Virusaanval; IExplore.exe niet weg te krijgen.

Ataraxis · 27 augustus 2011

Hallo PC Helpforum!

Een aantal uur geleden begon mijn harde schijf plotseling hard te draaien, meestal doet hij dit wel als Windows Update ofzo, dus ik probeer taakbeheer te openen d.m.v. CTRL-ALT-DEL om te kijken wat mijn CPU/geheugen verbruik is. Het rare is dat 'open taakbeheer' niet tussen de opties stond.

Ik ga terug naar bureaublad en zie dat opeens 90% van mijn snelkoppelingen en andere icoontjes transparant zijn. Net alsof ik ze net geknipt heb. Opeens krijg ik vanalle errors van verschillende programma's (Teamspeak, ISP Monitor, Firefox, ...). Op het moment van dit alles zat ik gewoon op vertrouwde fora waar ik dagelijks op zit in FireFox 3.6.

Uit paniek probeerde ik snel mijn PC af te sluiten om daarna via safe mode een oplossing te zoeken en de 'aanval' te stoppen, maar het Start-menu wou niet openen. Ik reboot dus via de reset knop.

Ik heb heel wat problemen gehad om in Windows te geraken, laat staan veilige modus. Uiteindelijk is het dus toch gelukt om in normale Windows te geraken. Mijn bureaublad was zwart, ALLE icoontjes waren verdwenen, en ik kon zo goed als niets doen. Ik reboot nogmaals via de reset knop om nog een poging te wagen om in veilige modus te geraken. Uiteindelijk lukt dit en probeer ik een systeemherstel uit te voeren. Dit lukte en ik kon Windows terug zetten naar 26/08/'11 (gisteren).

Toen ik na de systeemherstel terug in Windows kwam, waren al mijn icoontjes terug, maar nog steeds transparant. Niet enkel die op mijn bureaublad, maar praktisch elk bestandje, map, etc ... op mijn PC. Na wat zoeken bleek het dus dat al die bestanden en dergelijke 'verborgen' stonden. Ik heb manueel de meeste al terug op zichtbaar gezet. Tot zover het gedoe over de 'verborgen' bestanden, dit is niet het probleem op dit moment.

Als eerste heb ik heel mijn PC laten scannen met ESET AV, die up-to-date is. Die vond 20 'infiltrations', waarvan er 19 konden verwijderd worden. MalwareBytes AMW heb ik vlak daarna een snelle scan laten doen, en die vond niets meer. Toch is het probleem niet opgelost. Dit is wat er nu nog allemaal 'fout zit':

- Bij het opstarten krijg ik direct een foutmelding van CCC (Catalyst Control Centre): "Catalyst Control Centre: Host Application werkt nietmeer".

- Bij het openen van taakbeheer staat er 2 maal een 'IExplore.exe' procces, ik gebruik nooit Internet Explorer maar FF 3.6. Als ik 1 van deze 2 processen sluit, sluit de andere direct mee. Maar ze komen telkens weer terug na ongeveer een minuut.

- Firefox loopt trager dan normaal, en vraagt telkens of ik FF als standaard webbrowser wil gebruiken, waarop ik 'Ja' kies, want hij stond altijd al als standaard browser. Toch blijft hij dit telkens opnieuw vragen.

Er zullen waarschijnlijk nog meerdere programma's zijn die aangetast zijn, maar dat zal ik nog wel ontdekken. Mijn vraag is dus hoe ik heel dat IExplore.exe probleem opgelost krijg, want ik ben er vrij zeker van dat er het virus, of restanten ervan, zich nog steeds op mijn PC bevinden.

Alvast bedankt voor de hulp!

27 augustus 2011

Heeft u getracht een Herstelpunt terug te zetten voor 26/08/11 ?

Ataraxis · 27 augustus 2011

Ik kon slechts 1 herstelpunt kiezen en dat was dat van 26/08. Ik moet wel zeggen dat er op die dag geen problemen waren.

Het herstelpunt was gemaakt omdat ik DirectX installeerde voor een bepaalde (uiteraard legale) game.

EDIT: Ook effe melden: Eén van de 1 Iexplore.exe processen verbruikt altijd ~ 13.000 KB geheugen. Ik kan ze killen zoveel als ik wil, ze blijven terugkomen. Duidelijk iets niet pluis.

