[OPGELOST] Virusgekte.

[JJ Bel]

Hey people,

ik heb een probleempje.

Kreeg ooit ineens een msn gesprek geopend met een link. heb de link maar niet aangeraakt in verband met het hoge risico gehalte van virussen die daar inzitten. schijnbaar was dat dit keer niet nodig ook want het virus is toch binnengekomen. nu is het wanneer ik live messenger opstart en een gesprek binnenkrijg dat het misschien 30sec goed gaat en dan tript m'n pc. opeens worden er allerlei gesprek vensters geopend en gesloten naar alle online contactpersonen.

Ben er al met Malwarebytes-Anti Malware overheen gegaan. deze zegt dat de gevonden resultaten altijd trojans zijn en dat ie deze verwijderd heeft. tijdens de controle scan die ik daarna altijd doe blijkt dat HET virus dat het allemaal veroorzaakt nog steeds niet weg is.

Heb er ook Hijack overheen gehaald. deze geeft aan telkens 3 locaties te hebben waar het virus inzit. het virus dat de problemen veroorzaakt is hetzelfde virus als dat malwarebytes telkens vindt. maar ook Hijack kan helaas niks verwijderen zonder dat het terugkomt. de bestanden die geinfecteert zijn kan ik helaas ook niet verwijderen ( had even ijdele hoop dat dat misschien de simpelste oplossing zou zijn maarja zoals gezegd het was ijdele hoop).

ben er ook met spybot anti spyware overheen gegaan maar dat had helaas ook geen effect. deze heeft het wel telkens over een "Virtumonde". als u hier wat mee kan.

Dus ik hoop dat iemand hier me kan helpen om dit virus eruit te halen.

Ik heb hier een Hijack log. voor als iemand hier wat aan heeft.

De BHO 02 en dan de cijfers is het grote probleem. alvast bedankt voor de hulp.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:54, on 2009-06-29

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\WgaTray.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe

C:\Program Files\Windows Live\Family Safety\fsssvc.exe

C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: (no name) - {14C97CF3-18E5-4AA6-9AC8-601184906220} - c:\windows\system32\wmwipoa.dll

O20 - Winlogon Notify: ziidgkqp - C:\WINDOWS\SYSTEM32\wmwipoa.dll

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Program Files\Java\jre6\bin\jqs.exe (file missing)

--

End of file - 1183 bytes

[Yannick]

je log is een beetje kort, weet je zeker dat je alles hebt?

[JJ Bel]

ja ben er zeker van. alles wat verscheen in het log heb ik gwn volledig geselecteert, gekopieerd en vervolgens geplakt. kan dus niks ontbreken lijkt me. al mijn logs van hijack zijn zo kort.

gr,

j

[kape]

Dit is wel een ontzettend vreemd log van HiJackThis : geen startpagian's, geen programma's die mee opstarten met Windows, geen BHO's, geen ... ga zo maar door. Nog nooit gezien :s En de enige items die er dan nog instaan zijn allemaal fout.

Ga naar Start - Uitvoeren en tik in: sc stop JavaQuickStarterService

Druk op Enter.

Ga naar Start - Uitvoeren en tik in: sc delete JavaQuickStarterService

Druk op Enter.

Start Hijackthis op. Ben je gebruiker van Vista kies dan voor “Run as administrator" of "Uitvoeren als administrator". Selecteer “Do a system scan only”. Selecteer alleen de items die hieronder zijn genoemd:

O2 - BHO: (no name) - {14C97CF3-18E5-4AA6-9AC8-601184906220} - c:\windows\system32\wmwipoa.dll

O20 - Winlogon Notify: ziidgkqp - C:\WINDOWS\SYSTEM32\wmwipoa.dll

Klik op 'Fix checked' om de items te verwijderen.

Laat dan Malwarebytes eens opnieuw scannen en zet het log van Malwarebytes en een nieuw log van HiJackThis in je volgende bericht.

[JJ Bel]

nou heb de programma's laten draaien. 1 van de 3 problemen is opgelost. de javaquickstarter is iig weer veilig.

hier de logs van de Hijack en de Malwarebytes.

Hijack:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:24, on 2009-06-29

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe

C:\WINDOWS\system32\NOTEPAD.EXE

O2 - BHO: (no name) - {14C97CF3-18E5-4AA6-9AC8-601184906220} - c:\windows\system32\wmwipoa.dll

O20 - Winlogon Notify: ziidgkqp - C:\WINDOWS\SYSTEM32\wmwipoa.dll

--

End of file - 955 bytes

Malwarebytes:

Malwarebytes' Anti-Malware 1.36

Database versie: 2169

Windows 5.1.2600 Service Pack 3

2009-06-29 15:41:27

mbam1

Scan type: Volledige Scan (A:\|C:\|D:\|E:\|F:\|G:\|)

Objecten gescand: 100840

Verstreken tijd: 18 minute(s), 10 second(s)

Geheugenprocessen geïnfecteerd: 0

Geheugenmodulen geïnfecteerd: 0

Registersleutels geïnfecteerd: 3

Registerwaarden geïnfecteerd: 0

Registerdata bestanden geïnfecteerd: 0

Mappen geïnfecteerd: 0

Bestanden geïnfecteerd: 1

Geheugenprocessen geïnfecteerd:

(Geen kwaadaardige items gevonden)

Geheugenmodulen geïnfecteerd:

(Geen kwaadaardige items gevonden)

Registersleutels geïnfecteerd:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{14c97cf3-18e5-4aa6-9ac8-601184906220} (Trojan.Vundo.H) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ziidgkqp (Trojan.Vundo.H) -> No action taken.

