Zelfde probleem op XP, maar veilige modus geeft zelfde klacht..

[gausebeest]

Beste allemaal,

Kamp met hetzelfde probleem. Opgelopen op bob de bouwer website. Kleine jongen niet op de kinderen hun eigen (beperkte)account laten spelen door mijn lieve vrouw..

Windows XP SP3. CA internetsercurity (tegenwoordig defender... )

Maar in veilige modus hetzelfde probleem.

2 bootable USB sticks gemaakt, één met iets van windows zelf.. (bootable defener oid. werkt natuurlijk niet goed genoeg..) en AVG.

Laten scannen, wel iets gevonden, en verwijdert, maar probleem nog steeds aanwezig.

Wil ook nog geen Ghost image terugzetten op de XP partitie, want wie weet staat het op één van de andere partities.

(downloads etc, etc. op andere partities dan XP)

Ga nu met HBCD proberen, maar wie heeft er nog meer tips.. ??

lastig probleem hoor, zeker voor de wat mindere PC gebruikers.

Kan men hier nog aangifte tegen doen.. oplichting eerste klas! toch...

thnx,

Mart.

[kweezie wabbit]

Probeer het eens op deze manier.

Downloaden van de bestanden en aanmaken van de rescue disk of stick moet je doen met een niet besmette pc.

1. Download de onderstaande ISO en bijbehorende utility.

• Kaspersky Rescue Disk (ISO)
  
• rescue2usb.exe
  

2. Kaspersky Rescue USB stick maken

• Dubbelklik op rescue2usb.exe, dit is een Winrar self-extracting archive.
  
• Klik op "Install" en de Kaspersky Rescue Disk maker zal gestart worden.
  

Klik op "Browse" en selecteer de gedownloade Kaspersky Rescue Disk (ISO) en klik op "Openen"

• Kies bij "USB Medium:" de gebruikte USB stick, als deze niet standaard is geselecteerd.
  
• Klik nu op "Start" en de benodigde bestanden vanuit de ISO zullen naar de USB stick worden gekopieerd.
  
• Als het kopiëren gereed is zal u de volgende melding krijgen; 'Kaspersky USB Rescue Disk has been succesfully created'.
  
• Klik in dit scherm op "OK" en sluit de Kaspersky Rescue Disk maker.
  

Stop de cd in het cd/dvd station of sluit de usb stick aan op de besmette/geblokkeerde pc

• Start die PC opnieuw op vanaf de cd of stick.
  

Bij “Press any key to enter the menu” druk je op gelijk welke toets om het menu van de Kaspersky Rescue CD te openen.

· Kies in het volgende scherm de optie "Kaspersky Rescue Disk - Grafische modus" en druk op enter.

Windowsunlocker

Als de computer is opgestart van de Kaspersky Rescue CD klik dan op de start (KDE) knop in de taakbalk en klik op "Terminal"

• Geef in de terminal het commando windowsunlocker op gevolgd door enter.
  
• Via de terminal zullen nu de registerwaarden die door de ransomware infectie zijn aangemaakt hersteld worden.
  

In het rode kader hieronder kunt u zien dat de registerwaarden zijn hersteld.

• Herstart de computer.
  

[gausebeest]

Beste Kweezie wabbit,

Thanx voor de hulp.

Vandaag eerst eens in mijn windowsmap en documents en settings gestrunt via HBCD>miniXP en gefiltert op laatst aangepaste datum.

Tussen de meest recente zaken stond een *.Exe file met een heel rare naam... (c:\documents and settings\all users\application data\mmirnfjiwihlrrwnpwnk.exe) LET OP deze stond dus op meerdere plaatsen, ook in de C:\windows !

deze verwijdert, vervolgens het forum nagelezen en windowsunlocker gedraaid die de mooie bootdisk.

Inderdaad stond er een verwijzing naar het exe bestandje wat ik net 15 minuten daarvoor had verwijdert.

De virusscanner van kapersky nog even gedraaid, en hupsakee.. weer in orde. (btw, ook de site eens doorgelezen van kapersky.. nog nooit veel van gehoord, maar ziet er goed uit.. )

Mijn groote waardering wil ik uitspreken naar iedereen die er tijd in steekt om via deze sie anderen te helpen!! TOP!

