Ga naar inhoud

Virus???


Gast pegpeg

Aanbevolen berichten

Hoi Pegpeg,

Heb je dat probleem ook bij andere programma's, of enkel bij HijackThis?

Wil je nogmaals Dial-a-fix starten en volgende doen:

1. Klik op Policies, klik op Scan.

Worden er restricties gevonden, dan klik je op Remove.

2. Plaats een vinkje bij "Fix Windows Installer"

Alles onder Fix windows installer moet nu aangevinkt zijn, behalve Installer windows 3.1.

Klik op GO.

3. Bij registration Center plaats je een vinkje bij Explorer/IE/OE/shell/WMP

Volg de instructies op het scherm.

Sluit hierna de tool. Kun je nu HijackThis runnen?

Succes,

Xeno :)

Link naar reactie
Delen op andere sites

  • Reacties 34
  • Aangemaakt
  • Laatste reactie

Beste reacties in dit topic

hoi xeno!

heb het gedaan maar het lukt nog steeds niets. dit gebeurt niet bij alle programma's het is me al opgevallen dat hij steeds uitvalt wanneer ik een actie onderneem om de virus te verwijderen! maar krijg steeds een popup op IE dit

BRONTOK.A[10]

-- Hentikan kebobrokan di negeri ini --

1. Penjarakan Koruptor, Penyelundup, Tukang Suap, & Bandar NARKOBA

( Send to "NUSAKAMBANGAN")

2. Stop Free Sex, Aborsi, & Prostitusi

( Go To HELL )

3. Stop pencemaran lingkungan, pembakaran hutan & perburuan liar.

4. SAY NO TO DRUGS !!!

-- KIAMAT SUDAH DEKAT --

Terinspirasi oleh:

Elang Brontok (Spizaetus Cirrhatus) yang hampir punah

<H2>[ By: HVM31 ]

-- JowoBot #VM Community --</H2>

!!! Akan Kubuat Mereka (VM lokal yg cengeng & bodoh) Terkapar !!!

heeft dit niets met de virus te maken???

alvast bedankt

Link naar reactie
Delen op andere sites

Hoi Pegpeg,

Ach nu zien we al iets.

Download Malwarebytes' Anti-Malware via hier of hier.

Dubbelklik mbam-setup.exe om het programma te installeren.

  • Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware' en Start Malwarebytes' Anti-Malware' Klik daarna op Voltooien.
  • Kies in het hoofdscherm voor de tab Scanner en selecteer het keuzerondje Snelle Scan.
  • Druk op de knop Scan.
  • Het scannen kan een tijdje duren, dus wees geduldig.
  • Wanneer de scan voltooid is, klik OK, daarna Bekijk Resultaten om de resultaten te zien.
  • Zorg ervoor dat daar alles aangevinkt is daarna klik: Verwijder Selectie.
  • Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie extra nota onderaan)
  • De log wordt automatisch bewaard door MBAM die je kan zien door de 'Logs tab' te klikken in MBAM.
  • Kopieer en plak de resultaten van de log in je volgend antwoord, samen met een nieuw HijackThislog.

Extra Nota:

Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de Computer opnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart.

Succes,

Xeno :)

Link naar reactie
Delen op andere sites

hoi xeno!

heb het juist gedaan en er waren wat virussen.. na het log bestand heeft hij niet gevraagd om terug op te starten ..

hier is het log bestand

Malwarebytes' Anti-Malware 1.12

Database versie: 785

Scan type: Snelle Scan

Objecten gescand: 93353

Verstreken tijd: 59 minute(s), 15 second(s)

Geheugenprocessen geïnfecteerd: 3

Geheugenmodulen geïnfecteerd: 0

Registersleutels geïnfecteerd: 0

Registerwaarden geïnfecteerd: 1

Registerdata bestanden geïnfecteerd: 0

Mappen geïnfecteerd: 0

Bestanden geïnfecteerd: 5

Geheugenprocessen geïnfecteerd:

C:\Documents and Settings\user\Local Settings\Application Data\lsass.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully.

C:\Documents and Settings\user\Local Settings\Application Data\services.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully.

C:\Documents and Settings\user\Local Settings\Application Data\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully.

