ndis virus - internet verbinding weg

[Gast Harry65]

alles uitgevoerd zoals hierboven gevraagd

log:

ndis.sys;C:\WINDOWS\system32\drivers;BackDoor.Bulknet.417;zal gerepareerd worden nadat herstart.;ndis.sys;c:\windows\system32\drivers;BackDoor.Bulknet.417;zal gerepareerd worden nadat herstart.;drw8E.tmp;C:\WINDOWS\system32\drivers;BackDoor.Bulknet.417;Gerepareerd.;ndis.sys;C:\WINDOWS\system32\drivers;BackDoor.Bulknet.417;zal gerepareerd worden nadat herstart.;

AVG slaat bij scan nog weer aan op de trojaantjes Generic17.

[kape]

Heb je - zoals aangegeven - je PC herstart om de aangeduide items te verwijderen ? En pas na herstart een nieuwe scan van AVG gedaan ? Of is deze onmiddellijk gebeurd na het runnen van Dr. Web ?

[Gast Harry65]

heb meteen na DrWeb opnieuw opgestart en pas daarna AVG gestart.

Computer blijft sinds dit virus hangen in het "window shutting down scherm" vlak voordat ie echt opnieuw opstart, dus laatste stukje vd herstart moet via kort stroom eraf en dan computer opnieuw aan doen. DrWeb draaide in een soort speciale modus die als een soort layer over mn bureaublad ging.

[kape]

Kan je eventueel via een andere PC iets downloaden ? Zo ja, haal dan Malwarebytes binnen en breng dit met een USB-stick over naar de probleemcomputer.

Download http://www.besttechie.net/tools/mbam-setup.exe

Dubbelklik op mbam-setup.exe om het programma te installeren.

Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien".

Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden.

Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan.

Het scannen kan een tijdje duren, dus wees geduldig.

Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien.

Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde.

Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder).

Indien er de rootkit (TDSS) aanwezig is, zal MBAM vragen te herstarten. Doe dit dan ook.

MBAM zal na de herstart opnieuw scannen en de rootkit verwijderen.

Het log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in het programma.

Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de computer opnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart.

Plak de inhoud van het logje in je volgende bericht

[Gast Harry65]

Hierbij de log van MBAM:

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

Databaseversie: 4052

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

15-7-2010 17:58:09

mbam-log-2010-07-15 (17-58-09).txt

Scantype: Snelle scan

Objecten gescand: 114083

Verstreken tijd: 4 minuut/minuten, 9 seconde(n)

Geheugenprocessen geïnfecteerd: 0

Geheugenmodulen geïnfecteerd: 0

Registersleutels geïnfecteerd: 0

Registerwaarden geïnfecteerd: 0

Registerdata geïnfecteerd: 0

Mappen geïnfecteerd: 0

Bestanden geïnfecteerd: 2

Geheugenprocessen geïnfecteerd:

(Geen kwaadaardige objecten gedetecteerd)

Geheugenmodulen geïnfecteerd:

(Geen kwaadaardige objecten gedetecteerd)

Registersleutels geïnfecteerd:

(Geen kwaadaardige objecten gedetecteerd)

Registerwaarden geïnfecteerd:

(Geen kwaadaardige objecten gedetecteerd)

Registerdata geïnfecteerd:

(Geen kwaadaardige objecten gedetecteerd)

Mappen geïnfecteerd:

(Geen kwaadaardige objecten gedetecteerd)

Bestanden geïnfecteerd:

C:\WINDOWS\system32\ipsecndis.sys (Rootkit.Agent) -> Delete on reboot.

C:\WINDOWS\system32\Drivers\ntndis.sys (Rootkit.Agent) -> Delete on reboot.

Na herstart zitten de geinfecteerde bestanden er nog steeds helaas.

[kape]

Geeft AVG weer aan dat die in dit bestand zitten : C:\windows/system32/drivers/ndis.sys ? Of ditmaal in iets anders ? Want dat bestand zou volgens Malwarebytes na reboot gedelete moeten zijn ?

[Gast Harry65]

AVG geeft aan:

C:\windows\system32\services.exe (684):\memory_0950000 (Trojaanspaard Generic17 BKCS (object is niet toegankelijk)

C:\windows\system32\services.exe (684)

en Malwarebytes geeft aan (2e run):

- rootkit agent (c;windows\system32\ipsendis.sys

- rootkit agent (c:windows\system32\drivers/ntndis.sys

krijg bij "infecties verwijderen" de melding: "sommige opbjecten konden niet worden verwijderd. Er is logbestand opgeslagen. Wilt u opnieuw opstarten?" --> hetgeen ik dan doe.

[kape]

Download Rootkitrevealer.

Unzip het en dubbelklik op RootkitRevealer.exe.

Wacht een 10 - 15 seconden en klik dan op de scan-knop.

Tijdens de scan doe je niets op de computer. Wacht tot RootkitRevealer klaar is.

Wanneer het tooltje klaar is ga je naar 'File' en kies je voor 'Save'.

Het log van RootkitRevealer wordt nu opgeslagen.

Post de inhoud van dit logje.

[Gast Harry65]

Hierbij:

HKU\S-1-5-21-2934551863-1904042531-237644234-500\Console 14-7-2010 13:05 0 bytes Security mismatch.

HKLM\SECURITY\Policy\Secrets\SAC* 1-12-2009 23:34 0 bytes Key name contains embedded nulls (*)

HKLM\SECURITY\Policy\Secrets\SAI* 1-12-2009 23:34 0 bytes Key name contains embedded nulls (*)

C:\Documents and Settings\All Users\Application Data\avg9\Chjw\cm-2-p.dat 14-7-2010 23:11 2.97 MB Visible in Windows API, directory index, but not in MFT.

[kape]

Laat al deze bestanden

C:\windows\system32\services.exe (684)

C:\windows\system32\ipsendis.sys

C:\windows\system32\drivers\ntndis.sys

eens scannen bij Jotti en hang de resultaten in een volgende bericht.