Bij deze nog een kopie van de windowsunlocker, voor anderen met hetzelfde probleem:

Kaspersky Lab WindowsUnlocker, 2012

version 1.2.0 Apr 25 2012 17:09:57

Processing volume "/discs/C:"

Registry hive "/discs/C:/windows/system32/config/system" opened successfully

"AlternateShell" - OK

"AlternateShell" - OK

Registry hive "/discs/C:/windows/system32/config/software" opened successfully

OS Windows detected: Microsoft Windows XP Service Pack 3 ( 2600.xpsp_sp3_gdr.120411-1615 ) C:\WINDOWS

Processing "Winlogon"

"Shell" - suspicious modification: explorer_new.exe

Shell - was restored to Explorer.exe

"Userinit" - OK

Processing "Windows"

Processing "Run"

"mmirnfjiwihlrrw" : "c:\documents and settings\all users\application data\mmirnfjiwihlrrwnpwnk.exe" - suspicious value

mmirnfjiwihlrrw - deleted

Processing "Image File Execution Options"

Processing volume "/discs/E:"

Processing volume "/discs/File manager"

Processing volume "/discs/Kaspersky Rescue Disk"

Processing volume "/discs/D:"

Processing volume "/discs/Web browser"

Processing volume "/discs/Kaspersky Registry Editor"

Registry hive "/discs/C:/Documents and Settings/LocalService/NTUSER.DAT" opened successfully

Processing "Winlogon"

Processing "Windows"

Processing "Run"

Registry hive "/discs/C:/Documents and Settings/NetworkService/NTUSER.DAT" opened successfully

Processing "Winlogon"

Processing "Windows"

Processing "Run"

Registry hive "/discs/C:/Documents and Settings/Martin en Joyce/NTUSER.DAT" opened successfully

Processing "Winlogon"

Processing "Windows"

Processing "Run"

"mmirnfjiwihlrrw" : "c:\documents and settings\all users\application data\mmirnfjiwihlrrwnpwnk.exe" - suspicious value

mmirnfjiwihlrrw - deleted

Registry hive "/discs/C:/Documents and Settings/Sanne en Tygo/NTUSER.DAT" opened successfully

Processing "Winlogon"

Processing "Windows"

Processing "Run"

Registry hive "/discs/C:/Documents and Settings/Administrator.MARTIN-3CCF0A01/NTUSER.DAT" opened successfully

Processing "Winlogon"

Processing "Windows"

Processing "Run"

Nogmaals dank!!

[kweezie wabbit]

Ik heb je discussie heropend want je kan nu wel weer inloggen maar we zijn er nog niet .

We gaan nu een grondige controle doen van je systeem om te kijken of er niet ergens iets is achtergebleven waardoor je meer risico loopt op nieuwe besmettingen.

1. Download HijackThis. (klik er op)

Klik op HijackThis.msi en de download start automatisch na 5 seconden.

Bestand HijackThis.msi opslaan. Daarna kiezen voor "uitvoeren".

Hijackthis wordt nu op je PC geïnstalleerd, een snelkoppeling wordt op je bureaublad geplaatst.

Als je geen netwerkverbinding meer hebt, kan je de download doen met een andere pc en het bestand met een usb stick overbrengen

Als je enkel nog in veilige modus kan werken, moet je de executable (HijackThis.exe) downloaden.

Sla deze op in een nieuwe map op de C schijf (bvb C:\hijackthis) en start hijackthis dan vanaf deze map.

De logjes kan je dan ook in die map terugvinden.

---

2. Klik op de snelkoppeling om HijackThis te starten. (lees eerst de rode tekst hieronder!)

Klik ofwel op "Do a systemscan and save a logfile", ofwel eerst op "Scan" en dan op "Savelog".

Er opent een kladblokvenster, hou gelijktijdig de CTRL en A-toets ingedrukt, nu is alles geselecteerd. Hou gelijktijdig de CTRL en C-toets ingedrukt, nu is alles gekopieerd. Plak nu het HJT logje in je bericht door CTRL en V-toets.

Krijg je een melding ""For some reason your system denied writing to the Host file ....", klik dan gewoon door op de OK-toets.

