Ga naar inhoud

[OPGELOST] Msn virus: "Je foto's worden gepubliceerd op deze site"


Aanbevolen berichten

Uninstall je MSN. Nadat je PC volledig netjes is, kan je deze terug downloaden.

Start Hijackthis op en kies voor 'Do a system scan only'. Selecteer alleen de items hieronder genoemd:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\Bram\LOCALS~1\Temp\service s.exe

O2 - BHO: browser optimizer superiorads - {8E015787-B1E3-404a-95DE-3E71E1FA0305} - C:\WINDOWS\system32\spads.dll (file missing)

O4 - HKLM\..\Run: [nvchost] C:\DOCUME~1\Bram\LOCALS~1\Temp\~DP5B.exe

O4 - HKLM\..\Run: [Flash Media] C:\DOCUME~1\Bram\LOCALS~1\Temp\services.exe

O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu1423.exe 61A847B5BBF7281336993B466188719AB689201522886B092CBD44BD8689220221DD3257

O4 - HKCU..Run: [JavaCore] C:Program Files\JavaCore\JavaCore.exe

O4 - HKCU..Run: [NoDNS] C:Program Files\NoDNS\NoDNS.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} –

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/NL-NL/a-UNO1/GAME_UNO1.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O23 - Service: PsExec (PSEXESVC) - Unknown owner - C:\WINDOWS\PSEXESVC.EXE (file missing)

Klik op 'Fix checked' om de items te verwijderen.

Verwijder volgende vetgedrukte mappen of bestanden via Windows Verkenner.

C:Program Files\JavaCore

C:Program Files\NoDNS

C:\WINDOWS\mrofinu1423.exe

Je Java software is verouderd. Oudere versies hebben lekken die malware de kans geeft om zich te installeren op je systeem. Doe eerst deze stappen om Java te de-installeren en de nieuwere versie te installeren.

Download Java Runtime Environment (JRE) 6u5.

  • Scroll omlaag naar : "Java Runtime Environment (JRE) 6u5".
  • Klik op de "Download" knop aan de rechterkant.
  • In het uitklapmenu rechts naast Platform, selecteer “Windows”.
  • Vink aan: "I agree to the Java SE Runtime Environment 6 License Agreement", en klik op “Continue”.
  • De pagina zal herladen.
  • Klik op de jre-6u5-windows-i586-p.exe link ONDER Windows Offline Installation en bewaar het naar je Bureaublad.
  • Sluit alle programma's die eventueel open zijn, zeker je webbrowser.
  • Ga dan naar Start -> Configuratiescherm -> Software en verwijder alle oudere versies van Java uit de Softwarelijst.
  • Vink alles aan met Java Runtime Environment (JRE of J2SE) in de naam.
  • Klik dan op “Verwijderen” of op de “Wijzig/Verwijder” knop.
  • Herhaal dit tot alle oudere versies verdwenen zijn.
  • Na het verwijderen van alle oudere versies, herstart je pc.
  • Dubbelklik vervolgens op jre-6u5-windows-i586-p.exe op je Bureaublad om de nieuwste versie van Java te installeren.

Hang dan een nieuw log van HJT aan een volgend bericht en laat eens horen of je nog "vreemde" dingen (pop-ups, e.a.) ziet gebeuren op je PC.

Link naar reactie
Delen op andere sites

Ik heb gedaan zoals je gevraagd had, er stonden enkelen dingen niet meer tussen (heb ondertussen wel een virusscanner en een spywarescanner laten draaien mss daarmee) dit zijn ze:

O2 - BHO: browser optimizer superiorads - {8E015787-B1E3-404a-95DE-3E71E1FA0305} - C:\WINDOWS\system32\spads.dll (file missing)

O4 - HKCU..Run: [JavaCore] C:Program Files\JavaCore\JavaCore.exe

O4 - HKCU..Run: [NoDNS] C:Program Files\NoDNS\NoDNS.exe

O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu1423.exe

Van de bestandjes die ik moest verwijderen maar 1 gevonden, maar ik kon dit niet verwijderen de toegang werd gewijgerd, tging om mrofinu1423.exe

Erna ook een nieuwe versie van java geïnstalleerd, bij het opnieuw opstarten van de pc kreeg ik wel schijfcontrole, maar geen fout gevonden. logje bijgevoegd, voorlopig geen popups meer, aangezien ik msn eraf had gesmeten via configscherm software, denk ik dat dat er ook helemaal af is, ondanks de reactie op mijn 1ste post door elitejuser.

hijackthis.log

Link naar reactie
Delen op andere sites

Download Combofix.exe en zet het op je Bureaublad.

