Trojaans paard verwijderen

[Javer]

Beste kape,

Het scannen met ESET is klaar. Het valt op dat slechts 1 besmetting is ontdekt. De besmettingen die AVG constateerde bemerkt ESET niet en de besmetting die ESET constateert was hiervoor niet opgemerkt door AVG.

Hiet volgt de log van ESET:

ESETSmartInstaller@High as CAB hook log:

OnlineScanner.ocx - registred OK

# version=7

# IEXPLORE.EXE=7.00.6000.17110 (vista_gdr.120419-1718)

# OnlineScanner.ocx=1.0.0.6583

# api_version=3.0.2

# EOSSerial=a5b837178c7ed847b7f11d2ed34bed95

# end=finished

# remove_checked=true

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=true

# antistealth_checked=true

# utc_time=2012-07-14 01:17:00

# local_time=2012-07-14 03:17:00 (+0100, West-Europa (zomertijd))

# country="Netherlands"

# lang=1033

# osver=5.1.2600 NT Service Pack 3

# compatibility_mode=512 16777215 100 0 71193 71193 0 0

# compatibility_mode=1024 16777175 100 0 14162842 14162842 0 0

# compatibility_mode=8192 67108863 100 0 216 216 0 0

# scanned=56516

# found=1

# cleaned=1

# scan_time=1941

C:\Documents and Settings\Jack Verhoeven\Application Data\Sun\Java\Deployment\cache\6.0\34\38ec7862-124f707b Java/Exploit.Blacole.AN trojan (deleted - quarantined) 00000000000000000000000000000000 C

[kape]

Heel vreemde situatie ...

Download Dr.Web CureIt en sla het op je bureaublad op.

• Dubbelklik drweb-cureit.exe en sta het toe om te express scan te starten.
  Indien er een popup verschijnt met het voorstel tot kopen/50% korting mag je deze sluiten.
  
• De express scan zal de bestanden scannen die momenteel in het geheugen geladen zijn. Wanneer er iets gevonden wordt klik op 'alles selecteren' kies nu voor 'repareren' en uit het kleine menutje dat verschijnt kies je 'verplaatsen'.
  
• Kies bovenaan in het menu voor Language/Taal en wijzig deze naar Dutch (Nederlands) indien deze bij jou anders staat ingesteld.
  
• Druk op F9, kies daarna voor het tabblad Acties en stel daar het volgende in onder Malware:
  
  • 
    
  • Adware: Verplaats
    
  • Dialers: Verplaats
    
  • Jokes: Rapportage
    
  • Riskware: Rapportage
    
  • Hacktools: Verplaats
    
  • Haal dan het vinkje weg bij 'Prompt bij actie'.
    

  [*]Kies daarna voor het tabblad Scan en verwijder het vinkje bij Heuristische analyse.

  Druk vervolgens op Toepassen gevolgd door OK.

  [*]Eenmaal als de korte scan is beëindigd vink je aan: Volledige scan.

  Druk daarna op het groene pijltje (start knop) om de scan te starten.

  [*]Gevonden bestanden worden naar '%USERPROFILE%\DocterWeb\Quarantine' -map verplaatst indien het herstellen niet mogelijk is.

  [*]Nadat de scan gedaan is ga dan naar Bestand en kies Rapportage lijst opslaan.

  Bewaar deze op je bureaublad en sluit daarna Dr.Web CureIt.

  [*]Herstart vervolgens de computer!! Dit is een belangrijke stap want het kan zijn dat Dr.Web CureIt bestanden zal verplaatsen/verwijderen tijdens herstart.

  [*]Na het herstarten, kopieer en plak de inhoud van die log die je eerder hebt bewaard in je volgende post.

[Javer]

Beste kape,

Het spijt me dat ik je zo vaak een vraag moet stellen maar het probleem blijft onopgelost.

Ik heb Dr.Web Curelt gedownload en opgestart. Na enige tijd verschijnt er een vol scherm met tekst en stop-melding (evenals bij het opstarten van Emsisoft Emergency Kit wat hiervoor ook niet lukte)

De tekst meldt dat windows is afgesloten om schade te voorkomen. Verder:

"Controleer of er voldoende schijfruimte beschikbaar is. Schakel het stuurprogramma uit wanneer dit in het stopbericht is opgegeven of raadpleeg de fabrikant voor een bijgewerkte versie. Vervang zo nodig de beeldschermadapter.

Raadpleeg de hardwareleverancier voor een eventuele Bios-update. Schakel Bios-geheugenopties zoals caching of shadowing uit. Als u de veilige modus wilt gebruiken om onderdelen te verwijderen of uit te schakelen en start de computer opnieuw op. Druk vervolgens F8 om geavanceerde startopties te kiezen en selecteer de veilige modus.

Microsoft geeft later een melding in een venster met nogal wat getallen die ik niet kan kopieren naar deze post.

Het is voor mij als beginner niet mogelijk om verdere stappen zelf te ondernemen. Hopelijk heb jij een idee.

[kape]

Download Blue Screen View.

Start het programma op.

Je zal nu een overzicht krijgen van de laatste foutmeldingen en Minidumps (.dmp-bestand).

Dubbelklik op het .dmp-bestand dat overeenstemt met het tijdstip waarop je het laatste blauwe scherm kreeg.

Je zal nu een overzicht krijgen.

Geef in je volgende bericht de waarde van volgende onderdelen:

• bug check string
  
• bug check code
  
• caused by driver
  
• de 4 parameters
  

Als je meerdere .dmp bestanden hebt, geef dan bovenstaande informatie voor de laatste 5. Zet er in dit geval ook de datum en tijd van de crash bij.

[Javer]

Beste kape,

Hier volgt de info:

Crash Time : 14-7-2012 20:49:57

Bug Check String : SYSTEM_THREAD_EXCEPTION_NOT_HANDLED

Bug Check Code : 0x1000007e

Parameter 1 : 0xc0000005

Parameter 2 : 0xb73820ba

Parameter 3 : 0xba507b0c

Parameter 4 : 0xba507808

Caused By Driver : 4OqWY0Ib.sys

Crash Time : 14-7-2012 20:45:15

Bug Check String : SYSTEM_THREAD_EXCEPTION_NOT_HANDLED

Bug Check Code : 0x1000007e

Parameter 1 : 0xc0000005

Parameter 2 : 0xb6f000ba

Parameter 3 : 0xba503b0c

Parameter 4 : 0xba503808

Caused By Driver : 786r863K.sys

Crash Time : 14-7-2012 20:31:45

Bug Check String : SYSTEM_THREAD_EXCEPTION_NOT_HANDLED

Bug Check Code : 0x1000007e

Parameter 1 : 0xc0000005

Parameter 2 : 0xb6ae2015

Parameter 3 : 0xba50fa74

Parameter 4 : 0xba50f770

Caused By Driver : dwprot.sys

Crash Time : 14-7-2012 12:42:11

Bug Check String : DRIVER_CORRUPTED_EXPOOL

Bug Check Code : 0x100000c5

Parameter 1 : 0x01000000

Parameter 2 : 0x00000002

Parameter 3 : 0x00000001

Parameter 4 : 0x8054b10d

Caused By Driver : ACPI.sys

Crash Time : 14-7-2012 12:32:41

Bug Check String : NTFS_FILE_SYSTEM

Bug Check Code : 0x00000024

Parameter 1 : 0x001902fe

Parameter 2 : 0xba527798

Parameter 3 : 0xba527494

Parameter 4 : 0x00000000

Caused By Driver : Ntfs.sys

[kape]

Kan je via zoeken eens de exacte en volledige locatie van volgende twee bestanden - 4OqWY0Ib.sys en 786r863K.sys - opgeven ?

[Javer]

4OqWY0Ib.sys

C:\Documents and Settings\Jack Verhoeven\Local Settings\temp

Systeembestand

14 juli 2012, 20:47:46

216 kB

786r863K.sys

C:\Documents and Settings\Jack Verhoeven\Local Settings\temp

Systeembestand

14 juli 2012, 20:36:53

216 kB

[kape]

Zitten in diezelfde temp-map nog meer bestanden met een random-benaming (type 4OqWY0Ib.sys en 786r863K.sys), dus een ongeordende combinatie van cijfers en letters ?

[Javer]

Beste kape,

In de temp-map zitten alleen de twee genoemde bestanden met een random benaming.

Verder zitten de twee volgende bestanden in de temp-map:

~DF6BDD.tmp

~DFEECA.tmp

De datum en tijd van deze bestanden is actueel, 16 juli ca. 09.00u

Verder zitten er in de temp-map nog 4 andere mappen. Twee daarvan zitten boordevol met random bestanden en twee mappen bevatten slechts één random bestand.

Geen enkel randombestand heeft het type .sys alleen de twee die ik hiervoor naar je gepost heb.

De datum en tijd van deze vier mappen is 14 juli ca. 20.30u

C:\Documents and Settings\Jack Verhoeven\Local Settings\temp\540A78DB-863C29B9-12C4A2DB-89DF9F15

C:\Documents and Settings\Jack Verhoeven\Local Settings\temp\697328BF-456ABC57-4933C4A4-4F0B27CD

C:\Documents and Settings\Jack Verhoeven\Local Settings\temp\4A262CD0-C31CCE3F-D9F6D5CB-5E40F1DC

C:\Documents and Settings\Jack Verhoeven\Local Settings\temp\B87294E6-89ED5192-F3C64084-92775B08

[kape]

OK, maak die temp-map dan volledig leeg en laat daarna AVG eens opnieuw scannen.