dll

2010-07-12 21:55 . 2010-07-12 21:55 348160 ----a-w- c:\documents and settings\Eigenaar\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-7472ecf2-n\msvcr71.dll

2010-07-12 21:55 . 2010-07-12 21:55 61440 ----a-w- c:\documents and settings\Eigenaar\Application Data\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-40d2c809-n\decora-sse.dll

2010-07-12 21:55 . 2010-07-12 21:55 12800 ----a-w- c:\documents and settings\Eigenaar\Application Data\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-40d2c809-n\decora-d3d.dll

2010-07-12 21:55 . 2010-07-17 03:00 423656 ----a-w- c:\windows\system32\deployJava1.dll

2010-07-12 21:35 . 2010-07-12 21:35 -------- d-----w- c:\documents and settings\Eigenaar\Local Settings\Application Data\COMODO

.

((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-08-08 21:40 . 2008-04-15 12:00 86022 ----a-w- c:\windows\system32\perfc013.dat

2010-08-08 21:40 . 2008-04-15 12:00 498912 ----a-w- c:\windows\system32\perfh013.dat

2010-08-08 14:40 . 2010-06-19 10:51 1474832 ----a-w- c:\windows\system32\drivers\sfi.dat

2010-08-03 20:57 . 2009-10-08 20:33 -------- d-----w- c:\program files\Common Files\Java

2010-08-03 20:56 . 2009-10-08 20:33 -------- d-----w- c:\program files\Java

2010-08-02 17:32 . 2010-03-23 13:17 -------- d-----w- c:\documents and settings\All Users\Application Data\CanonIJPLM

2010-07-16 21:56 . 2010-06-08 20:52 -------- d-----w- c:\program files\Windows Live Safety Center

2010-06-30 22:55 . 2010-05-01 08:43 -------- d-----w- c:\documents and settings\Eigenaar\Application Data\Azureus

2010-06-21 16:15 . 2010-03-23 13:27 -------- d-----w- c:\documents and settings\All Users\Application Data\CanonIJ

2010-06-19 10:51 . 2010-06-19 10:49 -------- d-----w- c:\documents and settings\All Users\Application Data\Comodo

2010-06-19 10:46 . 2010-06-19 10:46 -------- d-----w- c:\program files\COMODO

2010-06-19 10:45 . 2010-06-19 10:44 -------- d-----w- c:\documents and settings\All Users\Application Data\Comodo Downloader

2010-06-14 14:31 . 2009-04-01 09:05 744448 ----a-w- c:\windows\pchealth\helpctr\binaries\helpsvc.exe

2010-06-04 09:55 . 2010-06-04 09:55 229312 ----a-w- c:\windows\system32\drivers\cmdGuard.sys

2010-06-03 02:41 . 2010-06-03 02:41 3600384 ----a-w- c:\windows\system32\GPhotos.scr

2010-06-01 17:00 . 2010-06-01 17:00 278288 ----a-w- c:\windows\system32\guard32.dll

2010-06-01 17:00 . 2010-06-01 17:00 87824 ----a-w- c:\windows\system32\drivers\inspect.sys

2010-06-01 17:00 . 2010-06-01 17:00 25240 ----a-w- c:\windows\system32\drivers\cmdhlp.sys

2010-06-01 17:00 . 2010-06-01 17:00 15464 ----a-w- c:\windows\system32\drivers\cmderd.sys

2010-05-24 11:17 . 2009-04-01 19:52 87272 ----a-w- c:\documents and settings\Eigenaar\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

.

((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-06-21 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RTHDCPL"="RTHDCPL.EXE" [2008-05-16 16862720]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-10-07 13574144]

"nwiz"="nwiz.exe" [2008-10-07 1630208]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-10-07 86016]

"RemoteControl"="c:\program files\ASUSTeK\ASUSDVD\PDVDServ.exe" [2004-11-02 32768]

"AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2010-07-09 2048352]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-14 39792]

"NeroCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb01.exe" [2000-12-08 192512]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-11-10 417792]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-02-15 141608]

"CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2009-07-26 1983816]

"CanonSolutionMenu"="c:\program files\Canon\SolutionMenu\CNSLMAIN.exe" [2009-03-17 767312]

"COMODO Internet Security"="c:\program files\COMODO\COMODO Internet Security\cfp.exe" [2010-06-01 2039240]

"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-15 15360]

c:\documents and settings\All Users\Menu Start\Programma's\Opstarten\

Watch.lnk - c:\windows\twain_32\Trust\Compact Scan\WATCH.exe [2009-6-27 356352]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]

2009-08-18 14:11 11952 ----a-w- c:\windows\system32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=c:\windows\system32\guard32.dll

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [1-4-2009 21:52 335240]

R1 AvgTdiX;AVG Free8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [1-4-2009 21:52 108552]

R1 cmderd;COMODO Internet Security Eradication Driver;c:\windows\system32\drivers\cmderd.sys [1-6-2010 19:00 15464]

R1 cmdGuard;COMODO Internet Security Sandbox Driver;c:\windows\system32\drivers\cmdGuard.sys [4-6-2010 11:55 229312]

R2 avg8emc;AVG Free8 E-mail Scanner;c:\progra~1\AVG\AVG8\avgemc.exe [1-4-2009 21:52 908056]

R2 avg8wd;AVG Free8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [1-4-2009 21:52 297752]

R3 NmPar;MosChip PCI Parallel Port;c:\windows\system32\drivers\NmPar.sys [24-6-2009 17:48 81408]

R3 nmserial;MosChip PCI Serial Port;c:\windows\system32\drivers\NmSerial.sys [24-6-2009 17:48 63488]

S2 gupdate1c9f286bfac0612;Google Updateservice (gupdate1c9f286bfac0612);c:\program files\Google\Update\GoogleUpdate.exe [21-6-2009 17:41 133104]

S3 SCREAMINGBDRIVER;Screaming Bee Audio;c:\windows\system32\drivers\ScreamingBAudio.sys [26-11-2009 1:06 34384]

S3 SNPT513;PC Camera (6025 VGA);c:\windows\system32\drivers\snpt513.sys [9-6-2009 23:11 228480]

.

