antivirus.startpagina.nl

Trojan virussen

  • Anonymous avatar

    lucas

    Hoi de Brouwer,

    Wacht op goedkering van een ervaren loglezer alvorens deze fix uit te voeren ;)

    1. Download About:Buster pak het programma uit en plaats het op je bureaublad,open de map en dubbelklik about:buster.exe ,klik op update en haal de laatste ref.file op,sluit daarna het programma weer.

    2. Zet in configuratiescherm-mapoptie's eerst een vinkje bij “verborgen bestanden en mappen weergeven” en haal het vinkje weg bij “extensie's voor bekende bestandstypen verbergen”,klik op toepassen en ok

    3. Ga naar start uitvoeren en type : services.msc en klik ok

    4. Zoek in de lijst naar ,dubbelklik hem en klik op stoppen en kies als opstarttype “uitgeschakeld” ,klik op toepassen en ok.

    De rest van de fix is in veilige modus,dus dan kan je hier niet meer spieken,ik raad je aan om dit even uit te printen of op te slaan in een kladblok bestandje

    5. Start op in veilige

    > modus

    6. Start alléén hijack,vink alleen de onderstaande regels aan en klik op “fix checked”

    R3 - Default URLSearchHook is missing

    O2 - BHO: Class - {B04558CA-5592-D9A6-7350-0B48292A63C4} - C:\WINDOWS\system32\iezx32.dll

    O2 - BHO: Class - {C0C0E675-BCA8-D1EC-49B2-D7620FCDD5BE} - C:\WINDOWS\ntdp.dll

    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\nl\msntb.dll (file missing)

    O4 - HKLM\..\Run: C:\WINDOWS\system32\winso.exe

    O4 - HKLM\..\Run: C:\WINDOWS\system32\ntmy.exe

    O4 - HKLM\..\Run: C:\WINDOWS\msbc32.exe

    O4 - HKLM\..\Run: SystemDll.exe

    O4 - HKLM\..\Run: C:\WINDOWS\system32\javabr.exe

    O4 - HKLM\..\RunServices: winis.exe

    O4 - HKLM\..\RunServices: SystemDll.exe

    O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

    O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab

    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - go.microsoft.com/fwlink/?linkid=39204

    O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab

    O16 - DPF: {18D9C485-7EEC-4395-95DA-DC3875B10E81} (TEInstallPlugIn) - www.skylinesoft.com/interactive/terraexplorer/install/TEInstallPlugIn.cab

    O16 - DPF: {19157B70-E257-11D8-8BFB-000102AB2554} (AccessCtl Class) - www.accesorapido.com/access/accessNL.cab

    O16 - DPF: {1D0D9077-3798-49BB-9058-393499174D5D} - file://c:\counter.cab

    O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - messenger.zone.msn.com/binary/MineSweeper.cab30149.cab

    O16 - DPF: {3F2705D0-C9D8-4020-A15C-E495A0050EC6} (Easywebinstaller Control) - s7.blingblingcontent.com/toolbarcash/activex/easywebinstaller.ocx

    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - by24fd.bay24.hotmail.msn.com/resources/MsnPUpld.cab

    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.ca b?1114958067765

    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - messenger.zone.msn.com/binary/MessengerStatsClient.cab30149.cab

    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab? 1129364015843

    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - messenger.zone.msn.com/binary/MessengerStatsClient.cab30149.cab

    O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - www.netvenda.com/sites/games-nl/nl/games4.cab

    O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx

    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - messenger.msn.com/download/MsnMessengerSetupDownloader.cab

    O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - messenger.zone.msn.com/binary/ZIntro.cab30149.cab

    O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - a532.g.akamai.net/7/532/6712/6c5b0a1ae398e3/player.virtools.com/downloads/player /Install2.5/Installer.exe

    O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab

    O16 - DPF: {DE910060-8EFB-44B9-B492-75180696643F} - www.hotsearchbar.com/toolbar30/hsrb.cab

    O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab

    7. Verwijder de volgende ( eventueel nog aanwezige ) bestanden

    C:\WINDOWS\system32\iezx32.dll <==== alleen dit bestand !

