w32 Blaster Worm

[PCdwaas]

Hallo Kape,

Ik heb combofix geprobeerd, maar dat lukte niet door avg. Ik heb avg uitgeschakeld maar dat lukt ook niet. Daarna heb ik avg proberen te verwijderen maar dat lukt ook niet. kheb al wat gegoogled en programma's gedownload om avg te verwijderen maar het lukt me niet. Ik krijg de volgende melding

Fout: Actie is mislukt voor registersleutel HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows: registersleutel maken….

Toegang geweigerd.

Is mij dat een ramp als ge der niets van kent

[kweezie wabbit]

Probeer AVG te verwijderen met de tool die hier wordt aangegeven.

http://www.pc-helpforum.be/f163/hoe-verwijder-ik-mijn-antivirus-22810/

[PCdwaas]

Hallo Kape,

Ik heb avg eraf gekregen, maar krijg nog steeds volgende melding,

Combofix cannot run when avg is installed

This is due to avg's targeting of combofix's files/processes

It would be dangerous to continue

please uninstall avg or use another tool

Ik heb avg verwijdert zoals op het vorige bericht beschreven. Ik heb de computer afgesloten en terug opgestart. De worm was er dan terug. terug opgestart in veilige modus en Findykill gebruikt. Terug gewoon opgestart en Combofix geprobeerd, maar kreeg de melding zoals hierboven vermeld. Mss kan je mij nog eens helpen? alvast bedankt

[kape]

Is het mogelijk om door te klikken na deze foutmelding en ComboFix te laten scannen ? Of helemaal niet ?

[PCdwaas]

Nee dat gaat niet, als ik ok duw sluit combofix af.

[kape]

AVG en Combofix zijn niet echt goede vrienden ... probeer nog eens AVG te verwijderen via deze Removal Tool.

[PCdwaas]

Kheb avg removal tool gebruikt. Ik kreeg bij het opstarten volgende melding

Windows cannot find C:\DOCUME~1\Admini~1\Locals~1\Temp\7zS8.tmp\avgremovery.exe' . Make sure you typed the name correctly

and then try again. To search fore a file ...

---------- Post toegevoegd om 16:19 ---------- Vorige post was om 16:18 ----------

Aangezien windows automatisch afsloot en opstarte zit ik weer met die worm. Moet ik hem eerst verwijderen in safe mode of hoeft dat niet?

---------- Post toegevoegd om 16:21 ---------- Vorige post was om 16:19 ----------

Wss wel anders kan ik combofix niet opstarten of toch proberen met op te starten.

---------- Post toegevoegd om 16:22 ---------- Vorige post was om 16:21 ----------

Kga eerst in veilige mode en findykill zijn werk laten doen.

[kweezie wabbit]

Anders eerst eens het register opruimen met CCleaner om de laatste sporen van AVG op te ruimen.

Download CCleaner.

Installeer het en start CCleaner op. Klik in de linkse kolom op “Cleaner”. Klik achtereenvolgens op ‘Analyseren’ en 'Schoonmaken'.

Klik vervolgens in de linkse kolom op “Register” en klik op ‘Scan naar problemen”. Als er fouten gevonden worden klik je op ”Herstel geselecteerde problemen” en ”OK”. Dan krijg je de vraag om een back-up te maken. Klik op “JA”. Kies dan “Herstel alle geselecteerde fouten”.

Soms is 1 analyse niet voldoende. Deze procedure mag je herhalen tot de analyse geen fouten meer aangeeft.

Sluit hierna CCleaner terug af.

Wil je dit uitgebreid in beeld bekijken, klik dan hier voor de handleiding.

[PCdwaas]

Hallo,

Het is eindelijk gelukt. Hier is het logtext van combofix

ComboFix 10-11-12.01 - Administrator 24/09/2002 13:28:20.1.1 - x86

Microsoft Windows XP Professional 5.1.2600.3.1252.32.1033.18.254.82 [GMT 2:00]

Gestart vanuit: c:\documents and settings\Administrator\Desktop\ComboFix.exe

AV: AVG Anti-Virus Free *On-access scanning disabled* (Outdated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}

.