Inhoud van de 'Gedeelde Taken' map

2010-08-03 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2010-08-09 c:\windows\Tasks\Google Software Updater.job

- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-04-24 15:39]

2010-08-09 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2009-06-21 15:41]

2010-08-09 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2009-06-21 15:41]

.

.

------- Bijkomende Scan -------

.

uStart Page = hxxp://www.nu.nl/

uDefault_Search_URL = hxxp://www.google.com/ie

uSearchAssistant = hxxp://www.google.com/ie

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200

IE: E&xporteren naar Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

IE: Google Sidewiki...

DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab

DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game12.zylom.com/activex/zylomgamesplayer.cab

.

- - - - ORPHANS VERWIJDERD - - - -

WebBrowser-{BA14329E-9550-4989-B3F2-9732E92D17CC} - (no file)

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2010-08-09 19:47

Windows 5.1.2600 Service Pack 3 NTFS

detected NTDLL code modification:

ZwClose, ZwOpenFile

scannen van verborgen processen ...

scannen van verborgen autostart items ...

scannen van verborgen bestanden ...

Scan succesvol afgerond

verborgen bestanden: 0

**************************************************************************

.

--------------------- VERGRENDELDE REGISTER SLEUTELS ---------------------

[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]

@Denied: (2) (LocalSystem)

"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,

d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,38,4a,1b,0d,5d,4f,d0,42,8d,33,60,\

"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,

d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,38,4a,1b,0d,5d,4f,d0,42,8d,33,60,\

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•9~*]

"3140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–}|ÿÿÿÿÀ•}|ù•9~*]

"3140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

"3140710900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

.

--------------------- DLLs Geladen Onder Lopende Processen ---------------------

- - - - - - - > 'explorer.exe'(2932)

c:\windows\system32\webcheck.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

Voltooingstijd: 2010-08-09 19:49:18

ComboFix-quarantined-files.txt 2010-08-09 17:49

Pre-Run: 240.522.555.392 bytes beschikbaar

Post-Run: 240.948.899.840 bytes beschikbaar

- - End Of File - - E9A0C32A836DCA65CE82B87E81C148D2

[kape]

Dit ziet er netjes uit. Krijg je nu nog virusmeldingen ?

[Papavanvijf]

Nog een keer Onecare online scanner laten draaien. Deze geeft aan Alureon nog te vinden in de map Qoobox van Combofix. Bij verwijderen door de onlinescanner komen prompt ook Comodo en AVG er achteraan kakken met de melding dat ze een virus hebben gevonden... beetje laat wakker geworden die twee.

Zal komende tijd met grote regelmaat en nieuwsgierigheid de scans uitvoeren, voorlopig lijkt het probleem aangepakt en de laatste 2 dagen gedraagt de pc zich behoorlijk.

Maak er maar 1757 * bedankt in 1705 berichten van.

Papsvanvijf.

---------- Post toegevoegd om 22:23 ---------- Vorige post was om 22:21 ----------

Is het nog nodig / raadzaam combofix weer te verwijderen en zo ja; nog bijzonderheden hierbij?

[kape]

Foutmelding in Qoobox is geen probleem. Dit is een onderdeel van Combofix dat door vele virusscanners - volkomen foutief - herkend wordt als een virus, wat het dus niet is. Met de opruiming van Combofix, gaat ook Qoobox voor de bijl ... zodat deze virusmelding ook meteen zou moeten in rook opgaan.

Verwijder Combofix: Start -> Uitvoeren en typ: ComboFix /Uninstall

Dit zal Combofix verwijderen + gerelateerde mappen en bestanden, herstelt de klokinstellingen opnieuw, verbergt de bestandsextensies, gaat verborgen bestanden en systeembestanden terug verbergen en maakt een nieuw herstelpunt.

Indien aanwezig mag je de map C:\Qoobox manueel verwijderen.

Download hier CCleaner en dan start de download van CCleaner automatisch en gratis op.

Installeer het en start CCleaner op. Klik in de linkse kolom op “Cleaner”. Klik achtereenvolgens op ‘Analyseren’ en 'Schoonmaken'. Soms is 1 analyse niet voldoende. Deze procedure mag je herhalen tot de analyse geen fouten meer aangeeft. Klik vervolgens in de linkse kolom op “Register” en klik op ‘Scan naar problemen”. Als er fouten gevonden worden klik je op ”Herstel geselecteerde problemen” en ”OK”. Dan krijg je de vraag om een back-up te maken. Klik op “JA”. Kies dan “Herstel alle geselecteerde fouten”. Sluit hierna CCleaner terug af.

Wil je dit uitgebreid in beeld bekijken, klik dan hier voor de handleiding.

Het is aangewezen om de bestaande herstelpunten te verwijderen (daar zitten besmette herstelpunten tussen die je eventueel zou kunnen terugzetten) door systeemherstel tijdelijk uit te schakelen. Doe dit via Start -> Configuratiescherm -> Prestaties en Onderhoud -> Systeem -> Systeemherstel -> "Systeemherstel op alle stations uitschakelen" aanvinken. Toepassen en OK. PC herstarten en het vinkje terug weg halen.

That's it !