antivirus.startpagina.nl

Infoseaker Gampass

  • Anonymous avatar

    Gesp

    Tijdens m'n maandelijkse systeemscan met Norton werd Infoseaker Gampass gevonden. Norton kon hem helaas niet verwijderen. Ik heb daarom jullie “voer dit eerst uit”- programma's gedraaid. Tijdens het scannen met Spybot werd in de onderste balk (waar je de voortgang kunt volgen) ook Virtumonde genoemd, maar op het eind van de scan werd die niet gemeld als infectie.

    Onderstaand de gevraagde 2 logs. Zou een van de experts daar s.v.p. naar willen kijken? Bij voorbaat dank!

    Gesp

    Logfile of Trend Micro HijackThis v2.0.2

    Scan saved at 15:53:57, on 11-11-2008

    Platform: Windows XP SP3 (WinNT 5.01.2600)

    MSIE: Internet Explorer v7.00 (7.00.6000.16735)

    Boot mode: Normal

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\svchost.exe

    C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

    C:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe

    C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

    C:\WINDOWS\system32\spoolsv.exe

    c:\program files\common files\logitech\lvmvfm\LVPrcSrv.exe

    C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

    C:\WINDOWS\ATKKBService.exe

    C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

    C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe

    C:\WINDOWS\system32\nvsvc32.exe

    C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

    C:\WINDOWS\system32\svchost.exe

    C:\Program Files\iPod\bin\iPodService.exe

    C:\WINDOWS\Explorer.EXE

    C:\WINDOWS\RTHDCPL.EXE

    C:\WINDOWS\system32\RUNDLL32.EXE

    C:\Program Files\Common Files\Symantec Shared\ccApp.exe

    C:\Program Files\Common Files\Logitech\LComMgr\Communications_Helper.exe

    C:\Program Files\Logitech\QuickCam10\QuickCam10.exe

    C:\Program Files\Common Files\Logitech\LComMgr\LVComSX.exe

    C:\Program Files\Saitek\DirectOutput\DirectOutputManager.exe

    C:\Program Files\Saitek\Software\ProfilerU.exe

    C:\Program Files\Saitek\Software\SaiMfd.exe

    C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

    C:\Program Files\iTunes\iTunesHelper.exe

    C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe

    C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe

    C:\WINDOWS\system32\ctfmon.exe

    C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe

    C:\Program Files\MSGTAG Status\MSGTAGStatus.exe

    C:\Program Files\Logitech\QuickCam10\COCIManager.exe

    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.xs4all.nl/

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

    O2 - BHO: Adobe PDF Reader Help bij koppelingen - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

    O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.5\NppBho.dll

    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

    O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll

    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

    O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.5\UIBHO.dll

    O4 - HKLM\..\Run: RTHDCPL.EXE

    O4 - HKLM\..\Run: ALCMTR.EXE

    O4 - HKLM\..\Run: RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

    O4 - HKLM\..\Run: nwiz.exe /install

    O4 - HKLM\..\Run: RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

    O4 - HKLM\..\Run: “C:\Program Files\Common Files\InstallShield\UpdateService\isuspm.exe” -startup

    O4 - HKLM\..\Run: “C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe” -start

    O4 - HKLM\..\Run: “C:\Program Files\Common Files\Symantec Shared\ccApp.exe”

    O4 - HKLM\..\Run: “C:\Program Files\Norton Internet Security\osCheck.exe”

    O4 - HKLM\..\Run: “C:\Program Files\Common Files\Logitech\LComMgr\Communications_Helper.exe”

    O4 - HKLM\..\Run: “C:\Program Files\Logitech\QuickCam10\QuickCam10.exe” /hide

    O4 - HKLM\..\Run: “C:\Program Files\Common Files\Logitech\LComMgr\LVComSX.exe”

    O4 - HKLM\..\Run: “C:\Program Files\WordPerfect Office X3\Programs\QFSCHD130.EXE”

    O4 - HKLM\..\Run: C:\Program Files\Saitek\DirectOutput\DirectOutputManager.exe

    O4 - HKLM\..\Run: C:\Program Files\Saitek\Software\ProfilerU.exe

    O4 - HKLM\..\Run: C:\Program Files\Saitek\Software\SaiMfd.exe

    O4 - HKLM\..\Run: “C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe” /a /m “C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll”

    O4 - HKLM\..\Run: “C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe”

    O4 - HKLM\..\Run: “C:\Program Files\QuickTime\QTTask.exe” -atboottime

    O4 - HKLM\..\Run: “C:\Program Files\iTunes\iTunesHelper.exe”

