w32 Blaster Worm

[PCdwaas]

Hallo, kzit met het volgende probleem. Ik ben de gelukkige eigenaar van w32 blaster worm.

Ik kan geen antivirus,email of andere programma's openen of downloaden. Wanneer ik bv een tooltje probeer te downloaden om de worm te verwijderen krijg ik de volgende vermelding:

naam.exe cannot start

naam.exe is infected by W32/blaster worm

Please activate Spyware Protection to protect your computer

Het enige wat ik ken opstarten is mijn internet. Kan iemand mij aub helpen om die worm eraf te krijgen? Mijn PCkennis is heel klein.

Alvast bedankt

[kape]

Kan je de PC opstarten in "veilige modus" ? Zo ja, kies daar voor "veilige modus met netwerkverbinding". En probeer dan eens of je HijackThis kan downloaden ?

Download HijackThis

Klik bij "HijackThis Downloads" op "Installer".

Bestand HijackThis.msi opslaan. Daarna kiezen voor "uitvoeren".

Hijackthis wordt nu op je PC geïnstalleerd, een snelkoppeling wordt op je bureaublad geplaatst.

Klik op de snelkoppeling om HijackThis te starten

Klik ofwel op "Do a systemscan and save a logfile", ofwel eerst op "Scan" en dan op "Savelog".

Er opent een kladblokvenster, hou gelijktijdig de CTRL en A-toets ingedrukt, nu is alles geselecteerd. Hou gelijktijdig de CTRL en C-toets ingedrukt, nu is alles gekopieerd. Plak nu het HJT logje in je bericht door CTRL en V-toets.

Krijg je een melding ""For some reason your system denied writing to the Host file ....", klik dan gewoon door op de OK-toets.

Let op : Windows Vista & 7 gebruikers dienen HijackThis als “administrator” uit te voeren via rechtermuisknop “als administrator uitvoeren". Indien dit via de snelkoppeling niet lukt voer je HijackThis als administrator uit in de volgende map : C:\Program Files\Trend Micro\HiJackThis of C:\Program Files (x86)\Trend Micro\HiJackThis.

[PCdwaas]

Hallo,

Alvast bedankt om te reageren. Ik kan opstarten in veilige modus. Kheb nu het probleem dat ik Hijackthis niet kan downloaden. Ik krijg de volgende melding :

The system administrator has set policies to prevent this installation.

Sommige programma's kan ik downloaden , andere niet. Kheb al een paar tooltjes geprobeerd om de worm te verwijderen (zoals symantec) maar ze vinden hem niet.

Ik heb ook al geprobeerd te policies te enabelen maar dat lukt me ook niet. Na een uur of 5 prutsen is het terug tijd om hulp te vragen denk ik. Hopelijk kan je mij helpen. Sommige internetpagina's sluit hij ook af in veillige modus. Alvast bedankt voor de hulp.

[kape]

Download opnieuw HijackThis, maar wijzig bij het downloaden de naam van het bestand hijackthis.exe in scan.exe. Bekijk eens of dit lukt en of je dan met HJT kan scannen ?

Lukt dit niet, ga dan even naar het volgende : download Findykill en laat dit programma runnen. Kies voor de optie 1 en plaats dan het logje in je volgende bericht.

8 november 2010 aangepast door kape

[PCdwaas]

Het is findykill geworden. Hijackthis lukte niet.

----------------- FindyKill V4.005 ------------------

* User : david - PRIVATE-E727259

* Emplacement : C:\Program Files\FindyKill

* Outils Mis a jours le 17/10/08 par Chiquitine29

* Recherche effectuée à 15:35:03 le di 24/09/2002

* Windows XP - Internet Explorer 8.0.6001.18702

((((((((((((((((( *** Recherche *** ))))))))))))))))))

--------------- [ Processus actifs ] ----------------

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\AVG\AVG9\avgchsvx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\FreeFixer\freefixer.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Internet Explorer\iexplore.exe

--------------- [ Fichiers/Dossiers infectieux ] ----------------

»»»» Presence des fichiers dans C:

»»»» Presence des fichiers dans C:\WINDOWS

»»»» Presence des fichiers dans C:\WINDOWS\Prefetch

Present ! - C:\WINDOWS\Prefetch\XP_BLASTERPATCH_NLD[1].EXE-25B991A1.pf

»»»» Presence des fichiers dans C:\WINDOWS\system32

»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers

»»»» Presence des fichiers dans C:\Documents and Settings\david\Application Data

»»»» Presence des fichiers dans C:\DOCUME~1\david\LOCALS~1\Temp

--------------- [ Registre / Startup ] ----------------

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

IgfxTray REG_SZ C:\WINDOWS\system32\igfxtray.exe

HotKeysCmds REG_SZ C:\WINDOWS\system32\hkcmd.exe

Mouse Suite 98 Daemon REG_SZ ICO.EXE

NeroFilterCheck REG_SZ C:\WINDOWS\system32\NeroCheck.exe

Adobe Reader Speed Launcher REG_SZ "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

Adobe ARM REG_SZ "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"

AVG9_TRAY REG_SZ C:\PROGRA~1\AVG\AVG9\avgtray.exe

WinDefender REG_SZ C:\Documents and Settings\Administrator\Application Data\defender.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} REG_SZ "C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe"

ctfmon.exe REG_SZ C:\WINDOWS\system32\ctfmon.exe

swg REG_SZ C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

MSMSGS REG_SZ "C:\Program Files\Messenger\msmsgs.exe" /background

--------------- [ Registre / Clés infectieuses ] ----------------

--------------- [ Etat / Services ] ----------------

+- Services : [ Auto=2 Demande=3 Désactivé=4 ]

Ndisuio - Type de démarrage = 3

EapHost - Type de démarrage = 3

Ip6Fw - Type de démarrage = 3

SharedAccess - Type de démarrage = 2

wuauserv - Type de démarrage = 2

wscsvc - Type de démarrage = 2

--------------- [ Recherche dans supports amovibles] ----------------

+- Informations :

C: - Fixed Drive

+- presence des fichiers :

--------------- [ Registre / Moutpoint2 ] ----------------

-> Recherche négative.