HKEY_CLASSES_ROOT\CLSID\{14c97cf3-18e5-4aa6-9ac8-601184906220} (Trojan.Vundo.H) -> No action taken.

Registerwaarden geïnfecteerd:

(Geen kwaadaardige items gevonden)

Registerdata bestanden geïnfecteerd:

(Geen kwaadaardige items gevonden)

Mappen geïnfecteerd:

(Geen kwaadaardige items gevonden)

Bestanden geïnfecteerd:

c:\WINDOWS\system32\wmwipoa.dll (Trojan.Vundo.H) -> No action taken.

zie niet veel verchil. maar misschien dat julli eer wel wat mee kunnen.

[kape]

zie niet veel verchil. maar misschien dat julli eer wel wat mee kunnen.

Logisch ... want met Malwarebytes heb je blijkbaar de besmette bestanden niet laten verwijderen. "No action taken" wijst alvast in die richting. Doe de scan met Malwarebytes opnieuw en verwijder nu de items die gevonden worden ... en dan mag je dat logje in je volgende bericht hangen.

[JJ Bel]

Malwarebytes kan ze gwn niet verwijderen. hij vraagt om comp opnieuw op te starten en dan zouden ze tijdens het opstarten verwijderd moeten worden :S. maar dat doet ie dus ook niet.:S

Malwarebytes' Anti-Malware 1.38

Database versie: 2355

Windows 5.1.2600 Service Pack 3

2009-06-30 15:06:04

mbam-log-2009-06-30 (15-06-04).txt

Scan type: Volledige Scan (A:\|C:\|D:\|E:\|F:\|G:\|)

Objecten gescand: 106674

Verstreken tijd: 18 minute(s), 43 second(s)

Geheugenprocessen geïnfecteerd: 0

Geheugenmodulen geïnfecteerd: 0

Registersleutels geïnfecteerd: 3

Registerwaarden geïnfecteerd: 0

Registerdata bestanden geïnfecteerd: 0

Mappen geïnfecteerd: 0

Bestanden geïnfecteerd: 2

Geheugenprocessen geïnfecteerd:

(Geen kwaadaardige items gevonden)

Geheugenmodulen geïnfecteerd:

(Geen kwaadaardige items gevonden)

Registersleutels geïnfecteerd:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{14c97cf3-18e5-4aa6-9ac8-601184906220} (Trojan.Vundo.H) -> Delete on reboot.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ziidgkqp (Trojan.Vundo.H) -> Delete on reboot.

HKEY_CLASSES_ROOT\CLSID\{14c97cf3-18e5-4aa6-9ac8-601184906220} (Trojan.Vundo.H) -> Delete on reboot.

Registerwaarden geïnfecteerd:

(Geen kwaadaardige items gevonden)

Registerdata bestanden geïnfecteerd:

(Geen kwaadaardige items gevonden)

Mappen geïnfecteerd:

(Geen kwaadaardige items gevonden)

Bestanden geïnfecteerd:

c:\WINDOWS\system32\wmwipoa.dll (Trojan.Vundo.H) -> Delete on reboot.

C:\WINDOWS\dllcache.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

[filkill]

Nu zijn ze wel verwijderd

[kape]

Post nu even een nieuw log van HiJackThis.

[JJ Bel]

het spijt me maar ze zijn niet verwijderd. hetzelfde virus wordt nog steeds gevonden.

er zijn nu zelfs alleen nog maar meer bestanden geinfecteerd. is het niet verstandig om gwn een "goede vriend" m'n pc volledig schoon te laten vegen en dan maar gwn opnieuw te beginnen? ik woon namelijk vlakbij een medewerker van jullie. want ik kan blijven scannen en verwijderen. maar het lijkt maar geen effect te hebben. Nu heeft malware zelfs de shit van unkown sofware te verduren. het wordt steeds grappiger uhm uhm.

of heeft iemand een goede tip voor een free verwijderingsprogramms?

gr,

j

---------- Post added at 14:12 ---------- Previous post was at 14:08 ----------

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:11, on 2009-06-30

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe

C:\WINDOWS\system32\msiexec.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe

O2 - BHO: (no name) - {14C97CF3-18E5-4AA6-9AC8-601184906220} - c:\windows\system32\wmwipoa.dll

O20 - Winlogon Notify: rbadmm - C:\WINDOWS\SYSTEM32\rbadmm.dll

O20 - Winlogon Notify: ziidgkqp - C:\WINDOWS\SYSTEM32\wmwipoa.dll

--

End of file - 1019 bytes

Malware vind constant meer infecties. nu al 11 infecties.