[OPGELOST] Ook een system security virus

[kape]

Als je de melding krijgt dat je PC "infected" is, kan je dan niet gewoon verder klikken en het programma afwerken. Want - normaal - is dat enkel een pop-up die opdaagt en geen echte blokkering ?

[Gast Wilma J]

Nee, dat kan helaas niet.

Als ik bijvoorbeeld dubbelklik op het pictogram van ComboFix dan krijg ik de melding of ik dit programma wil uitvoeren en als ik dan op uitvoeren klik dan verdwijnt het schermpje en verschijnt er rechtsonder in het scherm:

Warning

Application can not executed the file Combo-Fix.exe is infected

Please activate your antivirus software

--------------------------------------------------------------------

En dan kan ik dus helemaal niks meer, en dat werkt met alle programma's zo behalve met internet explorer, als ik die dubbelklik op het bureaublad dan werkt wel alles normaal. Ik zit nu dus ook vanaf de geïnfecteerde PC met jullie te mailen.

Nu verschijnt er ineens in de rechterbenedenhoed een System Security Warning popup die weer vanzelf verdwijt ook, raar allemaal.

Alvast bedankt voor al jullie meedenken, dat waardeer ik zeer!

[kape]

Ga eens terug naar de suggestie van "veilige modus". Afhankelijk van de PC zijn er nog andere F-toetsen mogelijk om op te starten in safe mode. Probeer het lijstje maar eens uit, met een lichte voorkeur (naast F8) voor F2 en F11.

[Gast Wilma J]

Alle F toetsen geprobeerd, met F8 kom ik in het boot-menu. Daar kan ik echter weinig anders dan kiezen voor de normale opstart of opstarten vanaf CD rom.

Tijdens het opstarten staat wel in beeld dat je op de TAB toets moet drukken om in het POST screen te komen, en als ik dat doe dan verschijnt die pagina zooooo kort in beeld dat ik geen eens tijd heb om te lezen wat er staat. Dan gaat de normale opstart al weer beginnen.

We gaan nu slapen, welterusten en tot morgen!

[Gast Wilma J]

O, ik vergat nog te vermelden dat de PC een Fujitsu Siemens Scaleo L edition is, jaar of 4 oud.

[Gast Wilma J]

Yes yes yes, mijn man heeft de firewall blokkering uit weten te schakelen en nu kon ComboFix zijn werk doen.

ComboFix 09-05-13.02 - Maarten 14-05-2009 23:01.1 - NTFSx86

Microsoft Windows XP Home Edition 5.1.2600.3.1252.31.1043.18.1527.1164 [GMT 2:00]

Gestart vanuit: c:\documents and settings\Maarten\Bureaublad\Combo-Fix.exe

.

(((((((((((((((((((((((((((((((((( Andere Verwijderingen )))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\documents and settings\Maarten\Favorieten\Online Security Test.url

c:\program files\VirusHeat 4.3

c:\program files\VirusHeat 4.3\blacklist.txt

c:\program files\VirusHeat 4.3\vht.dat

c:\program files\VirusHeat 4.3\VirusHeat 4.3.url

c:\windows\IE4 Error Log.txt

.

(((((((((((((((((((( Bestanden Gemaakt van 2009-04-14 to 2009-05-14 ))))))))))))))))))))))))))))))

.

2009-05-14 07:18 . 2009-05-14 07:18 -------- d-----w C:\2787ee7c30143565f4df1afd82581812

2009-05-14 06:51 . 2009-05-14 06:51 41984 --sh--r c:\windows\system32\advpacky.exe

2009-05-13 22:22 . 2009-05-13 22:22 -------- d-----w c:\documents and settings\All Users\Application Data\17893124

2009-05-13 22:22 . 2009-05-14 06:51 -------- d-----w c:\documents and settings\All Users\Application Data\67913119

2009-04-19 20:34 . 2009-04-19 20:34 -------- d-----w c:\documents and settings\LocalService\Local Settings\Application Data\Google

2009-04-19 20:34 . 2009-04-19 20:34 -------- d-----w c:\windows\system32\IOSUBSYS

2009-04-15 07:57 . 2009-02-06 10:10 227840 -c----w c:\windows\system32\dllcache\wmiprvse.exe

2009-04-15 07:57 . 2009-03-06 14:23 285696 -c----w c:\windows\system32\dllcache\pdh.dll