Geheugenmodulen geïnfecteerd:

(Geen kwaadaardige items gevonden)

Registersleutels geïnfecteerd:

(Geen kwaadaardige items gevonden)

Registerwaarden geïnfecteerd:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Tok-Cirrhatus (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

Registerdata bestanden geïnfecteerd:

(Geen kwaadaardige items gevonden)

Mappen geïnfecteerd:

(Geen kwaadaardige items gevonden)

Bestanden geïnfecteerd:

C:\Documents and Settings\user\Local Settings\Application Data\csrss.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

C:\Documents and Settings\user\Local Settings\Application Data\lsass.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

C:\Documents and Settings\user\Local Settings\Application Data\services.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

C:\Documents and Settings\user\Local Settings\Application Data\smss.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

C:\Documents and Settings\user\Local Settings\Application Data\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

bedankt!

Link naar reactie
Delen op andere sites

Hoi Pegpeg,

We zien terug iets meer, en is een beetje werk aan.

1. Download ATF cleaner (mirror)(gemaakt door Atribune)

Belangrijk: Sluit al je browservensters(IE en/of Firefox en/of Opera) om de tool goed te kunnen laten werken.

  • Dubbelklik op ATF cleaner om het programma te starten.
    Op het tabblad Main, plaats je een vinkje bij Select All.
    Klik op de knop Empty Selected.
    Het volgende doen als je ook FireFox als browser hebt:
    Klik op tabblad Firefox, plaats een vinkje bij Select All.
    Wil je de door Firefox opgeslagen wachtwoorden behouden, dan klik je in het venster dat verschijnt op No.
    (dit haalt het vinkje weer weg bij Firefox saved passwords)
    Klik op de knop Empty Selected.
    Het volgende doen als je ook Opera als browser hebt:
    Klik op tabblad Opera, plaats een vinkje bij Select All.
    Wil je de door Opera opgeslagen wachtwoorden behouden, dan klik je in het venster dat verschijnt op No.
    Klik op de knop Empty Selected.
    Ga naar het tabblad Main en klik op de knop Exit om het programma af te sluiten.

2. Start HijackThis en kies voor Do a system scan only en plaats alléén een vinkje voor de volgende regels:

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\eksplorasi.exe

O4 - HKLM\..\Run: [bron-Spizaetus] C:\WINDOWS\ShellNew\sempalong.exe

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Alle 01 lijnen

Sluit alle open vensters(behalve HijackThis), klik daarna op Fix checked en bevestig het door in het volgende scherm op Ja te klikken.

3. Download GV_Killer.exe en klik op uitvoeren, volg verder de aanwijzingen.

Op het einde laat je het vinkje staan bij Launch GV_Killer, en OK, dan krijg je een blanco input.txt kladblokveld.

Gebruik Kopiëren en Plakken om onderstaande blauwe lijnen in het venster input.txt te zetten.

c:\windows\eksplorasi.exe

C:\windows\prefetch\c:\windows\eksplorasi*.pf

c:\windows\shellnew\sempalong.exe

C:\windows\prefetch\c:\windows\shellnew\sempalong*.pf

Sluit het venster input.txt en druk op de toets Start Killing.

GV_Killer maakt zijn werk af en klik dan op Exit.

Mogelijk zal GV_Killer je PC herstarten, sta dit toe en onderbreek een eventuele actie niet.

Er opent na afloop een rapportje GV_Killer_xx.txt.

Post het bestand GV_Killer_xx.txt in je volgende antwoord.

De letters xx zijn een volgnummer, post dan ook het bestand met het hoogste nummer.

4. Download: RVAXO.exe

  • Sla het bestand op je bureaublad op, dubbelklik het en laat het uitpakken naar je bureaublad.
  • Open nu de map RVAXO op je bureaublad en dubbeklik RunMe.cmd
    Er zal een cmd-schermpje openen, daarin zullen snel enkele regels over niet gevonden bestanden voorbijkomen, dit is normaal.
  • Mogelijk start er ook een uninstaller van een rogue scanner op, sluit deze niet af maar volg eventuele aanwijzingen en laat deze gewoon zijn werk doen.
  • Daarna zal je PC herstarten, na de herstart opent het cmd-venster van RVAXO opnieuw.
    Laat deze lopen en wacht tot er een logfile opent: C:\RVAXO-results.log
  • Herstart je computer niet vanzelf, of start de tool niet na de reboot, doe dit dan handmatig.
  • Post de inhoud van de logfile in je volgende bericht tesamen met een nieuw logje van HijackThis.