    C:\WINDOWS\ntdp.dll <==== alleen dit bestand !

    C:\WINDOWS\system32\winso.exe <==== alleen dit bestand !

    C:\WINDOWS\system32\ntmy.exe <==== alleen dit bestand !

    C:\WINDOWS\msbc32.exe <==== alleen dit bestand !

    C:\WINDOWS\system32\javabr.exe <==== alleen dit bestand !

    8. Start about:buster en klik op “begin removal”,about:buster zal nu je pc gaan scannen voor foute bestanden en automatisch een logfile aanmaken in de map waarin hij staat

    9. Leeg (N.B. leegmaken, dus niet verwijderen) onderstaande mappen voor elke gebruiker:

    C:\Documents and Settings\\Local Settings\Temp <=== deze map!

    C:\Documents and Settings\\Local Settings\Temporary Internet Files <=== deze map!

    C:\Documents and Settings\\Local Settings\Temporary Internet Files\content.ie5 <= als deze map niet wordt weergegeven, ga dan naar de map temporary internet files en type er \content.ie5 achter in de adresbalk en klik enter.

    C:\Windows\Temp <=== deze map!

    10. Doe alsnog de twee online scans:

    www.pandasoftware.com/products/activescan/com/activescan_principal.htm

    www.kaspersky.com/virusscanner

    Bewaar de logjes die de scanners maken en plaats die samen met een nieuw hijack logje en de about buster logjes even hier.

    Lucas :)

  • Anonymous avatar

    pablo

    downloadlink voor about:buster:

    www.malwarebytes.org/AboutBuster.zip

    dit mag je overslaan,er is geen service te zien in het hijack logje :)

    3. Ga naar start uitvoeren en type : services.msc en klik ok

    4. Zoek in de lijst naar ,dubbelklik hem en klik op stoppen en kies als opstarttype “uitgeschakeld” ,klik op toepassen en ok.

    deze O16 mogen blijven staan,alleen bij twijfel de O16 laten verwijderen ;)

    O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

    O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab

    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - go.microsoft.com/fwlink/?linkid=39204

    O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab

    O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - messenger.zone.msn.com/binary/MineSweeper.cab30149.cab

    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - by24fd.bay24.hotmail.msn.com/resources/MsnPUpld.cab

    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.ca b?1114958067765

    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - messenger.zone.msn.com/binary/MessengerStatsClient.cab30149.cab

    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab? 1129364015843

    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - messenger.zone.msn.com/binary/MessengerStatsClient.cab30149.cab

    O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx

    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - messenger.msn.com/download/MsnMessengerSetupDownloader.cab

    O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - messenger.zone.msn.com/binary/ZIntro.cab30149.cab

    O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - a532.g.akamai.net/7/532/6712/6c5b0a1ae398e3/player.virtools.com/downloads/player /Install2.5/Installer.exe

    O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab

    O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab

    laat ook nog een nieuwe scan met ewido doen in veilige modus :)

    deze bestanden laten zoeken en ook laten verwijderen indien aanwezig:

    SystemDll.exe

    winis.exe

    verder eens ;)

    paul :)

  • Anonymous avatar

    lucas

    @Paul.

    Dank je, iets te rigoreus je advies aangaande O16-regels opgevolgd… :)

    ====== FIX ========

    Hoi de Brouwer,

    Je mag de volgende fix uitvoeren ;)

    1. Download About:Buster pak het programma uit en plaats het op je bureaublad,open de map en dubbelklik about:buster.exe ,klik op update en haal de laatste ref.file op,sluit daarna het programma weer.

