Doorzoek het forum
Zoeken met Startpagina
Startpagina Thema's
Jeroen
Opdrachten uitgevoerd.
Bij a-squared de laatste updates binnengehaald.
Ga nu mn pc scannen met a-squared.
to be continued …
Scan met a-squared voltooid.
Onderstaand rapport:
a-squared Free - Versie 4.5
Laatste Update: 7-9-2009 21:10:24
Scan instellingen:
Scan type: Diepe Scan
Objecten: Geheugen, Sporen, Cookies, C:\
Scan archieven: Aan
Heuristieken: Uit
ADS Scan: Aan
Scan starten: 7-9-2009 22:08:48
C:\System Volume Information\_restore{C7F5598D-24CD-4065-AC15-45720FA90B8C}\RP1475\A0091985.exe Ontdekt: Trojan.Tool!IK
Gescand
Bestanden: 211847
Sporen: 669285
Cookies: 7
Processen: 48
Gevonden
Bestanden: 1
Sporen: 0
Cookies: 0
Processen: 0
Registersleutels: 0
Scan einde: 7-9-2009 23:56:10
Scan tijd: 1:47:22
C:\System Volume Information\_restore{C7F5598D-24CD-4065-AC15-45720FA90B8C}\RP1475\A0091985.exe In Quarantaine Trojan.Tool!IK
In Quarantaine
Bestanden: 1
Sporen: 0
Cookies: 0
Schakel Systeemherstel uit. Herstart de computer. Schakel Systeemherstel weer in.
Kijk hier hoe je je systeemherstel moet uitschakelen.
Ik krijg zoals Jeroen in de allereerste post ook meldingen van infecties op autorun.inf. Op meerdere de externe media. (Flash kaart, USB-stick).
Verwijderen van het bestand lost niets op. Formatteren ook niet
Hieronder het resultaat van de hijackThis.
(Misschien zien experts daar wel vanalles wat niet niet zo pluis is. Ik heb namelijk voor school van alles moeten installeren en testen. Niet alles is netjes opgekuist.)
Zijn er eigenlijk standaard oplossingen op dit soort problemen op te lossen? Of moeten we altijd hopen op goede zielen die dat voor anderen uitzoeken. Ikzelf ben er niet zo van op de hoogte.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:03:41, on 27/10/2009
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v8.00 (8.00.6001.18828)
Boot mode: Normal
Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPStart.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\OSD.exe
C:\Program Files\Home Cinema\PowerDVD\PDVDServ.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\AVG\AVG9\avgtray.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Windows\ehome\ehmsas.exe
C:\Users\Admin\Documents\lsass.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Windows\explorer.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\cmd.exe
C:\Windows\system32\conime.exe
C:\Windows\System32\mobsync.exe
C:\Windows\explorer.exe
C:\Users\Admin\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Preserve
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG9\avgssie.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~3\Office12\GRA8E1~1.DLL
O2 - BHO: SnapFlash Class - {A44CBB0B-C77D-4BF5-87CC-B4EE79AD1B7E} - C:\Program Files\Common Files\Justdo\Jd2002.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.3.4501.1418\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
O4 - HKLM\..\Run: %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: “C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe”
O4 - HKLM\..\Run: RtHDVCpl.exe
O4 - HKLM\..\Run: C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: C:\Program Files\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: C:\Windows\vsnp2uvc.exe
O4 - HKLM\..\Run: C:\Windows\PLFSetL.exe
O4 - HKLM\..\Run: “C:\Program Files\Launch Manager\LaunchAp.exe”
O4 - HKLM\..\Run: “C:\Program Files\Launch Manager\HotkeyApp.exe”
O4 - HKLM\..\Run: “C:\Program Files\Launch Manager\CtrlVol.exe”
O4 - HKLM\..\Run: “C:\Program Files\Launch Manager\OSD.exe”
O4 - HKLM\..\Run: “C:\Program Files\Launch Manager\Wbutton.exe”
O4 - HKLM\..\Run: “C:\Program Files\Home Cinema\PowerDVD\PDVDServ.exe”
O4 - HKLM\..\Run: “C:\Program Files\Home Cinema\PowerDVD\Language\Language.exe”
O4 - HKLM\..\Run: C:\Program Files\GoogleEULA\EULALauncher.exe
O4 - HKLM\..\Run: C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: “C:\Windows\system32\msconfig.exe” /auto
O4 - HKLM\..\Run: “C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe”
O4 - HKLM\..\Run: “C:\Program Files\Java\jre6\bin\jusched.exe”
O4 - HKLM\..\Run: C:\PROGRA~1\AVG\AVG9\avgtray.exe
O4 - HKCU\..\Run: C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: “C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe”
O4 - HKCU\..\Run: “C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe”
O4 - HKCU\..\Run: “C:\Users\Admin\DOCUME~1\lsass.exe”
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Local security authentication server.lnk = C:\Users\Admin\Documents\lsass.exe