5. Download Combofix naar je Bureaublad.

OPMERKING: indien je, tijdens of na het downloaden van Combofix of tijdens het gebruik van Combofix een melding krijgt van je Antivirus- of een andere realtime scanner, schakel dan deze scanner uit en download Combofix opnieuw. Sommige scanners zien bepaalde componenten die Combofix gebruikt als verdacht en gaan deze blokkeren of verwijderen!

  • Dubbelklik op Combofix.exe
    Volg de instructies, aanvaard de disclaimer door 1 (continue) te typen, gevolgd door ENTER.
    Tijdens het runnen van de fix, NIET in het venster klikken, want dit zal je pc doen vasthangen.

Wanneer de fix voltooid is en na herstart, zal de log combofix.txt openen.

Plaats deze log in je volgende post samen met een nieuw HijackThis log.

Succes,

Xeno :)

Link naar reactie
Delen op andere sites

hoi xeno!!

alles ging goed tot stap 4 nadat ik rvaxo bestand had en opnieuw HJT opende sloot mijn pc terug alles af. heb dan opnieuw opgestart dan eerst malwarebytes laten lopen en zo dan de nieuws HJT log bestand kunnen posten weet niet of dit een prob is..

alvast bedankt voor je hulp

Mvg

dit is mijn gv killer log bestand

Logfile GV_Killer_01.txt v7.0.7 - Copyright © GV_Soft Guido Vaesen

Rapport datum: 26/05/2008 16:33:09 log van user , Beheerder van deze computer

Platform: Windows XP Prof SP2 NLD Normale modus

BEGIN Geplande taken-----------------------------------------------------------------

C:\WINDOWS\tasks\AppleSoftwareUpdate.job

EINDE Geplande taken-----------------------------------------------------------------

Lijst Notify keys--------------------------------------------------------------------

HKLM\software\microsoft\windows nt\currentversion\winlogon\notify

WgaLogon WgaLogon.dll

Settings

Einde Notify keys--------------------------------------------------------------------

Verklaring Errorcodes----------------------------------------------------------------

code 00 : Bestand is verwijderd.

code 53 : Bestand of map werd niet gevonden op uw PC.

code 70 : Bestand was in gebruik.

code 75 : Services zijn nog geladen of bestand in gebruik.

code M0 : Map is verwijderd.

code ML : Map is volledig leeg gemaakt.

code MN : Map werd niet gevonden op uw PC, is niet leeg gemaakt.

code MV : Map werd niet gevonden op uw PC, is niet verwijderd.

code K0 : Register key is verwijderd.

Einde Errorcodes--------------------------------------------------------------------

BEGIN Inhoud van Input.txt-----------------------------------------------------------

c:\windows\eksplorasi.exe

C:\windows\prefetch\c:\windows\eksplorasi*.pf

c:\windows\shellnew\sempalong.exe

C:\windows\prefetch\c:\windows\shellnew\sempalong*.pf

EINDE Inhoud van Input.txt-----------------------------------------------------------

00 c:\windows\eksplorasi.exe

0 c:\windows\eksplorasi*.pf

00 c:\windows\shellnew\sempalong.exe

0 c:\windows\shellnew\sempalong*.pf

;0955679-640-0607177-23676=E1RWL2PE33

;EINDE GV_Killer ---------------------------------------------------------------------

logfile van rvaxo

--RVAXO.exe Updated: 2008-05-26---first run---

Uninstallers:

Files found:

C:\WINDOWS\wininit.ini

Folders Found:

Hosts-file was reset, If you use a custom hosts file please replace it...

--------------RVAXO.exe last run---------------

Not deleted items:

--------------RVAXO.exe finished----------------

malware bestand

Malwarebytes' Anti-Malware 1.12

Database versie: 785

Scan type: Snelle Scan

Objecten gescand: 86067

Verstreken tijd: 41 minute(s), 10 second(s)

Geheugenprocessen geïnfecteerd: 5

Geheugenmodulen geïnfecteerd: 0

Registersleutels geïnfecteerd: 0

Registerwaarden geïnfecteerd: 1

Registerdata bestanden geïnfecteerd: 0

Mappen geïnfecteerd: 0

Bestanden geïnfecteerd: 5

Geheugenprocessen geïnfecteerd:

C:\Documents and Settings\user\Local Settings\Application Data\lsass.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully.

C:\Documents and Settings\user\Local Settings\Application Data\lsass.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully.

