ppi.exe Trojan

[Criccle]

Sinds korte tijd heb ik een trojan op mijn pc genaamd PPI (wat volgens mij staat voor Pay-per-install), die erg hardnekkig is en ik met geen mogelijkheid verwijderd krijg. Dankzij welk programma het geinstalleerd is weet ik niet, het opzoeken van de file heeft verder ook geen zin...Iedere keer als ik een .exe van een DVD wil opstarten krijg ik de melding dat deze niet kan opstarten omdat het bestand een virus bevat. Scannen met Avast geeft echter niets aan.

Mijn pc was toch al toe aan een format, dus laatst heb ik de C-schijf geformateerd, waarna de trojan gewoon weer terug kwam (voor de duidelijkheid, ik heb ook nog een D: en een E: partitie, maar aangezien daar niks op geïnstalleerd wordt lijkt me dat erg vreemd). Hierna heb ik nog een keer een format uitgevoerd en de trojan is nog steeds aanwezig.

Via HiJackThis heb ik een scan uit laten voeren, waar het volgende uit kwam:

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 12:52:31 PM, on 10/30/2010

Platform: Windows 7 (WinNT 6.00.3504)

MSIE: Internet Explorer v8.00 (8.00.7600.16671)

Boot mode: Normal

Running processes:

C:\Program Files\Alwil Software\Avast5\AvastUI.exe

C:\Program Files (x86)\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe

C:\Program Files (x86)\Mozilla Firefox\firefox.exe

C:\Program Files (x86)\HiJackThis\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Hotmail, Messenger, nieuws en entertainment vind je op MSN.nl

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Hotmail, Messenger, nieuws en entertainment vind je op MSN.nl

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Hotmail, Messenger, nieuws en entertainment vind je op MSN.nl

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

F2 - REG:system.ini: UserInit=userinit.exe

O4 - HKLM\..\Run: [avast5] "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui

O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Program Files (x86)\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s

O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)

O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: avast! Mail Scanner - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: avast! Web Scanner - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)

O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)

O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)

O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)

O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)

O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)

O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)

O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)

O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)

O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)

O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)

O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)

O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--

End of file - 4519 bytes

Hopelijk kunnen jullie me verder helpen? Ik hoor het graag als er meer informatie nodig is!

[kweezie wabbit]

Dit lijkt mij een logje te zijn van een schone installatie van windows zonder andere programma's.

Met dit logje is niks mis.

Download MBAM (Malwarebytes Anti-Malware)

Dubbelklik op mbam-setup.exe om het programma te installeren.

Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien".

Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden.

Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan.

Het scannen kan een tijdje duren, dus wees geduldig.

Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien.

Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde.

Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder).

Indien er de rootkit (TDSS) aanwezig is, zal MBAM vragen te herstarten. Doe dit dan ook.

MBAM zal na de herstart opnieuw scannen en de rootkit verwijderen.

Het log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in het programma.

Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de computer opnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart.

Plak de inhoud van het logje in je volgende bericht.

[Criccle]

Hierbij de log, hij heeft niets kunnen vinden helaas...Na wat verder gezocht te hebben op ppi.exe ben ik op de volgende site uitgekomen: f0r0r - Trojan removal instructions maar ik hoopte een gemakkelijkere manier te kunnen vinden om het te kunnen verwijderen. Verder enige ideeën?

Logje:

Malwarebytes' Anti-Malware 1.46

Malwarebytes

Database version: 5007

Windows 6.1.7600

Internet Explorer 8.0.7600.16385

10/31/2010 3:08:19 PM

mbam-log-2010-10-31 (15-08-19).txt

Scan type: Quick scan

Objects scanned: 132975

Time elapsed: 3 minute(s), 5 second(s)

Memory Processes Infected: 0

Memory Modules Infected: 0

Registry Keys Infected: 0

Registry Values Infected: 0

Registry Data Items Infected: 0

Folders Infected: 0

Files Infected: 0

Memory Processes Infected:

(No malicious items detected)

Memory Modules Infected:

(No malicious items detected)

Registry Keys Infected:

(No malicious items detected)

Registry Values Infected:

(No malicious items detected)

Registry Data Items Infected:

(No malicious items detected)

Folders Infected:

(No malicious items detected)

Files Infected:

(No malicious items detected)

[kape]

Download deze trialversie en laat die even scannen.

[Criccle]

Ik heb Vipre laten scannen, heb maar meteen een uitgebreide scan laten doen en daar is het volgende uitgekomen.

Helaas blijft het probleem nog steeds, zodra ik een .exe bestand wil openen van een CD/DVD komt Vipre met de volgende melding:

Active Protection Event Details

Event Type 2 -- Notify Timeout 0(s) Monitor Source 2003 -- On File Access Message ID {CFD07A2D-2973-48AA-90F1-A7F4644D93F6} Monitor Type 2 -- File Recommend System Scan Yes AP SDK Version 4.0.3904 Threat Definitions Version 7185 Event Actor Enum 2 -- Object Event Date/Time 2010-11-01T15:36:50

Application Information

File Path C:\Windows\explorer.exe Process ID 1348 File Size 2870272( CRC8 4DCFE761AB890000 Application Rating 1 -- Known Good Added To Always Allow List No Company Microsoft Corporation File Version 6.1.7600.16385 (win7_rtm.090713-1255) Product Name Microsoft® Windows® Operating System Product Version 6.1.7600.16385 Description Windows Explorer Copyright © Microsoft Corporation. All rights reserved.

Attempted to modify the following file

File Path G:\Setup.exe MD5 2133bf9570e280b0252e66264e052ff4 CRC8 F4EECBA81A560000 Application Rating 2 -- Known Bad Threat ID 4150696 Company Microsoft Corporation File Version 8.00.7600.16385 (win7_rtm.090713-1255) Product Name Windows® Internet Explorer Product Version 8.00.7600.16385 Description Win32 Cabinet Self-Extractor Copyright © Microsoft Corporation. All rights reserved.

Action Taken

Action 2 -- Blocked Reason 2 -- VIPRE Known

Goede poging, maar helaas nog steeds niet gelukt. Misschien toch een keer de D: en E: partitie formateren? Of kan dat er niets mee te maken hebben?