O9 - Extra button: Verzenden naar OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra ‘Tools’ menuitem: Verz&enden naar OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Flash Catcher - {90BAE0EF-F4BF-4FAC-B2EC-2C725C34AF12} - C:\Program Files\Common Files\Justdo\IECatcher.DLL
O9 - Extra ‘Tools’ menuitem: Flash Catcher - {90BAE0EF-F4BF-4FAC-B2EC-2C725C34AF12} - C:\Program Files\Common Files\Justdo\IECatcher.DLL
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://express.foto.com/ImageUploader5.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://virusscanner.telenet.be/fscax.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG9\avgpp.dll
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL,avgrsstx.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Mobiel Apple apparaat (Apple Mobile Device) - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgwdsvc.exe
O23 - Service: Bonjour-service (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - c:\xampp\FileZillaFTP\FileZillaServer.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktopManager.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: iPod-service (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: Softex OmniPass Service (omniserv) - Softex Inc. - C:\Program Files\Softex\OmniPass\OmniServ.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.8\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.0.51b\bin\mysqld-nt.exe
O23 - Service: WisLMSvc - Wistron Corp. - C:\Program Files\Launch Manager\WisLMSvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
–
End of file - 9959 bytes
Download Kaspersky® Virus Removal Tool en sla deze op je bureaublad op
* Start je computer opnieuw op, maar deze keer in de Veilige Modus.
Je kan dit doen door je computer opnieuw op te starten en continue op de F8 toets te drukken totdat er een menu verschijnt.
Gebruik je omhoog pijltje om de Veilige Modus te selecteren en druk daarna op Enter.
* Dubbelklik op het installatie bestand om het programma te installeren.
* Klik 2x achter elkaar op Next.
* Klik op OK in de melding om in de Veilige Modus te scannen.
* Het programma wordt geopend op het tabblad Automatic scan.
* Zorg ervoor dat het volgende onder Automatic scan is aangevinkt.
>System Memory
>Startup Objects
>Disk Boot Sectors.
>My Computer.
>Ook alle andere (verwijderbare) schijven
Klik nadat je dat hebt aangevinkt op Security level, kies Customize, ga naar het tabblad Heuristic Analyzer, vink Enable Deep rootkit search aan en klik op ok.
Klik daarna nogmaals op op OK en je bent weer terug in het hoofd scherm.
* Klik op Scan in de rechter bovenhoek.
* Het programma neutraliseert automatisch alle gevonden objecten.
* Als er nog niet-geneutraliseerde objecten overblijven, klik dan op de knop Neutralize all
* Als er bestanden niet geneutraliseerd kunnen worden, kies dan de delete optie.
* Klik als dat allemaal klaar is op de reports knop aan de onderkant en sla het logje op met als bestandsnaam Kas.
* Sla het logje op een geschikte plaats op (bijvoorbeeld je bureaublad) en kopieer alle gevonden malware uit je log, dit staat bovenaan onder Detected en plak alleen dit in je volgende bericht.
Note: Dit programma zal zichzelf verwijderen wanneer je het programma sluit, dus sla het logje eerst op voordat je het programma afsluit.
http://downloads2.kaspersky-labs.com/devbuilds/AVPTool/
Not found
Heb ondertussen de lsass.exe even hernoemd en process beëindigd via taakbeheer. (verwees naar de geïnfecteerde lsass.exe in documents).
Probleem met flash en USB lijkt opgelost. Ook na reboot.
Maar process lsass wil natuurlijk wel opstarten. Staat in msconfig bij starten onder Local security, maar verwijst nog naar c:\users\admin\documents\lsass.exe.
Gezien dit niet meer bestaat wordt het proces niet opgestart. Maar ook het echte lsass.exe in de windows directory start niet op.
Mag ik dit process gewoon uit “opstarten” verwijderen, en een nieuwe creëren naar de juiste? (Hoe kan ik dat?)
Of gaan er nog andere infecties zijn?
Je weet niet waar Lsass zich overal bevind
Hijackthis
Klik met de rechtermuis op het programma Hijackthis en Kies voor uitvoeren als administrator en dan
'Do a system scan only'
Selecteer alleen de items die hieronder zijn genoemd:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: (no name) - CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
O4 - HKCU\..\Run: “C:\Users\Admin\DOCUME~1\lsass.exe”
O4 - Startup: Local security authentication server.lnk = C:\Users\Admin\Documents\lsass.exe
Klik op ‘Fix checked’ om de items te verwijderen.
Internet Explorer moet gesloten zijn als je Fix Checked klikt
Doe je met deze PC ook Online Banking?