    O4 - HKLM\..\Run: “C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe”

    O4 - HKLM\..\Run: “C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe”

    O4 - HKCU\..\Run: C:\WINDOWS\system32\ctfmon.exe

    O4 - HKCU\..\Run: C:\PROGRA~1\COMMON~1\TEKNUM~1\update.exe /startup

    O4 - HKCU\..\Run: C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe

    O4 - HKCU\..\Run: “C:\Program Files\EssentialPIM\EssentialPIM.exe” /autorun

    O4 - HKCU\..\Run: “C:\Program Files\MSGTAG Status\MSGTAGStatus.exe” /startup

    O4 - HKUS\S-1-5-19\..\Run: C:\WINDOWS\system32\CTFMON.EXE (User ‘LOCAL SERVICE’)

    O4 - HKUS\S-1-5-20\..\Run: C:\WINDOWS\system32\CTFMON.EXE (User ‘NETWORK SERVICE’)

    O4 - HKUS\S-1-5-18\..\Run: C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’)

    O4 - HKUS\.DEFAULT\..\Run: C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’)

    O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe

    O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

    O8 - Extra context menu item: Open with WordPerfect - C:\Program Files\WordPerfect Office X3\Programs\WPLauncher.hta

    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

    O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

    O9 - Extra button: Verzenden naar OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

    O9 - Extra ‘Tools’ menuitem: Verz&enden naar OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

    O9 - Extra ‘Tools’ menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

    O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

    O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1188643694066

    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

    O16 - DPF: {E686E206-5A05-4CAF-B3AA-B6B10304A271} (VaxSIPUserAgentCAB Control) - https://webphone.xs4all.nl/VaxSIPUserAgentCAB.cab

    O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll

    O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll

    O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

    O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

    O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe

    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

    O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

    O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe

    O23 - Service: iPod-service (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

    O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\isPwdSvc.exe

    O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

    O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

    O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe

    O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe

    O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\common files\logitech\lvmvfm\LVPrcSrv.exe

    O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\SrvLnch\SrvLnch.exe

    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

    O23 - Service: Planner voor Automatische LiveUpdate - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

    O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

    O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe

    End of file - 11612 bytes

    Malwarebytes' Anti-Malware 1.30

    Database versie: 1382

    Windows 5.1.2600 Service Pack 3

    11-11-2008 15:47:31

    mbam-log-2008-11-11 (15-47-31).txt

    Scan type: Snelle Scan

    Objecten gescand: 54224

    Verstreken tijd: 3 minute(s), 7 second(s)

    Geheugenprocessen geïnfecteerd: 0

    Geheugenmodulen geïnfecteerd: 0

    Registersleutels geïnfecteerd: 0

    Registerwaarden geïnfecteerd: 0

    Registerdata bestanden geïnfecteerd: 0

    Mappen geïnfecteerd: 0

    Bestanden geïnfecteerd: 0

    Geheugenprocessen geïnfecteerd:

    (Geen kwaadaardige items gevonden)

    Geheugenmodulen geïnfecteerd:

    (Geen kwaadaardige items gevonden)

    Registersleutels geïnfecteerd:

    (Geen kwaadaardige items gevonden)

    Registerwaarden geïnfecteerd:

    (Geen kwaadaardige items gevonden)

    Registerdata bestanden geïnfecteerd:

    (Geen kwaadaardige items gevonden)

    Mappen geïnfecteerd:

    (Geen kwaadaardige items gevonden)

    Bestanden geïnfecteerd:

    (Geen kwaadaardige items gevonden)

  • Anonymous avatar

    Teaser

    Log ziet er goed uit.

    Alleen:

    Je Java software is verouderd. Oudere versies geven malware de kans om zich te installeren op je systeem.

    Doe eerst deze stappen om Java te de-installeren en de nieuwere versie te installeren:

    Download de nieuwste versie hier:

    Java Runtime Environment (JRE) 6u10, en plaats het op je bureaublad.

    * Scroll omlaag naar : "Java Runtime Environment (JRE) 6 Update 10

    allows end-users to run Java applications".

    * Klik op de Download knop aan de rechterkant.

    * Vink aan: Accept License Agreement.

    * De pagina zal herladen.

    * Klik op de link om Windows Offline Installation te downloaden

    met Meerdere-talen, en bewaar het naar je Bureaublad.

    * Sluit alle programma's die eventueel open zijn - Zeker je web

    browser!