C:\Documents and Settings\user\Local Settings\Application Data\services.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully.

C:\Documents and Settings\user\Local Settings\Application Data\services.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully.

C:\Documents and Settings\user\Local Settings\Application Data\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully.

Geheugenmodulen geïnfecteerd:

(Geen kwaadaardige items gevonden)

Registersleutels geïnfecteerd:

(Geen kwaadaardige items gevonden)

Registerwaarden geïnfecteerd:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Tok-Cirrhatus (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

Registerdata bestanden geïnfecteerd:

(Geen kwaadaardige items gevonden)

Mappen geïnfecteerd:

(Geen kwaadaardige items gevonden)

Bestanden geïnfecteerd:

C:\Documents and Settings\user\Local Settings\Application Data\csrss.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

C:\Documents and Settings\user\Local Settings\Application Data\lsass.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

C:\Documents and Settings\user\Local Settings\Application Data\services.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

C:\Documents and Settings\user\Local Settings\Application Data\smss.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

C:\Documents and Settings\user\Local Settings\Application Data\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

Link naar reactie
Delen op andere sites

[ATTACH]796[/ATTACH]

en dit is de HJT log

combo fix

ComboFix 08-05-25.5 - user 2008-05-26 17:39:40.1 - NTFSx86

Gestart vanuit: C:\Documents and Settings\user\Bureaublad\ComboFix.exe

* Nieuw herstelpunt werd aangemaakt

WAARSCHUWING - DE RECOVERY CONSOLE IS NIET OP DIT SYSTEEM GEINSTALLEERD !!

.

(((((((((((((((((((((((((((((((((( Andere Verwijderingen )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\Documents and Settings\NL\Local Settings\Temporary Internet Files\search.html

C:\Documents and Settings\NL\new.txt

C:\Documents and Settings\user\Local Settings\Application Data\inetinfo.exe

C:\Documents and Settings\user\Local Settings\Application Data\lsass.exe

C:\Documents and Settings\user\Local Settings\Application Data\services.exe

C:\Documents and Settings\user\Local Settings\Application Data\winlogon.exe

C:\smp.bat

.

(((((((((((((((((((( Bestanden Gemaakt van 2008-04-26 to 2008-05-26 ))))))))))))))))))))))))))))))

.

2008-05-26 17:48 . 2008-05-26 17:48 268 --ah----- C:\sqmdata01.sqm

2008-05-26 17:48 . 2008-05-26 17:48 244 --ah----- C:\sqmnoopt01.sqm

2008-05-26 16:41 . 2008-05-26 16:41 268 --ah----- C:\sqmdata00.sqm

2008-05-26 16:41 . 2008-05-26 16:41 244 --ah----- C:\sqmnoopt00.sqm

2008-05-26 16:38 . 2008-05-26 16:42 <DIR> d-------- C:\RVAXO

2008-05-26 16:36 . 2008-05-26 14:14 827,419 --a------ C:\WINDOWS\system32\RVAXO.bat

2008-05-26 16:36 . 2001-10-01 14:51 69,632 --a------ C:\WINDOWS\system32\remove.exe

2008-05-26 16:31 . 2008-05-26 16:31 <DIR> d-------- C:\Program Files\GV_Killer

2008-05-26 16:31 . 2004-03-08 23:00 152,848 --a------ C:\WINDOWS\system32\COMDLG32.OCX

2008-05-26 16:31 . 2001-09-07 11:00 59,904 --a------ C:\WINDOWS\system32\wbemdisp.tlb

2008-05-23 18:09 . 2008-05-23 18:12 <DIR> d-------- C:\WINDOWS\system32\CatRoot2

2008-05-19 16:37 . 2008-05-19 16:37 <DIR> d-------- C:\Program Files\Trend Micro

2008-05-17 18:33 . 2008-04-22 16:10 <DIR> d--h----- C:\Documents and Settings\Administrator\Sjablonen

2008-05-17 18:33 . 2008-04-22 17:56 <DIR> d--h----- C:\Documents and Settings\Administrator\Onlangs geopend

2008-05-17 18:33 . 2008-04-22 17:56 <DIR> d--h----- C:\Documents and Settings\Administrator\Netwerkprinteromgeving

2008-05-17 18:33 . 2008-04-22 17:56 <DIR> d-------- C:\Documents and Settings\Administrator\Mijn documenten

