[OPGELOST] Ernstige besmetting die ikzelf er niet uit krijg

[Sarah]

Ik heb een laptop binnengekregen met volgend probleem:

1. Nadat pc is opgestart verschijnt de alom beruchte Spyware Guard.

2. Hierna krijgen we onmiddelijk na een stopfout 0x0000008E (variabele varieren nogal wat, enkel de eerste is 0x00000050 dacht ik)

3. Pc niet op in Laatste bekende configuratie, systeemherstelpunten zijn ook niet aangemaakt.

4. In veilige modus heb ik onderstaande manuele instructies gevolgd om Spyware Guard te verwijderen: How to remove Spyware Guard 2008 (Uninstall Instructions)

Associated Spyware Guard 2008 Files:

%UserProfile%\Desktop\Spyware Guard 2008.lnk

%UserProfile%\Start Menu\Programs\Spyware Guard 2008

%UserProfile%\Start Menu\Programs\Spyware Guard 2008\Spyware Guard 2008.lnk

%UserProfile%\Start Menu\Programs\Spyware Guard 2008\Uninstall.lnk

c:\Program Files\Spyware Guard 2008

c:\Program Files\Spyware Guard 2008\conf.cfg

c:\Program Files\Spyware Guard 2008\mbase.vdb

c:\Program Files\Spyware Guard 2008\quarantine.vdb

c:\Program Files\Spyware Guard 2008\queue.vdb

c:\Program Files\Spyware Guard 2008\spywareguard.exe

c:\Program Files\Spyware Guard 2008\uninstall.exe

c:\Program Files\Spyware Guard 2008\vbase.vdb

c:\Program Files\Spyware Guard 2008\quarantine

c:\WINDOWS\reged.exe

c:\WINDOWS\spoolsystem.exe

c:\WINDOWS\sys.com

c:\WINDOWS\syscert.exe

c:\WINDOWS\sysexplorer.exe

c:\WINDOWS\vmreg.dll

%UserProfile%\Application Data\Microsoft\Internet Explorer\olesys.dll

Associated Spyware Guard 2008 Windows Registry Information:

HKEY_CURRENT_USER\Software\Spyware Guard

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Spyware Guard 2008

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "spywareguard"

Enkel het in rood gemarkeerde bestand was niet aanwezig. De rest heb ik allemaal verwijderd.

5. Nu begint het

Bij een herstart verschijnt spyware guard opnieuw en alle bestanden zijn terug te vinden op bovenstaande locaties, ook terug BSOD

6. Opnieuw in veilige modus alles verwijderd zoals hierboven. Daarna geprobeerd om MBAM, HJT, ComboFix, Ad aware, Spybot SD te installeren maar geen van deze lukt het me te installeren (installatie start gewoon niet...)

7. In Veilige modus met Netwerkmogelijkheden, probeerd om een online spywarescan uit te voeren vb avast, symantec, ... maar iets van spyware blokeerd al deze pagina's. Surfen op een gewone pagina lukt enkel wanneer gesurft word naar een downloadpagina of pagina met online scanner vind hij deze nooit het wordt leuk dus

Ook bij sommige pogingen zon elvendertig popups die verschijnen met aanstekelijke dames, casinos en andere...

8. Wat nog geprobeerd, ook eerst terug manuele instructies gedaan, vervolgens via msconfig, de services uitgeschakeld van Spyware guard, maar na een herstart zie je gewoon een kopie van deze regel geactiveerd en alles terug en BSOD

9. Idem als 8, alle services uitgeschakeld, opstartitems ook, en rara, het geraakt er nog door.

10. Ook als ik opstart met beperkte services lukt het me nog niet om HJT, MBAM etc te installeren

11. Op mijn U3 stick een antispyware (1,2,3 anti spyware (bij gebrek aan beter) laten lopen, niks gevonden.

12. Uiteraard had ik vanaf stap 1 alle temps gewist, cookies ook.

13. Yannick ff erop losgelaten met geen resultaat

14. Superman Kape aub?

Karel

[kape]

Probeer eens of je HijackThis en Combofix op deze tijdelijke download kan binnenhalen ? En of die dan opstarten en runnen ?

[Sarah]

Probeer eens of je HiJackThis en Combofix op deze tijdelijke download kan binnenhalen ? En of die dan opstarten en runnen ?

Zijn dit versies die je niet moet installeren? Ik kan ze pas deze avond omstreeks 19 u proberen

[kape]

Zijn dit versies die je niet moet installeren? Ik kan ze pas deze avond omstreeks 19 u proberen

Neen ... maar hiermee omzeil je soms blokkades van malware. En geen probleem ... laat ze nog wel even on-line staan. Geef maar een seintje als je ze geprobeerd hebt.

[Sarah]

Wel, ik had reeds een installatiebestand via Usb-stick van mbam en HJT gekopieerd naar deze laptop en installatie start gewoon niet in veilige modus. Process setup is er maar geen reactie

Maar ik wil gerust nog ff deze proberen

[kape]

Is er misschien geen enkel .exe-bestand dat aan de gang gaat ?

[Sarah]

Toch wel, want ik had reed Internet explorer kunnen openen, Opera, Schijfopruiming

Spybot SD kon ik wel installeren maar niet openen erna

[Yannick]

veel programma's starten lukt wel op die laptop.

alleen iets installeren is met geen mogelijkheid op gang te krijgen.. alhoewel hij wel in het taakbeheer komt dan, en ook blijft staan daar.

ik heb heel het register ook nog eens omgespit gisterenmiddag (was toch bij karel )

maar kon niets vinden.. zoekfunctie, ook alles verwijderd wat ik tegen kwam.. opstartprogramma's onderzocht..

deze is echt een hardnekkige... :S

[Sarah]

hoera ik heb een HJT logje kunnen maken.

HJT geinstalleerd op thuissysteem, mapje uit program Files op sticky gezet en geopend op de geinfecteerde laptop

Beetje omweg maar het lukt

[ATTACH]1318[/ATTACH]

hijackthis.log

[kape]

Start Hijackthis op. Ben je gebruiker van Vista kies dan voor “Run as administrator" of "Uitvoeren als administrator". Selecteer “Do a system scan only”. Selecteer alleen de items die hieronder zijn genoemd:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twext.exe,

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 –k

O4 - S-1-5-18 Startup: iWin Desktop Alerts.lnk = C:\Documents and Settings\All Users\Application Data\iWin Games\DesktopAlerts\DesktopAlerts.exe (User 'SYSTEM')

O4 - .DEFAULT Startup: iWin Desktop Alerts.lnk = C:\Documents and Settings\All Users\Application Data\iWin Games\DesktopAlerts\DesktopAlerts.exe (User 'Default user')

O4 - Startup: iWin Desktop Alerts.lnk = C:\Documents and Settings\All Users\Application Data\iWin Games\DesktopAlerts\DesktopAlerts.exe

O21 - SSODL: ieModule - {735095E1-CE92-4400-9D75-E446577D2E7F} - C:\Documents and Settings\All Users\Application Data\Microsoft\Internet Explorer\DLLs\ieModule.dll

O21 - SSODL: InternetConnection - {5D6FBE64-9B41-4871-BD82-E10908BE3A40} - C:\Documents and Settings\All Users\Application Data\Microsoft\Internet Explorer\DLLs\ipjjuyprwe.dll

Klik op 'Fix checked' om de items te verwijderen. En daarna een nieuw logje met HJT aanmaken.

Mocht het je dan lukken om Malwarebytes te runnen, zou dat erg nuttig zijn.