  • Anonymous avatar

    huib

    Hoi Gesp,

    Teaser is nog wat vergeten betreffende de instal van Java:(

    Hier het vervolg:

    Klik op de link om Windows Offline Installation te downloaden

    met Meerdere-talen, en bewaar het naar je Bureaublad.

    Sluit alle programma's die eventueel open zijn - Zeker je web

    browser!

    Ga dan naar Start > Configuratiescherm > Software en

    verwijder alle oudere versies van Java uit de Softwarelijst.

    Vink alles aan met Java Runtime Environment (JRE of J2SE) in de

    naam.

    Klik dan op Verwijderen of op de Wijzig/Verwijder knop.

    Herhaal dit tot alle oudere versies verdwenen zijn.

    Na het verwijderen van alle oudere versies, herstart je pc.

    Dubbelkik vervolgens op jre-6u10-windows-i586-p.exe op

    Bureaublad om de nieuwste versie van Java te installeren.

    Als ik het goed heb, heb je geen Microsoft JVM op je computer, dus de rest van het verhaal laat ik achter wege;)

    Succes,

    Huib:)

  • Anonymous avatar

    Gesp

    Hallo Teaser en Huib,

    Bedankt voor jullie adviezen, die ik inmiddels heb opgevolgd. Maar twee dingen begrijp ik nog niet:

    1) Hoe kunnen m'n logjes nou schoon zijn? Bij geen van de programma's die ik heb gedraaid vóór ik de logjes plaatste werd gemeld dat de Infoseaker werd verwijderd (ik heb dat overigens nog niet gecontroleerd met een nieuwe Norton-scan).

    2) Ik begrijp dat m'n oude Java de mogelijke boosdoener was (de malware toeliet), maar (hangt samen met vraag 1): is die Infoseaker nu weg? En wat betekende de vermelding van Virtumonde tijdens de Spybot-scan?

  • Anonymous avatar

    Gesp

    Hallo Teaser en Huib,

    Ik heb inmiddels Norton weer laten draaien en helaas . . . hij zit er nog in!

  • Anonymous avatar

    Gesp

    Ik heb jullie per ongeluk fout geïnformeerd over de naam. Het virus heet Infostealer Gampas; niet Infoseaker. Sorry! :(

    Overigens: Norton vond hem de eerste keer twee keer; nu (na “voer dit eerst uit” en de tips van Teaser en Huib) nog maar één keer.

    Ik las trouwens op de Norton-site dat het programma alleen info steelt i.v.m. spelletjes en vrij onschuldig is. Maar in het scan resultaat werd de dreiging “hoog” genoemd. Weet iemand hoe dat zit?

  • Anonymous avatar

    huib

    Hoi Gesp,

    Norton zou hem moeten kunnen verwijderen, maar zoals jij aangeeft doet ie dat dus niet:(

    Heb je wel in veilige modus gescand:?:? Hier zal ie zeker verwijderd moeten worden.

    Groetjes Huib:)

  • Anonymous avatar

    huib

    Hoi Gesp,

    Als het met Norton niet lukt in veilige modus, doe dan het volgende:

    Download Combofix naar je Bureaublad.

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    Dubbelklik Combofix.exe.

    Volg de instructies, accepteer de disclaimer door “y” of “Y” te typen.

    Tijdens het runnen van de fix, NIET in het venster klikken, want dan zal je pc gaan “hangen”.

    NB Indien je virusscanner reageert met een melding van een scriptuitvoering, kun je dit negeren.

    Wanneer de fix voltooid is en na herstart, zal de log combofix.txt openen.

    Plaats deze log in je volgende post samen met een nieuw HijackThis log even hier.

    Succes,

    Huib:)

  • Anonymous avatar

    Gesp

    Hoi Huib,

    Ik kreeg ineens een vermoeden waar het programma zou kunnen zitten. Ik heb nl. een dag of veertien geleden een hele sliert spelletjes even geparkeerd. Die zijn in een map gezet waarin ik wel vaker dingen zet die tijdelijk even op mijn computer moeten staan. Ik heb echter géén van die spelletjes geactiveerd.

    Daarom heb ik Norton die map even laten scannen en ja hoor: een virusmelding. Al die spelletjes heb ik verwijderd en daarna vond Norton niks meer in die map.

    Op dit moment is Norton m'n héle computer weer aan het scannen (scan loopt nog) en ik laat je het resultaat weten zodra hij klaar is.

    Ik ben optimistisch over de afloop :)

  • Anonymous avatar

    huib

    Toch wel in VM heh:?;)

    Groetjes Huib:)