2008-05-17 18:33 . 2008-04-22 17:56 <DIR> dr------- C:\Documents and Settings\Administrator\Menu Start

2008-05-17 18:33 . 2008-04-22 17:56 <DIR> d-------- C:\Documents and Settings\Administrator\Favorieten

2008-05-17 18:33 . 2008-04-22 17:56 <DIR> d-------- C:\Documents and Settings\Administrator\Bureaublad

2008-05-17 18:33 . 2008-05-17 18:33 <DIR> d-------- C:\Documents and Settings\Administrator

2008-05-17 18:28 . 2008-05-17 18:31 <DIR> d-------- C:\WINDOWS\BDOSCAN8

2008-05-17 18:20 . 2008-04-22 16:10 <DIR> d--h----- C:\Documents and Settings\Farid\Sjablonen

2008-05-17 18:20 . 2008-04-22 17:56 <DIR> d--h----- C:\Documents and Settings\Farid\Onlangs geopend

2008-05-17 18:20 . 2008-04-22 17:56 <DIR> d--h----- C:\Documents and Settings\Farid\Netwerkprinteromgeving

2008-05-17 18:20 . 2008-04-22 17:56 <DIR> d-------- C:\Documents and Settings\Farid\Mijn documenten

2008-05-17 18:20 . 2008-04-22 17:56 <DIR> dr------- C:\Documents and Settings\Farid\Menu Start

2008-05-17 18:20 . 2008-04-22 17:56 <DIR> d-------- C:\Documents and Settings\Farid\Favorieten

2008-05-17 18:20 . 2008-04-22 17:56 <DIR> d-------- C:\Documents and Settings\Farid\Bureaublad

2008-05-17 18:20 . 2008-05-17 18:20 <DIR> d-------- C:\Documents and Settings\Farid

2008-05-14 20:27 . 2008-05-14 20:27 <DIR> d-------- C:\Documents and Settings\user\Bluetooth Software

2008-05-08 14:15 . 2008-05-17 23:30 <DIR> d-------- C:\Program Files\Malwarebytes' Anti-Malware

2008-05-08 14:15 . 2008-05-08 14:15 <DIR> d-------- C:\Documents and Settings\user\Application Data\Malwarebytes

2008-05-08 14:15 . 2008-05-08 14:15 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes

2008-05-08 14:15 . 2008-05-05 20:46 27,048 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys

2008-05-08 14:15 . 2008-05-05 20:46 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys

2008-05-07 20:37 . 2008-05-07 20:37 <DIR> d-------- C:\Program Files\Microsoft CAPICOM 2.1.0.2

2008-05-06 19:01 . 2008-05-06 19:05 <DIR> d-------- C:\Program Files\Symantec

2008-05-06 19:01 . 2008-05-06 19:01 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Symantec

2008-05-01 16:33 . 2008-05-23 17:10 54,156 --ah----- C:\WINDOWS\QTFont.qfn

2008-05-01 16:33 . 2008-05-01 16:33 1,409 --a------ C:\WINDOWS\QTFont.for

2008-04-30 18:43 . 2008-04-30 18:43 <DIR> d-------- C:\Program Files\C-Media 3D Audio

2008-04-30 18:43 . 2005-12-15 13:46 2,834,432 --a------ C:\WINDOWS\system\cmicnfg.cpl

2008-04-30 18:43 . 2004-02-17 10:51 1,458,176 --a------ C:\WINDOWS\system\SmWizard.exe

2008-04-30 18:43 . 2008-04-30 18:40 1,454,080 --a------ C:\WINDOWS\system\SET6F.tmp

2008-04-30 18:43 . 2005-12-15 13:57 1,368,000 --a------ C:\WINDOWS\system32\drivers\cmuda.sys

2008-04-30 18:43 . 2002-04-29 15:04 917,504 --a------ C:\WINDOWS\system\cmids3d.dll

2008-04-30 18:43 . 2004-04-23 15:02 233,472 --a------ C:\WINDOWS\system32\cmirmdrv.exe

2008-04-30 18:43 . 2005-12-15 18:48 172,032 --a------ C:\WINDOWS\system32\cmuda.dll

2008-04-30 18:43 . 2003-04-24 13:29 32,768 --a------ C:\WINDOWS\system32\udaprop.dll

2008-04-30 18:43 . 2003-02-18 18:26 28,672 --a------ C:\WINDOWS\system32\cmirmdrv.dll