Let op : Windows Vista & 7 gebruikers dienen HijackThis als “administrator” uit te voeren via rechtermuisknop “als administrator uitvoeren". Indien dit via de snelkoppeling niet lukt voer je HijackThis als administrator uit in de volgende map : C:\Program Files\Trend Micro\HiJackThis of C:\Program Files (x86)\Trend Micro\HiJackThis. (Bekijk hier de afbeelding ---> Klik hier)

---

3. Na het plaatsen van je logje wordt dit door een expert (Kape of Kweezie Wabbit) nagekeken en begeleidt hij jou verder door het ganse proces.

Tip!

Wil je in woord en beeld weten hoe je een logje met HijackThis maakt en plaatst op het forum, klik dan HIER.

[gausebeest]

Super, bij deze mijn scan resultaten..

Wel iets raars overgehouden. Firefox super traag, bij afsluiten Xp melding dat D3D9window niet kan worden afgesloten..

Schijnt iets met DirectX te maken te hebben... pfffff leuk een copmuter, maar te veel processen met te veel onduidelijke namen he.. zoek dat ook nog wel uit..

Verder heb ik al veel services uitgezet via msconfig. wordt altijd zo moet van al die onnodige updaters etc. vandaar dat mijn logfile niet zo lang is, denk ik.....

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 22:31:39, on 9-6-2012

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\CA\CA Internet Security Suite\CA Anti-Virus Plus\caamsvc.exe

C:\Program Files\CA\CA Internet Security Suite\CA Anti-Virus Plus\isafe.exe

C:\Program Files\CA\CA Internet Security Suite\ccschedulersvc.exe

C:\WINDOWS\system32\msiexec.exe

C:\WINDOWS\system32\tcpsvcs.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\mdmcls32.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\CTHELPER.EXE

C:\Program Files\CA\CA Internet Security Suite\casc.exe

C:\Program Files\Sunplus Camera\monitor.exe

C:\Program Files\Samsung\Kies\KiesTrayAgent.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe

C:\Program Files\Microsoft Office\Office14\MSOSYNC.EXE

C:\Program Files\Windows Desktop Search\WindowsSearch.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Mozilla Firefox\plugin-container.exe

C:\Program Files\Hijackthis\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Hotmail, Messenger, het laatste nieuws en entertainment | MSN.NL

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Hotmail, Messenger, het laatste nieuws en entertainment | MSN.NL

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Total Defense Anti-Phishing Toolbar Helper - {45011CF5-E4A9-4F13-9093-F30A784EB9B2} - C:\Program Files\CA\CA Internet Security Suite\CA Anti-Phishing\toolbar\caIEToolbar.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office14\GROOVEEX.DLL

O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll

O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\MICROS~2\Office14\URLREDIR.DLL

O3 - Toolbar: Total Defense Anti-Phishing Toolbar - {0123B506-0AD9-43AA-B0CF-916C122AD4C5} - C:\Program Files\CA\CA Internet Security Suite\CA Anti-Phishing\toolbar\caIEToolbar.dll

O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE

O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [cctray] "C:\Program Files\CA\CA Internet Security Suite\casc.exe"

O4 - HKLM\..\Run: [capfupgrade] C:\Program Files\CA\CA Internet Security Suite\CA Personal Firewall\capfupgrade.exe

O4 - HKLM\..\Run: [sunplus Camera_Monitor] C:\Program Files\Sunplus Camera\monitor.exe

O4 - HKLM\..\Run: [KiesTrayAgent] C:\Program Files\Samsung\Kies\KiesTrayAgent.exe

O4 - HKLM\..\Run: [brStsWnd] C:\Program Files\Brownie\BrstsWnd.exe Autorun

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [KiesPDLR] C:\Program Files\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe

O4 - HKCU\..\Run: [KiesHelper] C:\Program Files\Samsung\Kies\KiesHelper.exe /s

O4 - HKCU\..\Run: [OfficeSyncProcess] "C:\Program Files\Microsoft Office\Office14\MSOSYNC.EXE"

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')

O4 - Startup: desktopini_old

O4 - Global Startup: Windows Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe

O8 - Extra context menu item: &Verzenden naar OneNote - res://C:\PROGRA~1\MICROS~2\Office14\ONBttnIE.dll/105

O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office14\EXCEL.EXE/3000

O9 - Extra button: Verzenden naar OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Verzenden naar OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll

O9 - Extra button: &Gekoppelde notities van OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll

O9 - Extra 'Tools' menuitem: &Gekoppelde notities van OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll

O9 - Extra button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll

O9 - Extra 'Tools' menuitem: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL

O22 - SharedTaskScheduler: Preloader van browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Cache-daemon voor onderdeelcategorieën - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe

O23 - Service: CAAMSvc - CA - C:\Program Files\CA\CA Internet Security Suite\CA Anti-Virus Plus\caamsvc.exe

O23 - Service: CAISafe - Computer Associates International, Inc. - C:\Program Files\CA\CA Internet Security Suite\CA Anti-Virus Plus\isafe.exe

O23 - Service: CA Common Scheduler Service (ccSchedulerSVC) - Unknown owner - C:\Program Files\CA\CA Internet Security Suite\ccschedulersvc.exe

O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe

O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Program Files\Skype\Updater\Updater.exe

O23 - Service: WinSock Extention Manager (WinExtManager) - Unknown owner - C:\WINDOWS\system32\mdmcls32.exe

--

End of file - 7650 bytes

[kweezie wabbit]

Dit logje is alvast clean

Voor het controleren van overbodige opstarters, kan je beter SOLUTO gebruiken dan zelf in de msconfig te gaan wijzigen.

Download Soluto. (klik er op)

Klik op I Agree – Install. Wacht in het scherm wat daarop volgt. Na 30 seconden verdwijnt dit scherm en installeert Soluto verder. Tijdens dit proces kan je je pc normaal gebruiken.

Als je wilt zien hoever Soluto is met installeren druk je met de rechtermuisknop op het icoontje rechts onderin op de taakbalk en kies je voor ‘Open’.

Als de installatie voltooid is zal Soluto vragen om opnieuw op te starten. Sla alle programma’s die je open hebt staan op, en klik op Reboot PC Now.

Als de pc opnieuw opgestart is open je Soluto en klik je op ‘Chop Boot’. Daar kan je programma’s uitsluiten van het opstarten.

Voor een uitgebreide handleiding hierover klik je Hier. (klik er op)

DirectX hangt samen met de grafische kaart. Misschien eens de drivers updaten of opnieuw installeren.

Voor de traagheid van firefox mag je heet volgende doen.

Download ComboFix van één van deze locaties:

Link 1

Link 2

* BELANGRIJK !!! Sla ComboFix.exe op je Bureaublad op

• Schakel alle antivirus- en antispywareprogramma's uit, want anders kunnen ze misschien conflicteren met ComboFix. Hier is een handleiding over hoe je ze kan uitschakelen:
  Klik hier
  Als het je niet lukt om ze uit te schakelen, ga dan gewoon door naar de volgende stap.
  
• Dubbelklik op ComboFix.exe en volg de meldingen op het scherm.
  
• ComboFix zal controleren of dat de Microsoft Windows Recovery Console reeds is geïnstalleerd.
  **Let op: Als de Microsoft Windows Recovery Console al is geïnstalleerd, dan krijg je de volgende schermen niet te zien en zal ComboFix automatisch verder gaan met het scannen naar malware.
  
• Volg de meldingen op het scherm om ComboFix de Microsoft Windows Recovery Console te laten downloaden en installeren.
  

Je krijgt de volgende melding te zien wanneer ComboFix de Microsoft Windows Recovery Console succesvol heeft geïnstalleerd:

Klik op Ja om verder te gaan met het scannen naar malware.

Noot !!! Als er een error wordt getoond met de melding "Illegal operation attempted on a registery key that has been marked for deletion", herstart dan de computer.

Wanneer ComboFix klaar is, zal het het een logbestand voor je maken. Post de inhoud van dit logbestand (te vinden als C:\ComboFix.txt) in je volgende bericht.

Indien je problemen hebt bij het uitvoeren van ComboFix, gelieve dit te melden.

11 juni 2012 aangepast door kweezie wabbit