[OPGELOST] Malware doctor, ook al.

[Sabera]

ComboFix Log in de bijlage!

ComboFix.txt

[kape]

Combofix heeft al een nuttige opruiming gehouden, maar helemaal zijn we er nog niet.

Open een kladblokbestand.

Kopieer en plak daarin de onderstaande vetgedrukte tekst.

File::

c:\windows\system32\drivers\6dca4fc3.sys

c:\windows\system32\jbnmcd.dll

c:\windows\system32\1483083334.dat

c:\windows\system32\acctresp.exe

C:\gmres.exe

c:\windows\system32\drivers\86b7b066.sys

c:\windows\system32\jbnmck.dll

c:\windows\system32\drivers\6a0ee38b.sys

C:\undlh.exe

c:\windows\system32\drivers\1ced9354.sys

C:\ysjmlii.exe

Driver::

6dca4fc3

86b7b066

6a0ee38b

1ced9354

Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"8334"=-

Sla dit bestand op je bureaublad op als CFScript.txt.

Sleep CFScript.txt in ComboFix.exe

Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt.

Post na herstart de inhoud van de Combofix.txt in je volgende bericht samen met een nieuw logje van HijackThis.

[Sabera]

Ziezo:

Hijack log:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:02:24, on 2/06/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Common Files\Logitech\Bluetooth\LBTServ.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\WINDOWS\asuskbservice.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe

C:\Program Files\F-Secure\Anti-Virus\FSGK32.EXE

C:\Program Files\F-Secure\Common\FSMA32.EXE

C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\F-Secure\Common\FSMB32.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\F-Secure\Common\FCH32.EXE

C:\Program Files\F-Secure\Anti-Virus\fssm32.exe

C:\Program Files\F-Secure\Anti-Virus\fsqh.exe

C:\Program Files\F-Secure\Common\FAMEH32.EXE

C:\Program Files\F-Secure\Common\FNRB32.EXE

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\F-Secure\Common\FIH32.EXE

C:\Program Files\F-Secure\FSAUA\program\fsaua.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Program Files\Logitech\SetPoint\SetPoint.exe

C:\Program Files\VIA\RAID\raid_tool.exe

C:\Program Files\Stardock\ObjectDock\ObjectDock.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe

C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE

C:\Program Files\F-Secure\Anti-Virus\fsav32.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\rundll32.exe

C:\Documents and Settings\JORDY\Bureaublad\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=localhost:7171

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Run: [ALUAlert] C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe

O4 - Global Startup: ACER WLAN 11g USB Utility.lnk = C:\Program Files\ACER Technology Corporation\ACER WLAN 11g USB adapter\ACERWlan.exe

O4 - Global Startup: hp psc 1000 series.lnk = ?

O4 - Global Startup: hpoddt01.exe.lnk = ?

O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe

O4 - Global Startup: VIA RAID TOOL.lnk = C:\Program Files\VIA\RAID\raid_tool.exe

O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Verzenden naar &Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/NL-BE/a-UNO1/GAME_UNO1.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094839264015

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1211847304359

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - AppInit_DLLs: C:\WINDOWS\system32\wbsys.dll

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: Mobiel Apple apparaat (Apple Mobile Device) - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: ASUSKeyboardService - ASUSTeK COMPUTER INC. - C:\WINDOWS\asuskbservice.exe

O23 - Service: Intelligente achtergrondsoverdrachtservice (BITS) - Unknown owner - C:\WINDOWS\

O23 - Service: Bonjour-service (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe

O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program Files\F-Secure\Common\FNRB32.EXE

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program Files\F-Secure\FSAUA\program\fsaua.exe

O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE

O23 - Service: getPlus® Helper - NOS Microsystems Ltd. - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe

O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logitech\Bluetooth\LBTServ.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Automatische updates (wuauserv) - Unknown owner - C:\WINDOWS\

--

End of file - 8046 bytes

En Combofixlog zit terug in de bijlage! Sinds ik nogaltijd geen internet heb, op die pc.. Zou dat ook te maken hebben met die Malware? Sinds ik geen andere reden in zie. Kan ik daar eventueel iets aan doen?

Alvast bedankt tot zover man

log.txt

[kape]

Probeer dit eens om de verbinding te herstellen :

Ga naar start -> uitvoeren

typ cmd druk op enter

typ ipconfig /flushdns en klik enter

Herstart de computer.

Logjes zien er nu goed uit Nog problemen merkbaar ?

[Sabera]

Nee, blijkbaar alleen m'n internet lijdt eronder, mijn firewall blijft netjes aanstaan, en m'n pc werkt de helft vlugger? Of beeld ik mij dat in?!

In ieder geval, internet werkt nog steeds niet! Zijn er misschien alternatieven?

[kape]

Dat sneller werken zal je je niet inbeelden Met alles wat verwijderd is aan onnodige en foute bestanden, moet dat ongetwijfeld het geval zijn.

En dan Internet :

Klik op start -> configuratiescherm -> netwerkverbindingen

als het goed is zie je dan in het scherm staan "LAN- of snelle internet verbinding"

bekijk het icoontje dat daar onder staat en controleer of hij niet op "Uitgeschakeld" staat

als die uitgeschakeld staat klik erop met je rechter muisknop en selecteer inschakelen.

Als dat het niet is:

klik op start -> configuratie scherm -> netwerkverbindingen

als het goed is zie je dan in het scherm staan "LAN- of snelle internet verbinding"

klik het icoontje met je rechter muisknop en selecteer eigenschappen

in het volgende scherm zie je een lijstje met onderdelen met vinkjes er voor

dubbelklik op Internet-protocol (TCP/IP)

in het volgende scherm kijk je in het tabje algemeen, en selecteer je:

"Automatisch een IP-adres laten toewijzen"

en

"Automatisch een DNS-serveradres laten toewijzen"

klik dan op "OK".

[Sabera]

In verband met m'n internet staat alles jammer genoeg al zo ingesteld.

Vannacht heb ik nog enkele meldingen gekregen van m'n F-secure ivm Malwaredoctor, hoef ik er rekening mee te houden?

Edit: als ik ipconfig /release & renew doe, vertelt hij me "dat er een fout is opgetreden bij het vernieuwen van de interface: LAN-verbinding <De RPC-server is niet beschikbaar.>.

[kape]

Vannacht heb ik nog enkele meldingen gekregen van m'n F-secure ivm Malwaredoctor, hoef ik er rekening mee te houden?

Zou je eens kunnen melden waar F-secure deze fouten nog kan vinden. In welke bestanden of mappen, bedoel ik dan ?

En dat Internet ??? Niet echt een idee meer wat er dan mis kan zijn :s

[Sabera]

Wel ja, ik kan F-secure zelf precies niet laten scannen, gisteren installeerde ik service pack 3 ( wat ook niet lukte ) en kreeg ik 5 à 6 foutmeldingen van F-secure ivm Mallwaredoctor, zal nog eens proberen om sp3 op m'n pc te installeren, hij liep vast na ongeveer 8/10 geinstalleerd te hebben :s.

Edit: SP3 is geinstalleerd zonder foutmeldingen deze keer, misschien was het loos alarm? Had wel gehoopt dat door SP3 m'n internet zou terugkeren hah, niet dus. Anyway nog steeds op zoek, en alvast bedankt voor al je hulp Kape!

[Sabera]

Error kunnen bemachtigen:

Spyware aangetroffen

Type: Riskware

Familie:

Naam: FraudTool.Win32.MalwareDoctor

Object: C:\System Volume Information\_restore{38DC087B-57AF-4958-A115-58D4364CAAD0)\A0055446.exe