2008-04-30 18:04 . 2003-11-04 15:10 69,632 --a------ C:\WINDOWS\system32\lfgif13n.dll

2008-04-30 18:03 . 2004-05-14 16:53 462,848 --a------ C:\WINDOWS\system32\ltkrn13n.dll

2008-04-30 18:03 . 2004-05-14 16:53 450,560 --a------ C:\WINDOWS\system32\ltimg13n.dll

2008-04-30 18:03 . 2004-05-14 16:53 401,408 --a------ C:\WINDOWS\system32\lfcmp13n.dll

2008-04-30 18:03 . 2004-05-14 16:53 299,008 --a------ C:\WINDOWS\system32\ltdis13n.dll

2008-04-30 18:03 . 2004-01-12 02:09 206,336 --a------ C:\WINDOWS\system32\ltefx13n.dll

2008-04-30 18:03 . 2004-05-14 16:53 163,840 --a------ C:\WINDOWS\system32\ltfil13n.dll

2008-04-30 18:03 . 2004-05-14 16:53 57,344 --a------ C:\WINDOWS\system32\lfbmp13n.dll

2008-04-30 11:31 . 1998-10-09 14:36 327,168 --a------ C:\WINDOWS\IsUn0413.exe

2008-04-30 11:31 . 2003-08-05 14:23 266,240 --a------ C:\WINDOWS\CMIUninstall.exe

2008-04-30 11:31 . 2003-07-22 11:15 225,280 --a------ C:\WINDOWS\CmiRmRedundDir.exe

2008-04-30 11:31 . 2002-10-18 15:56 28,672 --a------ C:\WINDOWS\CMIRmDriver.dll

2008-04-30 11:31 . 2008-05-04 21:48 206 --a------ C:\WINDOWS\system\CmiCnfg.ini

2008-04-30 11:31 . 2008-04-30 18:43 92 --a------ C:\WINDOWS\CMISETUP.INI

2008-04-30 11:31 . 2008-04-30 18:43 26 --a------ C:\WINDOWS\CMCDPLAY.INI

2008-04-29 15:48 . 2004-02-24 11:08 400,384 --------- C:\WINDOWS\system32\drivers\alcxsens.sys

2008-04-29 15:48 . 2004-04-28 17:19 66,048 --------- C:\WINDOWS\soundb9f.rra

2008-04-29 15:10 . 2008-04-29 15:10 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Apple Computer

2008-04-29 15:10 . 2008-04-29 15:10 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Apple

2008-04-28 18:35 . 2004-08-03 22:58 7,552 --a------ C:\WINDOWS\system32\drivers\MSKSSRV.sys

2008-04-28 18:35 . 2004-08-03 22:58 7,552 --a--c--- C:\WINDOWS\system32\dllcache\mskssrv.sys

2008-04-28 18:35 . 2004-08-03 22:58 5,376 --a------ C:\WINDOWS\system32\drivers\MSPCLOCK.sys

2008-04-28 18:35 . 2004-08-03 22:58 5,376 --a--c--- C:\WINDOWS\system32\dllcache\mspclock.sys

2008-04-28 18:35 . 2004-08-03 22:58 4,992 --a------ C:\WINDOWS\system32\drivers\MSPQM.sys

2008-04-28 18:35 . 2004-08-03 22:58 4,992 --a--c--- C:\WINDOWS\system32\dllcache\mspqm.sys

2008-04-28 18:34 . 2008-04-28 18:34 <DIR> d-------- C:\Program Files\Realtek AC97

2008-04-27 10:15 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll

2008-04-27 10:15 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui

2008-04-26 19:08 . 2008-05-26 17:36 <DIR> dr-h----- C:\Documents and Settings\user\Onlangs geopend

2008-04-26 19:08 . 2008-05-17 13:58 118 --a------ C:\WINDOWS\system32\MRT.INI

2008-04-26 18:49 . 2008-04-26 18:49 379 --a------ C:\WINDOWS\ODBC.INI

2008-04-26 18:48 . 2003-06-18 17:31 17,920 --a------ C:\WINDOWS\system32\mdimon.dll

2008-04-26 18:45 . 2008-04-26 18:45 <DIR> d-------- C:\Program Files\Microsoft ActiveSync

2008-04-26 18:43 . 2008-04-26 18:43 <DIR> d-------- C:\Program Files\Microsoft.NET

2008-04-26 18:38 . 2008-04-26 18:38 <DIR> dr-h----- C:\MSOCache

2008-04-26 18:29 . 2004-08-03 23:08 26,496 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys

2008-04-26 14:48 . 2008-05-18 22:31 <DIR> d-------- C:\Documents and Settings\user\Contacts

2008-04-26 14:43 . 2008-04-26 14:46 <DIR> d-------- C:\Program Files\Windows Live

2008-04-26 14:43 . 2008-04-26 14:46 <DIR> d--hsc--- C:\Program Files\Common Files\WindowsLiveInstaller

2008-04-26 14:42 . 2008-04-26 14:42 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller

.