27 augustus 2011 aangepast door Ataraxis

kape · 27 augustus 2011

Dan gaan we eens speuren naar malware.

Download HijackThis

Klik bij "HijackThis Downloads" op "Installer".

Bestand HijackThis.msi opslaan. Daarna kiezen voor "uitvoeren".

Hijackthis wordt nu op je PC geïnstalleerd, een snelkoppeling wordt op je bureaublad geplaatst.

Klik op de snelkoppeling om HijackThis te starten

Klik ofwel op "Do a systemscan and save a logfile", ofwel eerst op "Scan" en dan op "Savelog".

Er opent een kladblokvenster, hou gelijktijdig de CTRL en A-toets ingedrukt, nu is alles geselecteerd. Hou gelijktijdig de CTRL en C-toets ingedrukt, nu is alles gekopieerd. Plak nu het HJT logje in je bericht door CTRL en V-toets.

Krijg je een melding ""For some reason your system denied writing to the Host file ....", klik dan gewoon door op de OK-toets.

Let op : Windows Vista & 7 gebruikers dienen HijackThis als “administrator” uit te voeren via rechtermuisknop “als administrator uitvoeren". Indien dit via de snelkoppeling niet lukt voer je HijackThis als administrator uit in de volgende map : C:\Program Files\Trend Micro\HiJackThis of C:\Program Files (x86)\Trend Micro\HiJackThis.

Ataraxis · 28 augustus 2011

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 13:26:37, on 28/08/2011

Platform: Windows 7 SP1 (WinNT 6.00.3505)

MSIE: Internet Explorer v8.00 (8.00.7601.17514)

Boot mode: Normal

Running processes:

C:\Program Files (x86)\ASUS\EPU-4 Engine\FourEngine.exe

C:\Users\Jurgen\Downloads\ISP 5.7.6 BETA.exe

C:\Users\Jurgen\AppData\Roaming\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe

C:\Program Files (x86)\Dyyno\Dyyno Broadcaster\dyyno_launcher.exe

C:\Users\Jurgen\AppData\Roaming\Dropbox\bin\Dropbox.exe

C:\Program Files (x86)\Xfire\Xfire.exe

C:\Program Files (x86)\Razer\Krait\razerhid.exe

C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe

C:\Program Files (x86)\iTunes\iTunesHelper.exe

C:\Program Files (x86)\Razer\Krait\razerofa.exe

C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe

C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\MMLoadDrv.exe

C:\Program Files (x86)\Steam\steam.exe

C:\Program Files (x86)\HiJackThis\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Hotmail, Messenger, nieuws en entertainment vind je op MSN.nl

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Hotmail, Messenger, nieuws en entertainment vind je op MSN.nl

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

F2 - REG:system.ini: UserInit=userinit.exe,

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll

O4 - HKLM\..\Run: [HDAudDeck] C:\Program Files (x86)\VIA\VIAudioi\VDeck\VDeck.exe -r

O4 - HKLM\..\Run: [Krait] C:\Program Files (x86)\Razer\Krait\razerhid.exe

O4 - HKLM\..\Run: [ATICustomerCare] "C:\Program Files (x86)\ATI\ATICustomerCare\ATICustomerCare.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files (x86)\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [startCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun

O4 - HKCU\..\Run: [sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun

O4 - HKCU\..\Run: [Google Update] "C:\Users\Jurgen\AppData\Local\Google\Update\GoogleUpdate.exe" /c

O4 - HKCU\..\Run: [iSPMonitor] C:\Users\Jurgen\Downloads\ISP 5.7.6 BETA.exe

O4 - HKCU\..\Run: [Octoshape Streaming Services] "C:\Users\Jurgen\AppData\Roaming\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe" -inv:bootrun

O4 - HKCU\..\Run: [Dyyno Launcher] "C:\Program Files (x86)\Dyyno\Dyyno Broadcaster\dyyno_launcher.exe" 30100 30101 30102 30103 30104

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')

O4 - Startup: Adobe Gamma.lnk = C:\Program Files (x86)\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Startup: Dropbox.lnk = Jurgen\AppData\Roaming\Dropbox\bin\Dropbox.exe

O4 - Startup: Xfire.lnk = C:\Program Files (x86)\Xfire\Xfire.exe

O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files (x86)\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)

O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)

O23 - Service: AMD FUEL Service - Advanced Micro Devices, Inc. - C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe

O23 - Service: Mobiel Apple apparaat (Apple Mobile Device) - Apple Inc. - C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe

O23 - Service: Bonjour-service (Bonjour Service) - Apple Inc. - C:\Program Files (x86)\Bonjour\mDNSResponder.exe

O23 - Service: Dyyno Service (Dyyno Launcher) - Unknown owner - C:\Program Files (x86)\Dyyno\Dyyno Broadcaster\launcherd.exe

O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)

O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\x86\ekrn.exe

O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files (x86)\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPod-service (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: ISP Monitor (ISPMonitorSrv) - How2 Studios - C:\Program Files (x86)\ISP Monitor\ISPMonitorSrv.exe

O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)

O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe

O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)

O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)

O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)

O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)

O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe

O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)

O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)

O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)

O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)

O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)

O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)

O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--

End of file - 9109 bytes

kape · 28 augustus 2011

Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc stop "Dyyno Launcher"

Druk op Enter.

Ga naar Start – Uitvoeren/Zoekopdracht en tik in: sc delete "Dyyno Launcher"

Druk op Enter.

Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd:

O4 - HKCU\..\Run: [Dyyno Launcher] "C:\Program Files (x86)\Dyyno\Dyyno Broadcaster\dyyno_launcher.exe" 30100 30101 30102 30103 30104

Klik op 'Fix checked' om de items te verwijderen.

Download ComboFix van één van deze locaties:

Link 1

Link 2

* BELANGRIJK !!! Sla ComboFix.exe op je Bureaublad op

1. Schakel alle antivirus- en antispywareprogramma's uit, want anders kunnen ze misschien conflicteren met ComboFix. Hier is een handleiding over hoe je ze kan uitschakelen:

Klik hier

2. Het kan voorkomen dat de computer meerdere malen opnieuw gestart moet worden, dit is normaal.

3. Dubbelklik op "Combofix.exe" om de tool te starten.

4. Klik niet in het scherm van Combofix als deze actief is, hierdoor kan de 'tool' vastlopen.

Noot !!! Als er een error wordt getoond met de melding "Illegal operation attempted on a registery key that has been marked for deletion", herstart dan de computer.

5. Wanneer ComboFix klaar is, zal het het een logbestand voor je maken. Post de inhoud van dit logbestand (te vinden als C:\ComboFix.txt) in je volgende bericht, samen met een nieuw HijackThis log.

Ataraxis · 31 augustus 2011

Probleem tijdens ComboFix:

Antivirus stond uit, alle open programma's afgesloten, en ComboFix vanuit het bureaublad opgestart.

Hij ging scannen naar besemette bestanden, dat duurde zo'n 20 minuten, tot aan Deel1-50.

Toen begon hij een bepaald bestand te verwijderen, een .dll bestand in een 'Syswow64' map.

Nadat hij dat gedaan had ging hij Windows restarten. Maar i.p.v. dat Windows afsloot kreeg ik een BlueScreen met de 'PROCESS_HAS_LOCKED_PAGES' foutmelding.

Toen ik de PC terug opstarten stond ComboFix nietmeer open, en ik vind ook nergens een logbestand ...

In C:/ComboFix staat wel een Combofix.txt bestandje met daarin het volgende:

ComboFix 11-08-31.04 - Jurgen 31/08/2011 18:30:20.1.4 - x64

Microsoft Windows 7 Ultimate 6.1.7601.1.1252.32.1033.18.4095.2731 [GMT 2:00]

Gestart vanuit: C:\Users\Jurgen\Desktop\ComboFix.exe

AV: ESET NOD32 Antivirus 4.0 *Disabled/Updated* {CB0F8167-5331-BA19-698E-64816B6801A5}

SP: ESET NOD32 Antivirus 4.0 *Disabled/Updated* {706E6083-750B-B597-533E-5FF310EF4B18}

SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

De problemen zijn ook niet opgelost. Ik merk nu ook dat zoeken via Google in Firefox trager gaat, en dat ik bij de eerste link van een zoekresultaat altijd ge-redirect word naar een (malware?)site groupon.be, met allerlei reclame.

HiJackThis is wel gelukt, Dyyno Broadcaster is eigenlijk gewoon een livestream tool, maar ik heb het voor de zekerheid toch maar gedaan, en ook verwijderd naar de HJT fix. Hier de log: