AVG vindt rootkit, kan niet worden verwijderd

[sananas]

Ik denk dat mijn bericht lijkt op dat van klaas56 (http://www.pc-helpforum.be/f163/rootkits-gedetecteerd-avg-2012-deze-zijn-51907/), maar ik weet niet zeker of ik dezelfde stappen kan doorlopen. Ik heb niet veel verstand van pc's en durf niet zomaar zelf te gaan rommelen. Ik hoop dat u mij wilt helpen.

AVG heeft de volgdende bestanden gevonden, en deze kunnen niet worden verwijderd:

"";"C:\WINDOWS\system32\drivers\splu.sys";"i8042prt.sys, koppelpunt import HAL.dll READ_PORT_UCHAR -> splu.sys +0x11E9C";"Object is niet toegankelijk."

"";"C:\WINDOWS\system32\drivers\splu.sys";"atapi.sys, koppelpunt import HAL.dll READ_PORT_UCHAR -> splu.sys +0x2042";"Object is niet toegankelijk."

"";"C:\WINDOWS\system32\drivers\splu.sys";"pci.sys, koppelpunt import ntoskrnl.exe IoDetachDevice -> splu.sys +0x32C4C";"Object is niet toegankelijk."

"";"C:\WINDOWS\system32\drivers\splu.sys";"atapi.sys, koppelpunt import HAL.dll READ_PORT_BUFFER_USHORT -> splu.sys +0x213E";"Object is verborgen"

"";"C:\WINDOWS\system32\drivers\splu.sys";"atapi.sys, koppelpunt import HAL.dll WRITE_PORT_BUFFER_USHORT -> splu.sys +0x2800";"Object is verborgen"

"";"C:\WINDOWS\system32\drivers\splu.sys";"atapi.sys, koppelpunt import HAL.dll WRITE_PORT_UCHAR -> splu.sys +0x26D6";"Object is verborgen"

"";"C:\WINDOWS\system32\drivers\splu.sys";"atapi.sys, koppelpunt import HAL.dll READ_PORT_USHORT -> splu.sys +0x20C0";"Object is verborgen"

"";"C:\WINDOWS\system32\drivers\splu.sys";"pci.sys, koppelpunt import ntoskrnl.exe IoAttachDeviceToDeviceStack -> splu.sys +0x32CA0";"Object is verborgen"

Ik heb met Avast een scan gemaakt, maar deze meldt de rootkit niet.

Mijn hijackthis log is:

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 16:47:05, on 15-10-2012

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe

C:\Program Files\AVAST Software\Avast\AvastSvc.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\Program Files\Microsoft IntelliPoint\ipoint.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Canon\MyPrinter\BJMyPrt.exe

C:\Program Files\AVG\AVG2012\avgtray.exe

C:\Program Files\Common Files\Java\Java Update\jusched.exe

C:\Program Files\Philips\Philips Songbird Resources\Autolauncher\PhilipsDeviceListener.exe

C:\Program Files\AVAST Software\Avast\avastUI.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\AVG\AVG2012\avgwdsvc.exe

C:\WINDOWS\system32\crypserv.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe

C:\Program Files\AVG\AVG2012\AVGIDSAgent.exe

C:\Program Files\AVG\AVG2012\avgnsx.exe

C:\Program Files\AVG\AVG2012\avgrsx.exe

C:\Program Files\AVG\AVG2012\avgcsrvx.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\notepad.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\msiexec.exe

C:\Program Files\HiJackThis\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

MSN.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

Bing

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:57414

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen

O1 - Hosts: 172.16.16.9 MAARS

O1 - Hosts: 172.16.16.9 MAARSTEST

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program

Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: AVG Do Not Track - {31332EEF-CB9F-458F-AFEB-D30E9A66B6BA} - C:\Program

Files\AVG\AVG2012\avgdtiex.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} -

C:\Program Files\AVG\AVG2012\avgssie.dll

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program

Files\Java\jre6\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST

Software\Avast\aswWebRepIE.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program

Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program

Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST

Software\Avast\aswWebRepIE.dll

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [intelliPoint] "c:\Program Files\Microsoft IntelliPoint\ipoint.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [TunePat] C:\Program Files\Converter\TunePat\TunePat.exe /silence

O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe /logon

O4 - HKLM\..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon

O4 - HKLM\..\Run: [AVG_TRAY] "C:\Program Files\AVG\AVG2012\avgtray.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [Philips Device Listener] "C:\Program Files\Philips\Philips Songbird

Resources\Autolauncher\PhilipsDeviceListener.exe"

O4 - HKLM\..\Run: [avast] "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Lokale service')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Netwerkservice')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Reader Snelle start.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: E&xporteren naar Microsoft Excel -

res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Gelijkwaardige pagina's - res://C:\Program

Files\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Koppelingspagina's - res://C:\Program

Files\Google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Open Picture in &Microsoft PhotoDraw -

res://C:\PROGRA~1\MICROS~2.2\Office\1033\phdintl.dll/phdContext.htm

O8 - Extra context menu item: Opgeslagen momentopname van de pagina - res://C:\Program

Files\Google\GoogleToolbar1.dll/cmcache.html

O9 - Extra button: AVG Do Not Track - {68BCFFE1-A2DA-4B40-9068-87ECBFC19D16} - C:\Program

Files\AVG\AVG2012\avgdtiex.dll

O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -

C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network

Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} -

C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program

Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program

Files\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -

http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) -

http://verkopen.marktplaats.nl/js/widgets/imageUploader/aurigma/5_7_24_0/ImageUploader5.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1115823841453

O16 - DPF: {888078C6-70B2-4F88-8EE7-1F50DDEA6120} (CeWe Color AG & Co. OHG Control) -

https://as.photoprintit.de/ips-opdata/activex/ImageUploader6.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -

http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program

Files\AVG\AVG2012\avgpp.dll

O22 - SharedTaskScheduler: Preloader van browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} -

C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Cache-daemon voor onderdeelcategorieën -

{8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated -

C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe

O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\AVAST Software\Avast\AvastSvc.exe

O23 - Service: AVGIDSAgent - AVG Technologies CZ, s.r.o. - C:\Program

Files\AVG\AVG2012\AVGIDSAgent.exe

O23 - Service: AVG WatchDog (avgwd) - AVG Technologies CZ, s.r.o. - C:\Program

Files\AVG\AVG2012\avgwdsvc.exe

O23 - Service: CrypKey License - CrypKey (Canada) Ltd. - C:\WINDOWS\system32\crypserv.exe

O23 - Service: DameWare Mini Remote Control (DWMRCS) - Unknown owner -

C:\WINDOWS\SYSTEM32\DWRCS.EXE (file missing)

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program

Files\Java\jre6\bin\jqs.exe

O23 - Service: Lavasoft Ad-Aware Service - Lavasoft Limited - C:\Program

Files\Lavasoft\Ad-Aware\AAWService.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program

Files\Analog Devices\SoundMAX\SMAgent.exe

--

End of file - 9201 bytes

Alvast bedankt voor de reactie!

15 oktober 2012 aangepast door sananas

[kape]

Het lijkt er sterk op dat AVG momenteel een probleem heeft met het detecteren van rootkits, terwijl andere scanners geen besmettingen vinden (ook hier Avast blijkbaar niet). Laat de volgende nog eens scannen:

Download de Emsisoft Emergency Kit naar het bureaublad en pak het ZIP bestand uit.

• Open de map "EmsisoftEmergencyKit" en dubbelklik op "Start.exe"
  
• Klik nu op "Emergency Kit Scanner" u krijg nu een melding dat het is aanbevolen om eerst te updaten sta dit toe door te klikken op "Ja"
  
  
• Als de update gereed is en de melding "Update process is succesvol afgerond" verschijnt klikt u op "menu" en dan op "Scan PC"
  
• Selecteer de optie "Diep" als deze niet standaard al zo is ingesteld.
  
• Klik Nu op de knop "Scan" en doe verder niets op de computer tijdens het scannen, deze scan kan een geruime tijd in beslag nemen dus wacht dit geduldig af.
  
• Het venster met de waarschuwing over een verhoogd risico kunt u sluiten als de scan gereed is.
  
• Zorg ervoor dat alle gevonden items zijn aangevinkt en druk dan op de knop "verwijder geselecteerde" u zal nu de volgende melding krijgen maar klik hier op "Ja"
  
  
• Als het verwijderen gereed is klikt u op de knop "View report" en selecteert u het tekstbestand van deze scan met de naam zoals: a2scan_110730-111615.txt
  
• Plaats de inhoud van dit LOG bestand straks in uw volgende bericht.
  
• Herstart nu de computer.
  

[sananas]

Ik heb de Emsisoft laten scannen en dit is het resultaat:

Emsisoft Emergency Kit - Versie 2.0

Laatste Update: 15-10-2012 19:47:41

Scaninstellingen:

Scantype: Diepe scan

Objecten: Rootkits, Geheugen, Sporen, C:\

Scan archieven: Aan

ADS Scan: Aan

Scan gestart: 15-10-2012 19:48:42

Key: hkey_local_machine\software\dameware development\dwrcs Ontdekt: Trace.Registry.damewareminiremotecontrol!E1

C:\Program Files\key finder\KeyFinderInstaller.exe Ontdekt: Adware.Win32.OpenCandy.AMN!E1

C:\Documents and Settings\Sanne\Local Settings\Temp\jar_cache1212189603217023304.tmp -> sys\DriverC.class Ontdekt: Exploit.Java.CVE-2012!E2

C:\Documents and Settings\Sanne\Local Settings\Temp\jar_cache9038969064051151628.tmp -> our.class Ontdekt: Exploit.Java.CVE!E2

C:\Documents and Settings\Sanne\Application Data\Sun\Java\Deployment\cache\6.0\49\59d48371-48e7df82 -> a\J.class Ontdekt: Exploit.Java.CVE-2012!E2

Gescand 587932

Gevonden 5

Scan geëindigd: 15-10-2012 23:51:42

Scantijd: 4:03:00

C:\Documents and Settings\Sanne\Local Settings\Temp\jar_cache9038969064051151628.tmp -> our.class Verwijderd Exploit.Java.CVE!E2

C:\Documents and Settings\Sanne\Local Settings\Temp\jar_cache1212189603217023304.tmp -> sys\DriverC.class Verwijderd Exploit.Java.CVE-2012!E2

C:\Documents and Settings\Sanne\Application Data\Sun\Java\Deployment\cache\6.0\49\59d48371-48e7df82 -> a\J.class Verwijderd Exploit.Java.CVE-2012!E2

C:\Program Files\key finder\KeyFinderInstaller.exe Verwijderd Adware.Win32.OpenCandy.AMN!E1

Key: hkey_local_machine\software\dameware development\dwrcs Verwijderd Trace.Registry.damewareminiremotecontrol!E1

Verwijderd 5

[kape]

Geen sprake van Rootkits ... dus lijkt AVG hier toch in de fout gegaan te zijn. Zou deze AV verwijderen met de speciale Removal Tool en Avast installeren als standaardscanner. Dan kan je opvolgen of er - in de nabije toekomst - nog meldingen van (mogelijke) rootkits komen. Al durf ik dat sterk betwijfelen.

[sananas]

Dat zal ik doen, al vind ik het wel een beetje een eng idee dat er toch iets mis zóu kunnen zijn.

Hartelijk bedankt voor de hulp in elk geval!

[kape]

Het is inderdaad erg vreemd ... maar er zijn momenteel héél wat gelijkaardige gevallen bij AVG, waarbij geen enkele andere scanner problemen ontdekt. Dan wijst de oorzaak van de foutmeldingen al gauw enkel naar AVG.