((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-05-06 17:01 --------- d-----w C:\Program Files\Common Files\Symantec Shared

2008-04-29 13:11 --------- d-----w C:\Program Files\QuickTime

2008-04-28 16:38 --------- d-----w C:\Program Files\Google

2008-04-25 18:11 23,600 ----a-w C:\WINDOWS\system32\drivers\TVICHW32.SYS

2008-04-22 15:55 --------- d-----w C:\Program Files\Common Files\Adobe

2008-04-22 14:58 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-04-22 14:58 --------- d-----w C:\Program Files\Realtek Sound Manager

2008-04-22 14:58 --------- d-----w C:\Program Files\AvRack

2008-04-22 14:39 --------- d-----w C:\Program Files\MSBuild

2008-04-22 14:33 --------- d-----w C:\Program Files\Reference Assemblies

2008-04-22 14:33 --------- d-----w C:\Program Files\MSXML 6.0

2008-04-22 14:10 --------- d-----w C:\Program Files\Windows Media Connect 2

2008-04-02 16:30 --------- d-----w C:\Program Files\Common Files\Download Manager

2008-04-02 06:37 164 ----a-w C:\install.dat

2008-04-01 20:20 --------- d-----w C:\Program Files\ESET

2008-03-24 19:51 42,713 ---h--w C:\WINDOWS\eksplorasi.exe

2006-08-25 18:58 788,992 ----a-w C:\Program Files\1043.MST

2006-08-25 18:58 5,118 ----a-w C:\Program Files\0x0413.ini

2006-08-25 18:58 33,976,320 ----a-w C:\Program Files\iPod for Windows 2006-03-23.msi

.

((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:03 15360]

"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34 5724184]

"Tok-Cirrhatus"="C:\Documents and Settings\user\Local Settings\Application Data\smss.exe" [2008-03-24 21:51 42713]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]

"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-03-28 23:37 413696]

"SoundMan"="SOUNDMAN.EXE" [2005-05-17 12:48 77824 C:\WINDOWS\SOUNDMAN.EXE]

"Cmaudio"="cmicnfg.cpl" []

"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 01:03 110592 C:\WINDOWS\system32\bthprops.cpl]

"Bron-Spizaetus"="C:\WINDOWS\ShellNew\sempalong.exe" [2008-03-24 21:51 42713]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 01:03 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"ShowDeskFix"="regsvr32 /s /n /i:u shell32" []

C:\Documents and Settings\NL\Start Menu\Programs\Startup\

Empty.pif [2008-03-24 21:51:15 42713]

C:\Documents and Settings\user\Menu Start\Programma's\Opstarten\

Empty.pif [2008-03-24 21:51:15 42713]

C:\Documents and Settings\All Users\Menu Start\Programma's\Opstarten\

BTTray.lnk - C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe [2004-10-01 15:12:18 565309]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]

"DisableRegistryTools"= 1 (0x1)

"DisableCMD"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoFolderOptions"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]

"Shell"="Explorer.exe \"C:\\WINDOWS\\eksplorasi.exe\""

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"C:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"C:\\WINDOWS\\system32\\dpvsetup.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

.

Inhoud van de 'Gedeelde Taken' map

"2008-05-03 20:35:05 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"

- C:\Program Files\Apple Software Update\SoftwareUpdate.exe

.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-05-26 17:50:23

Windows 5.1.2600 Service Pack 2 NTFS

scannen van verborgen processen ...

scannen van verborgen autostart items ...

scannen van verborgen bestanden ...

Scan succesvol afgerond

verborgen bestanden: 0

**************************************************************************

.

--------------------- DLLs Geladen Onder Lopende Processen ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe

-> C:\Documents and Settings\user\Local Settings\Application Data\winlogon.exe

.

------------------------ Other Running Processes ------------------------

.