------------------- ! Fin du rapport ! --------------------

[kape]

Dan mag je nu Findykill herhalen, maar met optie 2.

[PCdwaas]

Dat ziet er dik in orde uit Kape. Hartelijk dank voor uw hulp. Voor iemand die er niets van kent zijn zulke dingen een ramp.

Gelukkig zijn er mensen die er wel wat van kennen . Ik denk dat alles in orde is of moet ik nog iets doen? Ik laat mijn computer nog eens scannen met ad-aware, ccleaner en avg. Ik weet niet of avg een goede virusscanner is. Mijn computer vertraagt er wel door denk ik. Zijn er betere gratis virusscanners? Of mag jij je daar niet over uitspreken?

Nogmaals bedankt en hopelijk heb ik je hulp nooit meer nodig.

[kape]

Verwijder Findykill. En dan mag je dit nog doen om de restjes op te ruimen :

Download hier CCleaner en dan start de download van CCleaner automatisch en gratis op.

Installeer het en start CCleaner op. Klik in de linkse kolom op “Cleaner”. Klik achtereenvolgens op ‘Analyseren’ en 'Schoonmaken'. Soms is 1 analyse niet voldoende. Deze procedure mag je herhalen tot de analyse geen fouten meer aangeeft. Klik vervolgens in de linkse kolom op “Register” en klik op ‘Scan naar problemen”. Als er fouten gevonden worden klik je op ”Herstel geselecteerde problemen” en ”OK”. Dan krijg je de vraag om een back-up te maken. Klik op “JA”. Kies dan “Herstel alle geselecteerde fouten”. Sluit hierna CCleaner terug af.

Wil je dit uitgebreid in beeld bekijken, klik dan hier voor de handleiding.

Het is aangewezen om de bestaande herstelpunten te verwijderen (daar zitten besmette herstelpunten tussen die je eventueel zou kunnen terugzetten) door systeemherstel tijdelijk uit te schakelen. Doe dit via Start -> Configuratiescherm -> Prestaties en Onderhoud -> Systeem -> Systeemherstel -> "Systeemherstel op alle stations uitschakelen" aanvinken. Toepassen en OK. PC herstarten en het vinkje terug weg halen.

En op zich is AVG geen slechte antivirus ... wil je wijzigen dan heb je nog Avast en Antivir als mogelijkheden.

[PCdwaas]

Hallo Kape,

Ik heb een beetje te vroeg victorie gekraaid denk ik. Vandaag starte ik mijn computer op en de worm was er terug. Ik ben dan in veilige modus opgestart en findykill zijn werk laten doen. Na stap 2 bij Findykill kon ik terug gewoon opstarten en leek er terug niets aan de hand, behalve dat mijn avg niet automatisch ging na het opstarten. Ik heb avg verwijderd en opnieuw geïnstalleerd, maar om de download te voltooien moet de computer terug opgestart worden. Toen ik dat deed was de worm er terug. Voor de rest had ik alle stappen ondernomen die u me vermeld had. Hiermee vraag ik nogmaals hulp...

[kape]

Het leek me al vreemd dat het helemaal zou opgelost zijn met de vorige run van FindyKill, maar je weet maar nooit ?

Download ComboFix van één van deze locaties:

Link 1

Link 2

* BELANGRIJK !!! Sla ComboFix.exe op je Bureaublad op

1. Schakel alle antivirus- en antispywareprogramma's uit, want anders kunnen ze misschien conflicteren met ComboFix. Hier is een handleiding over hoe je ze kan uitschakelen:

Klik hier

Als het je niet lukt om ze uit te schakelen, ga dan gewoon door naar de volgende stap.

2. Dubbelklik op ComboFix.exe en volg de meldingen op het scherm.

3. ComboFix zal controleren of dat de Microsoft Windows Recovery Console reeds is geïnstalleerd.

**Let op: Als de Microsoft Windows Recovery Console al is geïnstalleerd, dan krijg je de volgende schermen niet te zien en zal ComboFix automatisch verder gaan met het scannen naar malware.

4. Volg de meldingen op het scherm om ComboFix de Microsoft Windows Recovery Console te laten downloaden en installeren.

Je krijgt de volgende melding te zien wanneer ComboFix de Microsoft Windows Recovery Console succesvol heeft geïnstalleerd:

Klik op Ja om verder te gaan met het scannen naar malware.

5. Wanneer ComboFix klaar is, zal het het een logbestand voor je maken. Post de inhoud van dit logbestand (te vinden als C:\ComboFix.txt) in je volgende bericht.

Indien je problemen hebt bij het uitvoeren van ComboFix, gelieve dit te melden.