(((((((((((((((((((((((((((((((((( Andere Verwijderingen )))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\documents and settings\Administrator\Application Data\defender.exe

c:\documents and settings\Administrator\Application Data\ezpinst.exe

c:\documents and settings\Administrator\Application Data\pcouffin.sys

c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat

c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat

c:\windows\system\vdremote.dll

c:\windows\system\vdsvrlnk.dll

c:\windows\system\winspool.drv

c:\windows\system32\~.inf

c:\windows\system32\e1000msg.dll

----- BITS: Mogelijk geïnfecteerde sites -----

hxxp://au.download.winj+|Cv+@J:NGD_DQ{zcxLJS@

Besmet exemplaar van c:\windows\system32\msgsvc.dll werd aangetroffen en gedesinfecteerd

Hersteld exemplaar van - c:\windows\ServicePackFiles\i386\msgsvc.dll

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Legacy_SYSTEM

-------\Service_system

(((((((((((((((((((( Bestanden Gemaakt van 2002-08-24 to 2002-09-24 ))))))))))))))))))))))))))))))

.

2010-11-04 21:04 . 2010-11-04 21:04 -------- d-----w- C:\82805a918b210130a889bf

2009-08-18 15:21 . 2009-08-18 15:21 -------- d-----w- C:\Download

2009-08-18 15:21 . 2009-08-18 15:24 -------- d-----w- C:\tmpDownload

2009-07-08 14:18 . 2009-07-08 14:20 -------- d-----w- C:\02c8659a6b835a0c4a72fa

2008-05-15 12:28 . 2008-05-15 12:28 -------- d-----w- C:\videooutput

2007-01-06 16:05 . 2009-08-18 15:20 -------- d-----w- C:\My Downloads

2006-07-11 20:06 . 2006-07-11 20:06 -------- d-----w- C:\adobe audition map

2006-07-09 19:10 . 2006-07-10 21:04 -------- d-----w- C:\Temp

2006-03-09 18:50 . 2006-03-09 18:50 -------- d-----r- C:\MSOCache

.

((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-06-14 14:31 . 2005-12-05 14:01 744448 ----a-w- c:\windows\pchealth\helpctr\binaries\helpsvc.exe

2009-11-27 16:07 . 2001-08-17 22:36 8704 ----a-w- c:\windows\system32\tsbyuv.dll

2009-11-21 15:51 . 2004-08-04 12:00 471552 ----a-w- c:\windows\apppatch\aclayers.dll

2008-04-14 00:12 . 2005-12-05 14:01 150528 ----a-w- c:\windows\pchealth\UploadLB\Binaries\uploadm.exe

2008-04-14 00:12 . 2005-12-05 14:01 169984 ----a-w- c:\windows\pchealth\helpctr\binaries\msconfig.exe

2008-04-14 00:12 . 2005-12-05 14:01 769024 ----a-w- c:\windows\pchealth\helpctr\binaries\helpctr.exe

2008-04-14 00:12 . 2005-12-05 14:01 18432 ----a-w- c:\windows\pchealth\helpctr\binaries\hscupd.exe

2008-04-14 00:12 . 2005-12-05 14:01 726078 ----a-w- c:\windows\srchasst\srchui.dll

2008-04-14 00:12 . 2004-08-04 12:00 33280 ----a-w- c:\windows\help\sstub.dll

2008-04-14 00:12 . 2004-08-04 12:00 279040 ----a-w- c:\windows\help\tshoot.dll

2008-04-14 00:12 . 2005-12-05 14:01 58434 ----a-w- c:\windows\srchasst\srchctls.dll

2008-04-14 00:12 . 2004-08-04 12:00 34816 ----a-w- c:\windows\help\sniffpol.dll

2008-04-14 00:12 . 2005-12-05 14:01 38400 ----a-w- c:\windows\pchealth\helpctr\binaries\pchsvc.dll