2009-04-15 07:57 . 2009-02-09 11:27 111104 -c----w c:\windows\system32\dllcache\services.exe

2009-04-15 07:57 . 2009-02-09 10:56 401408 -c----w c:\windows\system32\dllcache\rpcss.dll

2009-04-15 07:57 . 2009-02-09 10:56 473600 -c----w c:\windows\system32\dllcache\fastprox.dll

2009-04-15 07:57 . 2009-02-09 10:56 684544 -c----w c:\windows\system32\dllcache\advapi32.dll

2009-04-15 07:57 . 2009-02-09 10:56 734208 -c----w c:\windows\system32\dllcache\lsasrv.dll

2009-04-15 07:57 . 2009-02-09 10:56 453120 -c----w c:\windows\system32\dllcache\wmiprvsd.dll

2009-04-15 07:57 . 2009-02-09 10:56 735744 -c----w c:\windows\system32\dllcache\ntdll.dll

2009-04-15 07:54 . 2008-04-21 21:16 218624 -c----w c:\windows\system32\dllcache\wordpad.exe

.

((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-05-14 19:40 . 2009-01-29 10:18 -------- d-----w c:\program files\SPAMfighter

2009-05-03 08:40 . 2005-08-26 19:41 71518 ----a-w c:\windows\system32\perfc013.dat

2009-05-03 08:40 . 2005-08-26 19:41 446906 ----a-w c:\windows\system32\perfh013.dat

2009-04-19 20:34 . 2006-09-12 15:52 -------- d-----w c:\program files\Google

2009-04-05 07:16 . 2007-03-29 11:05 -------- d-----w c:\program files\iTunes

2009-04-05 07:16 . 2007-03-29 11:05 -------- d-----w c:\program files\iPod

2009-04-05 07:16 . 2008-09-13 19:08 -------- d-----w c:\program files\Common Files\Apple

2009-04-05 07:04 . 2009-04-05 07:03 -------- d-----w c:\program files\Safari

2009-04-05 07:01 . 2009-04-05 07:01 -------- d-----w c:\program files\Bonjour

2009-03-26 20:08 . 2009-03-26 20:08 -------- d-----w c:\program files\Belastingdienst

2009-03-06 14:23 . 2005-08-26 19:41 285696 ----a-w c:\windows\system32\pdh.dll

2009-03-03 00:16 . 2005-08-26 19:41 826368 ----a-w c:\windows\system32\wininet.dll

2009-02-20 17:18 . 2005-08-26 19:40 78336 ----a-w c:\windows\system32\ieencode.dll

2007-03-31 19:20 . 2007-02-06 17:25 711168 --sh--r c:\windows\Server.DLL

2007-03-31 12:12 . 2007-02-06 17:25 66560 --sh--r c:\windows\SERVERKEY.DLL

.

((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2005-02-22 1611488]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-12-19 68856]

"Skype"="c:\program files\Skype\Phone\Skype.exe" [2009-02-04 23975720]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2005-06-21 155648]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2005-06-21 126976]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"Adobe Photo Downloader"="c:\program files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-07-14 57344]

"Easy-PrintToolBox"="c:\program files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2004-01-14 409600]

"SNPSTD2"="c:\windows\vsnpstd2.exe" [2004-08-30 286720]

"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 83608]

"Xanadu"="c:\program files\Foreignword\Xanadu\Xanadu.exe" [2002-08-14 819200]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]

"PCSuiteTrayApplication"="c:\program files\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2007-03-23 227328]

"SPAMfighter Agent"="c:\program files\SPAMfighter\SFAgent.exe" [2009-01-16 325768]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-01-05 413696]

"AppleSyncNotifier"="c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2009-03-05 177472]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-03-12 342312]

"17893124"="c:\documents and settings\All Users\Application Data\17893124\17893124.exe" [2009-05-13 357422]

"67913119"="c:\documents and settings\All Users\Application Data\67913119\67913119.exe" [2009-05-13 15406]

"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2005-06-20 77824]

"BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2008-04-14 110592]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

"Nokia.PCSync"="c:\program files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-03-27 1744896]

c:\documents and settings\Maarten\Menu Start\Programma's\Opstarten\

ADSL Dial-in.lnk - c:\documents and settings\Maarten\Application Data\Microsoft\Installer\{01C16D3B-7154-4F1B-8149-F5F124A738D3}\ADSLDialIn.exe11_01C16D3B71544F1B8149F5F124A738D3.exe [2005-9-16 4286]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]

"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\WINDOWS\\system32\\ftp.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\utorrent\\utorrent.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R1 ATMhelpr;ATMhelpr;c:\windows\system32\drivers\ATMHELPR.SYS [26-5-2006 14:49 4064]

S2 SPAMfighter Update Service;SPAMfighter Update Service;c:\program files\SPAMfighter\sfus.exe [16-1-2009 11:11 184968]

.