Open een kladblokbestand.

Kopieer en plak daarin de onderstaande vetgedrukte tekst.

File::

C:\WINDOWS\PSEXESVC.EXE

Folder::

C:\Program Files\Messenger

Sla dit bestand op je bureaublad op als CFScript.txt.

Sleep CFScript.txt in ComboFix.exe

Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt..

Start opnieuw Combofix op.

Dubbelklik op Combofix.exe en volg de instructies, aanvaard de disclaimer door y te typen. Tijdens het runnen van de fix, NIET in het venster klikken, want dit zal je pc doen vasthangen. Wanneer de fix voltooid is en na herstart, zal de log combofix.txt openen.

NOTA: Indien je virusscanner reageert met een melding van een scriptuitvoering, moet je dit toestaan

Hang in je volgend bericht een nieuw log van HJT en het log van Combofix.

P.S. :Ken jij dit programma : C:\WINDOWS\system32\ImageItEncrypt.exe ? En waar mag dat wel voor dienen ?

Link naar reactie
Delen op andere sites

Verwijder dit niet tenzij Kape het zegt maar:

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

Lijkt me tog een deel van Messenger te zijn...

Kheb deze map opgezocht en der stond nix meer in:s, kheb het dus maar gewoon verwijderd, de msn die er van windows uit zowieso op staat heb ik nu ook verwijders zoals je gezegd had in de post die lien op het forum heeft staan.

Link naar reactie
Delen op andere sites

Download Combofix.exe en zet het op je Bureaublad.

Open een kladblokbestand.

Kopieer en plak daarin de onderstaande vetgedrukte tekst.

File::

C:\WINDOWS\PSEXESVC.EXE

Folder::

C:\Program Files\Messenger

Sla dit bestand op je bureaublad op als CFScript.txt.

Sleep CFScript.txt in ComboFix.exe

Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt..

Start opnieuw Combofix op.

Dubbelklik op Combofix.exe en volg de instructies, aanvaard de disclaimer door y te typen. Tijdens het runnen van de fix, NIET in het venster klikken, want dit zal je pc doen vasthangen. Wanneer de fix voltooid is en na herstart, zal de log combofix.txt openen.

NOTA: Indien je virusscanner reageert met een melding van een scriptuitvoering, moet je dit toestaan

Hang in je volgend bericht een nieuw log van HJT en het log van Combofix.

P.S. :Ken jij dit programma : C:\WINDOWS\system32\ImageItEncrypt.exe ? En waar mag dat wel voor dienen ?

Ik ken het programma niet, zou bij god niet weten voor wat het dient, kben het gaan opzoeken maar kreeg het niet geopend. Daarna heb ik alles gedaan wat je zei, zie bijlage voor de logjes

log.txt

hijackthis.log

Link naar reactie
Delen op andere sites

Start Hijackthis op en kies voor 'Do a system scan only'. Selecteer alleen de items hieronder genoemd:

O4 - HKLM\..\Run: [imageItEncrypt] C:\WINDOWS\system32\ImageItEncrypt.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

Klik op 'Fix checked' om de items te verwijderen.

Open een kladblokbestand.

Kopieer en plak daarin de onderstaande vetgedrukte tekst.

File::

C:\Documents and Settings\Bram\erspzo.exe

C:\Documents and Settings\Bram\tsjghp.exe

C:\Documents and Settings\Bram\hdfsrs.exe

Folder::

C:\WINDOWS\LastGood.Tmp

Registry::

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]

C:\Program Files\MSN Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]

C:\Program Files\MSN Messenger\msnmsgr.exe

"C:\\DOCUME~1\\Bram\\LOCALS~1\\Temp\\services.exe"=

Sla dit bestand op je bureaublad op als CFScript.txt.

Sleep CFScript.txt in ComboFix.exe

Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt.

Post na herstart de inhoud van de Combofix.txt in je volgende antwoord samen met een nieuw logje van HijackThis.

Link naar reactie
Delen op andere sites

Gast
Dit topic is nu gesloten voor nieuwe reacties.
×
×
  • Nieuwe aanmaken...

Belangrijke informatie

We hebben cookies geplaatst op je toestel om deze website voor jou beter te kunnen maken. Je kunt de cookie instellingen aanpassen, anders gaan we er van uit dat het goed is om verder te gaan.