C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\rundll32.exe

C:\Qoobox\Quarantine\C\Documents and Settings\user\Local Settings\Application Data\winlogon.exe.virww_ac3f9c03.Manifest

.

**************************************************************************

.

Voltooingstijd: 2008-05-26 17:56:22 - machine was rebooted

ComboFix-quarantined-files.txt 2008-05-26 15:56:19

Pre-Run: 16,389,287,936 bytes beschikbaar

Post-Run: 16,557,977,600 bytes beschikbaar

203 --- E O F --- 2008-05-17 11:58:51

bedankt

hjt1.txt

Link naar reactie
Delen op andere sites

Hoi Pegpeg,

Dit is een nieuwe besmetting, en moeten nu even roeien met de riemen die we hebben.

1. Open Kladblok, kopiëer en plak het volgende (vetgedrukte, blauwe tekst) in een leeg venster:


  • File::
    C:\\WINDOWS\\eksplorasi.exe
    C:\WINDOWS\ShellNew\sempalong.exe
    Registry::
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Tok-Cirrhatus"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Bron-Spizaetus"=-
    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    "ShowDeskFix"=-
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
    "Shell"=-

Sla dit op op je Bureaublad als CFScript.txt

Sleep CFScript.txt in ComboFix.exe zoals getoond in onderstaand voorbeeld :

CFScript.gif

Dit zal ComboFix doen herstarten.

Start opnieuw op als daarom gevraagd wordt,

en post de inhoud van de Combofix.txt in je volgende antwoord samen met een nieuw HijackThislogje.

Succes,

Xeno :)

Link naar reactie
Delen op andere sites

hoi xeno!!

heb gedaan wat je gevraagd hebt maar het lukt niet goed, heb opgemerkt dat ik altijd eerst antimalware moet doen alvorens ik 1 van je stappen kan doen zoals bv bij combofix of HJT! en heb altijd 9infecties altijd dezelfde :s nu heb ik eerst malware laten lopen en da zo het log bestandje gesleept in de venster . maar eens hij terug opstart en ik dan een HJT log wil doen valt alles terug uit!!! en hij kan neit alle betanden wissen pfff

bedankt alvast

Mvg

hier het malware bestand

Malwarebytes' Anti-Malware 1.12

Database versie: 789

Scan type: Snelle Scan

Objecten gescand: 39762

Verstreken tijd: 9 minute(s), 5 second(s)

Geheugenprocessen geïnfecteerd: 3

Geheugenmodulen geïnfecteerd: 0

Registersleutels geïnfecteerd: 0

Registerwaarden geïnfecteerd: 1

Registerdata bestanden geïnfecteerd: 0

Mappen geïnfecteerd: 0

Bestanden geïnfecteerd: 5

Geheugenprocessen geïnfecteerd:

C:\Documents and Settings\user\Local Settings\Application Data\lsass.exe (Heuristics.Reserved.Word.Exploit) -> Failed to unload process.

C:\Documents and Settings\user\Local Settings\Application Data\services.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully.

C:\Documents and Settings\user\Local Settings\Application Data\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully.

Geheugenmodulen geïnfecteerd:

(Geen kwaadaardige items gevonden)

Registersleutels geïnfecteerd:

(Geen kwaadaardige items gevonden)

Registerwaarden geïnfecteerd:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Tok-Cirrhatus (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

Registerdata bestanden geïnfecteerd:

(Geen kwaadaardige items gevonden)

Mappen geïnfecteerd:

(Geen kwaadaardige items gevonden)

Bestanden geïnfecteerd:

C:\Documents and Settings\user\Local Settings\Application Data\csrss.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

C:\Documents and Settings\user\Local Settings\Application Data\lsass.exe (Heuristics.Reserved.Word.Exploit) -> Delete on reboot.

C:\Documents and Settings\user\Local Settings\Application Data\services.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

C:\Documents and Settings\user\Local Settings\Application Data\smss.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

C:\Documents and Settings\user\Local Settings\Application Data\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

Link naar reactie
Delen op andere sites

Gast
Dit topic is nu gesloten voor nieuwe reacties.

×
×
  • Nieuwe aanmaken...

Belangrijke informatie

We hebben cookies geplaatst op je toestel om deze website voor jou beter te kunnen maken. Je kunt de cookie instellingen aanpassen, anders gaan we er van uit dat het goed is om verder te gaan.