2008-04-14 00:12 . 2005-12-05 14:01 102912 ----a-w- c:\windows\pchealth\helpctr\binaries\pchshell.dll

2008-04-14 00:11 . 2005-12-05 14:01 3166208 ----a-w- c:\windows\srchasst\msgr3en.dll

2008-04-14 00:11 . 2005-12-05 14:01 376832 ----a-w- c:\windows\pchealth\helpctr\binaries\msinfo.dll

2008-04-14 00:11 . 2007-04-06 20:24 39424 ----a-w- c:\windows\apppatch\acadproc.dll

2008-04-14 00:11 . 2004-08-04 12:00 245248 ----a-w- c:\windows\apppatch\acspecfc.dll

2008-04-14 00:11 . 2004-08-04 12:00 1852928 ----a-w- c:\windows\apppatch\acgenral.dll

2008-04-14 00:11 . 2004-08-04 12:00 141312 ----a-w- c:\windows\apppatch\aclua.dll

2008-04-14 00:11 . 2004-08-04 12:00 116224 ----a-w- c:\windows\apppatch\acxtrnal.dll

2008-04-13 18:45 . 2001-08-17 14:03 25728 ----a-w- c:\windows\system32\drivers\usbcamd2.sys

2008-04-13 18:45 . 2001-08-17 14:03 25600 ----a-w- c:\windows\system32\drivers\usbcamd.sys

2004-08-04 12:00 . 2005-12-05 14:01 99840 ----a-w- c:\windows\pchealth\helpctr\binaries\HelpHost.exe

2004-08-04 12:00 . 2005-12-05 14:01 6656 ----a-w- c:\windows\pchealth\helpctr\binaries\HCAppRes.dll

2004-08-04 12:00 . 2005-12-05 14:01 35328 ----a-w- c:\windows\pchealth\helpctr\binaries\notiflag.exe

2004-08-04 12:00 . 2005-12-05 14:01 21504 ----a-w- c:\windows\pchealth\helpctr\binaries\brpinfo.dll

2004-08-04 12:00 . 2004-08-04 12:00 3374640 ----a-w- c:\windows\help\Tours\mmTour\tour.exe

2004-08-04 12:00 . 2004-08-04 12:00 152576 ----a-w- c:\windows\help\bnts.dll

2004-08-04 12:00 . 2001-08-17 22:37 77891 ----a-w- c:\windows\system32\usrmlnka.exe

2004-08-04 12:00 . 2001-08-17 22:37 69700 ----a-w- c:\windows\system32\usrshuta.exe

2004-08-04 12:00 . 2001-08-17 22:37 61508 ----a-w- c:\windows\system32\usrprbda.exe

2004-08-04 12:00 . 2001-08-17 22:36 55296 ----a-w- c:\windows\system32\dvdplay.exe

2004-08-04 12:00 . 2001-08-17 22:36 3200 ----a-w- c:\windows\system32\wowfax.dll

2004-08-04 12:00 . 2001-08-17 22:36 13824 ----a-w- c:\windows\system32\wowfaxui.dll

2004-08-04 12:00 . 2001-08-17 22:36 86073 ----a-w- c:\windows\system32\usrfaxa.dll

2004-08-04 12:00 . 2001-08-17 22:36 77890 ----a-w- c:\windows\system32\usrdpa.dll

2004-08-04 12:00 . 2001-08-17 22:36 77883 ----a-w- c:\windows\system32\usrrtosa.dll

2004-08-04 12:00 . 2001-08-17 22:36 69699 ----a-w- c:\windows\system32\usrcoina.dll

2004-08-04 12:00 . 2001-08-17 22:36 61500 ----a-w- c:\windows\system32\usrcntra.dll

2004-08-04 12:00 . 2001-08-17 22:36 53305 ----a-w- c:\windows\system32\usrlbva.dll

2004-08-04 12:00 . 2001-08-17 22:36 49211 ----a-w- c:\windows\system32\usrvpa.dll

2004-08-04 12:00 . 2001-08-17 22:36 49211 ----a-w- c:\windows\system32\usrsdpia.dll

2004-08-04 12:00 . 2001-08-17 22:36 49209 ----a-w- c:\windows\system32\usrv80a.dll

2004-08-04 12:00 . 2001-08-17 22:36 45116 ----a-w- c:\windows\system32\usrvoica.dll

2004-08-04 12:00 . 2001-08-17 22:36 41019 ----a-w- c:\windows\system32\usrsvpia.dll

2004-08-04 12:00 . 2001-08-17 22:36 323641 ----a-w- c:\windows\system32\usrdtea.dll

2004-08-04 12:00 . 2001-08-17 22:36 102457 ----a-w- c:\windows\system32\usrv42a.dll

2004-08-04 12:00 . 2001-08-17 22:36 8192 ----a-w- c:\windows\system32\streamci.dll

2004-08-04 12:00 . 2001-08-17 22:36 72192 ----a-w- c:\windows\system32\sprio800.dll

2004-08-04 12:00 . 2001-08-17 22:36 70656 ----a-w- c:\windows\system32\sprio600.dll

2004-08-04 12:00 . 2001-08-17 22:36 69632 ----a-w- c:\windows\system32\spnike.dll

2004-08-04 12:00 . 2001-08-17 22:36 157696 ----a-w- c:\windows\system32\paqsp.dll

2004-08-04 12:00 . 2001-08-17 22:36 147968 ----a-w- c:\windows\system32\mdwmdmsp.dll

2004-08-04 12:00 . 2001-08-17 14:06 21376 ----a-w- c:\windows\system32\drivers\tsbvcap.sys

2004-08-04 12:00 . 2001-08-17 14:02 262528 ----a-w- c:\windows\system32\drivers\cinemst2.sys

2004-08-04 12:00 . 2001-08-17 14:02 58112 ----a-w- c:\windows\system32\drivers\vdmindvd.sys

2004-08-04 12:00 . 2001-08-17 14:01 51712 ----a-w- c:\windows\system32\drivers\tosdvd.sys

2004-08-04 12:00 . 2001-08-17 13:57 12160 ----a-w- c:\windows\system32\drivers\fsvga.sys

2004-08-04 12:00 . 2001-08-17 13:52 18688 ----a-w- c:\windows\system32\drivers\cdaudio.sys

2004-08-04 12:00 . 2001-08-17 13:48 12160 ----a-w- c:\windows\system32\drivers\mouhid.sys

2004-08-04 12:00 . 2001-08-17 13:24 12032 ----a-w- c:\windows\system32\drivers\riodrv.sys

2004-08-04 12:00 . 2001-08-17 13:24 12032 ----a-w- c:\windows\system32\drivers\rio8drv.sys

2004-08-04 12:00 . 2001-08-17 13:24 12032 ----a-w- c:\windows\system32\drivers\nikedrv.sys

2004-08-04 12:00 . 2001-08-17 13:24 11776 ----a-w- c:\windows\system32\drivers\cpqdap01.sys

2002-08-21 04:13 . 2002-08-21 04:13 189952 ----a-w- c:\windows\system32\WISPTIS.EXE

2002-08-21 04:10 . 2002-08-21 04:10 204800 ----a-w- c:\windows\system32\INKED.DLL

.

((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 204288]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-14 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2005-10-19 155648]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2005-10-19 126976]

"Mouse Suite 98 Daemon"="ICO.EXE" [2003-11-20 57344]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-12-21 35760]

"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]

"MFARestart"="c:\documents and settings\All Users\Application Data\MFAData\pack\avgrunasx.exe" [2010-09-24 237408]

c:\documents and settings\Administrator\Start Menu\Programs\Startup\

Adobe Gamma.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"c:\\Program Files\\Soulseek\\slsk.exe"=

.

Inhoud van de 'Gedeelde Taken' map

2010-08-02 c:\windows\Tasks\expressripShakeIcon.job

- c:\program files\NCH Swift Sound\ExpressRip\expressrip.exe [2010-07-30 12:22]

2002-09-24 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-30 19:24]

2010-11-12 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-30 19:24]

2002-09-24 c:\windows\Tasks\OGALogon.job

- c:\windows\system32\OGAEXEC.exe [2009-08-03 13:07]

2010-07-30 c:\windows\Tasks\switchSevenDays.job

- c:\program files\NCH Swift Sound\Switch\switch.exe [2010-07-30 12:24]

2010-08-02 c:\windows\Tasks\switchShakeIcon.job

- c:\program files\NCH Swift Sound\Switch\switch.exe [2010-07-30 12:24]

2010-07-30 c:\windows\Tasks\wavepadSevenDays.job

- c:\program files\NCH Swift Sound\WavePad\wavepad.exe [2010-07-30 12:24]

2010-08-02 c:\windows\Tasks\wavepadShakeIcon.job

- c:\program files\NCH Swift Sound\WavePad\wavepad.exe [2010-07-30 12:24]

.

.

------- Bijkomende Scan -------

.

uStart Page = hxxp://www.google.be/

uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8

uInternet Settings,ProxyOverride = <local>;localhost

uSearchAssistant = hxxp://www.google.com/ie

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: E&xporteren naar Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html

.

- - - - ORPHANS VERWIJDERD - - - -

HKCU-Run-Spyware Protection - c:\documents and settings\Administrator\Application Data\defender.exe

HKLM-Run-WinDefender - c:\documents and settings\Administrator\Application Data\defender.exe

Notify-avgrsstarter - avgrsstx.dll

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2002-09-25 00:02

Windows 5.1.2600 Service Pack 3 NTFS

scannen van verborgen processen ...

scannen van verborgen autostart items ...

scannen van verborgen bestanden ...

Scan succesvol afgerond

verborgen bestanden: 0

**************************************************************************

.

--------------------- VERGRENDELDE REGISTER SLEUTELS ---------------------

[HKEY_USERS\S-1-5-21-1993962763-602609370-1417001333-500\Software\Microsoft\Internet Explorer\User Preferences]

@Denied: (2) (Administrator)

"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,

d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,73,e9,22,66,b9,53,44,48,8c,69,f6,\

"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,

d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,7a,7f,cb,a3,aa,75,b3,46,95,b4,ea,\

"6256FFB019F8FDFBD36745B06F4540E9AEAF222A25"=hex:01,00,00,00,d0,8c,9d,df,01,15,

d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,22,02,ed,9c,0f,f1,16,48,af,0d,26,\

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•A~*]

"3140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

.

--------------------- DLLs Geladen Onder Lopende Processen ---------------------

- - - - - - - > 'explorer.exe'(3476)

c:\windows\system32\WININET.dll

c:\windows\system32\webcheck.dll

c:\windows\system32\IEFRAME.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Andere Aktieve Processen ------------------------

.

c:\program files\Windows Media Player\WMPNetwk.exe

c:\windows\system32\wscntfy.exe

c:\windows\system32\ICO.EXE

c:\windows\system32\FSRremoS.EXE

.

**************************************************************************

.

Voltooingstijd: 2002-09-25 00:12:59 - machine werd herstart

ComboFix-quarantined-files.txt 2002-09-24 22:12

Pre-Run: 3.943.305.216 bytes free

Post-Run: 4.005.179.392 bytes free

WindowsXP-KB310994-SP2-Pro-BootDisk-NLD.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - 459C1ECB3FF6D536215B4E5344F13247

[kape]

Combofix heeft behoorlijk werk geleverd.

Wil je nu eerst even een ander (gratis) antivirusprogramma (Avast, Antivir, MSE, o.i.d.) downloaden en installeren ... en dat laten runnen. Dit om te weten of er nog virusmeldingen voorkomen ? Laat het resultaat hiervan zeker weten !

Indien gewenst kan je dan daarna terug AVG als antivirus installeren.