Inhoud van de 'Gedeelde Taken' map

2009-05-08 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2009-05-14 c:\windows\Tasks\User_Feed_Synchronization-{F1A4F988-05D3-4541-968F-8B1F7F767DA5}.job

- c:\windows\system32\msfeedssync.exe [2006-10-17 09:58]

.

- - - - ORPHANS VERWIJDERD - - - -

HKCU-Run-Picasa Media Detector - c:\program files\Picasa2\PicasaMediaDetector.exe

HKLM-Run-97903116 - c:\documents and settings\All Users\Application Data\97903116\97903116.exe

.

------- Bijkomende Scan -------

.

uStart Page = hxxp://www.startpagina.nl/

uInternet Settings,ProxyOverride = *.local

IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200

IE: E&xporteren naar Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

IE: Easy-WebPrint Add To Print List - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

IE: Easy-WebPrint High Speed Print - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

IE: Easy-WebPrint Preview - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

IE: Easy-WebPrint Print - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

IE: {{5CC384BB-1326-11D5-F4AE-00C04923F885} - c:\program files\Foreignword\Xanadu\XanaduLaunch.exe

.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2009-05-14 23:05

Windows 5.1.2600 Service Pack 3 NTFS

scannen van verborgen processen ...

scannen van verborgen autostart items ...

scannen van verborgen bestanden ...

Scan succesvol afgerond

verborgen bestanden: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\konfig]

"ImagePath"="c:\opt\MBCASE\pm\bin\mcp"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\license]

"ImagePath"="c:\opt\MBCASE\pm\bin\mcp"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mcp]

"ImagePath"="c:\opt\MBCASE\pm\bin\mcp"

.

--------------------- VERGRENDELDE REGISTER SLEUTELS ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•9~*]

"3140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

.

Voltooingstijd: 2009-05-14 23:07

ComboFix-quarantined-files.txt 2009-05-14 21:06

Pre-Run: 31.798.923.264 bytes beschikbaar

Post-Run: 34.019.840.000 bytes beschikbaar

WindowsXP-KB310994-SP2-Home-BootDisk-NLD.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

158 --- E O F --- 2009-05-13 22:31

[Gast Wilma J]

Gisteravond waren de "meldingen" verdwenen maar vanochtend na het opstarten kwamen ze weer terug en nu kan ik weer alleen internet explorer openen op het bureaublad. Dus ook Combo-Fix is weer niet te openen.

Mijn man heeft gisteren wat zitten spelen met Ctrl, Alt, Delete en toen heeft hij de Windows Firewall uit weten te zetten maar voor mijn gevoel zijn we nu weer terug bij af maar dan zonder ingeschakelde firewall.

[kape]

Verwijder volgende vetgedrukte bestanden met Windows Verkenner :

c:\documents and settings\All Users\Application Data\17893124\17893124.exe

c:\documents and settings\All Users\Application Data\67913119\67913119.exe

Probeer dan of het volgende lukt via invoer in Combofix :

Open een kladblokbestand.

Kopieer en plak daarin de onderstaande vetgedrukte tekst.

Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"17893124"=-

"67913119"=-

Sla dit bestand op je bureaublad op als CFScript.txt.

Sleep CFScript.txt in ComboFix.exe

Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt.

Post na herstart de inhoud van de Combofix.txt in je volgende bericht samen met een nieuw logje van HijackThis.

[Gast Wilma J]

Helaas lukt het niet om beide bestanden te verwijderen, de toegang wordt geweigerd.

[kape]

Helaas lukt het niet om beide bestanden te verwijderen, de toegang wordt geweigerd.

Heb ja daarna ook deel twee geprobeerd : de Combofix-txt ?