    2. Zet in configuratiescherm-mapoptie's eerst een vinkje bij “verborgen bestanden en mappen weergeven” en haal het vinkje weg bij “extensie's voor bekende bestandstypen verbergen”,klik op toepassen en ok

    De rest van de fix is in veilige modus,dus dan kan je hier niet meer spieken,ik raad je aan om dit even uit te printen of op te slaan in een kladblok bestandje

    3. Start op in veilige modus

    4. Start alléén hijack,vink alleen de onderstaande regels aan en klik op “fix checked”

    R3 - Default URLSearchHook is missing

    O2 - BHO: Class - {B04558CA-5592-D9A6-7350-0B48292A63C4} - C:\WINDOWS\system32\iezx32.dll

    O2 - BHO: Class - {C0C0E675-BCA8-D1EC-49B2-D7620FCDD5BE} - C:\WINDOWS\ntdp.dll

    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\nl\msntb.dll (file missing)

    O4 - HKLM\..\Run: C:\WINDOWS\system32\winso.exe

    O4 - HKLM\..\Run: C:\WINDOWS\system32\ntmy.exe

    O4 - HKLM\..\Run: C:\WINDOWS\msbc32.exe

    O4 - HKLM\..\Run: SystemDll.exe

    O4 - HKLM\..\Run: C:\WINDOWS\system32\javabr.exe

    O4 - HKLM\..\RunServices: winis.exe

    O4 - HKLM\..\RunServices: SystemDll.exe

    O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab

    O16 - DPF: {18D9C485-7EEC-4395-95DA-DC3875B10E81} (TEInstallPlugIn) - www.skylinesoft.com/interactive/terraexplorer/install/TEInstallPlugIn.cab

    O16 - DPF: {19157B70-E257-11D8-8BFB-000102AB2554} (AccessCtl Class) - www.accesorapido.com/access/accessNL.cab

    O16 - DPF: {1D0D9077-3798-49BB-9058-393499174D5D} - file://c:\counter.cab

    O16 - DPF: {3F2705D0-C9D8-4020-A15C-E495A0050EC6} (Easywebinstaller Control) - s7.blingblingcontent.com/toolbarcash/activex/easywebinstaller.ocx

    O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - www.netvenda.com/sites/games-nl/nl/games4.cab

    O16 - DPF: {DE910060-8EFB-44B9-B492-75180696643F} - www.hotsearchbar.com/toolbar30/hsrb.cab

    5. Verwijder de volgende ( eventueel nog aanwezige ) bestanden

    C:\WINDOWS\system32\iezx32.dll <==== alleen dit bestand !

    C:\WINDOWS\ntdp.dll <==== alleen dit bestand !

    C:\WINDOWS\system32\winso.exe <==== alleen dit bestand !

    C:\WINDOWS\system32\ntmy.exe <==== alleen dit bestand !

    C:\WINDOWS\msbc32.exe <==== alleen dit bestand !

    C:\WINDOWS\system32\javabr.exe <==== alleen dit bestand !

    En onderstaande bestanden. Mogelijk staan ze onder C:\Windows\ zo niet probeer ze dan met de verkenner op C:\ op te zoeken.

    SystemDll.exe

    winis.exe

    6. Start about:buster en klik op “begin removal”,about:buster zal nu je pc gaan scannen voor foute bestanden en automatisch een logfile aanmaken in de map waarin hij staat

    7. Leeg (N.B. leegmaken, dus niet verwijderen) onderstaande mappen voor elke gebruiker:

    C:\Documents and Settings\\Local Settings\Temp <=== deze map!

    C:\Documents and Settings\\Local Settings\Temporary Internet Files <=== deze map!

    C:\Documents and Settings\\Local Settings\Temporary Internet Files\content.ie5 <= als deze map niet wordt weergegeven, ga dan naar de map temporary internet files en type er \content.ie5 achter in de adresbalk en klik enter.

    C:\Windows\Temp <=== deze map!

    8. Doe nogmaals een ewido scan in de veilige modus. En doe de volgende online scans.

    www.pandasoftware.com/products/activescan/com/activescan_principal.htm

    www.kaspersky.com/virusscanner

    Bewaar de logjes die Ewido en de scanners maken en plaats die samen met een nieuw hijack logje en de about buster logjes even hier.

    Lucas :)