Trojan-Downloader Agent DUJ

• 

  Marco

  29-08-2009 01:11

  Ik heb het script gevolgd alvorens een logje te plaatsen. Hierbij log HijackThis:

  Logfile of Trend Micro HijackThis v2.0.2

  Scan saved at 0:52:05, on 29-8-2009

  Platform: Windows XP SP3 (WinNT 5.01.2600)

  MSIE: Internet Explorer v7.00 (7.00.6000.16876)

  Boot mode: Normal

  Running processes:

  C:\WINDOWS\System32\smss.exe

  C:\WINDOWS\system32\csrss.exe

  C:\WINDOWS\system32\winlogon.exe

  C:\WINDOWS\system32\services.exe

  C:\WINDOWS\system32\lsass.exe

  C:\WINDOWS\system32\svchost.exe

  C:\WINDOWS\system32\svchost.exe

  C:\WINDOWS\System32\svchost.exe

  C:\WINDOWS\system32\svchost.exe

  C:\WINDOWS\system32\svchost.exe

  C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

  C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe

  C:\Program Files\Alwil Software\Avast4\ashServ.exe

  C:\WINDOWS\Explorer.EXE

  C:\WINDOWS\system32\spoolsv.exe

  C:\Program Files\Alwil Software\Avast4\setup\avast.setup

  C:\WINDOWS\system32\svchost.exe

  C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

  C:\WINDOWS\System32\svchost.exe

  C:\Program Files\Java\jre6\bin\jqs.exe

  C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

  C:\Program Files\Spyware Doctor\pctsAuxs.exe

  C:\Program Files\Spyware Doctor\pctsSvc.exe

  C:\WINDOWS\SOUNDMAN.EXE

  C:\Program Files\QuickTime\qttask.exe

  C:\Program Files\Java\jre6\bin\jusched.exe

  C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

  C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

  C:\Program Files\Spyware Doctor\pctsTray.exe

  C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

  C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe

  C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe

  C:\WINDOWS\system32\ctfmon.exe

  C:\WINDOWS\system32\svchost.exe

  C:\Program Files\Macrogaming\SweetIM\SweetIM.exe

  C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

  C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

  C:\Program Files\Windows Media Player\WMPNSCFG.exe

  C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

  C:\Program Files\SEC\Natural Color\NaturalColorLoad.exe

  C:\Program Files\Windows Media Player\WMPNetwk.exe

  C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

  C:\WINDOWS\system32\wbem\wmiprvse.exe

  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://nl.msn.com//

  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

  R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer aangeboden door 12Move

  R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen

  R3 - URLSearchHook: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)

  F3 - REG:win.ini: load=

  O2 - BHO: Adobe PDF Reader Help bij koppelingen - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

  O2 - BHO: UrlHelper Class - {474597C5-AB09-49d6-A4D5-2E8D7341384E} - C:\Program Files\iMesh Applications\iMesh MediaBar\iMeshIEHelper.dll

  O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

  O2 - BHO: Java™ Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll

  O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

  O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.15642\swg.dll

  O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

  O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

  O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

  O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

  O3 - Toolbar: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)

  O4 - HKLM\..\Run: SOUNDMAN.EXE

  O4 - HKLM\..\Run: C:\WINDOWS\system32\NeroCheck.exe

  O4 - HKLM\..\Run: “C:\Program Files\QuickTime\qttask.exe” -atboottime

  O4 - HKLM\..\Run: “C:\Program Files\Java\jre6\bin\jusched.exe”

  O4 - HKLM\..\Run: C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

  O4 - HKLM\..\Run: “C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe” /startup

  O4 - HKLM\..\Run: “C:\Program Files\Spyware Doctor\pctsTray.exe”

  O4 - HKLM\..\Run: “C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe”

  O4 - HKLM\..\Run: C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe

  O4 - HKLM\..\Run: C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

  O4 - HKCU\..\Run: C:\WINDOWS\system32\ctfmon.exe

  O4 - HKCU\..\Run: “C:\Program Files\Ahead\Nero BackItUp\NBJ.exe”

  O4 - HKCU\..\Run: C:\Program Files\Macrogaming\SweetIM\SweetIM.exe

  O4 - HKCU\..\Run: C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

  O4 - HKCU\..\Run: C:\Program Files\Windows Media Player\WMPNSCFG.exe

  O4 - HKCU\..\Run: C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

  O4 - HKUS\S-1-5-19\..\Run: C:\WINDOWS\system32\CTFMON.EXE (User ‘Lokale service’)

  O4 - HKUS\S-1-5-20\..\Run: C:\WINDOWS\system32\CTFMON.EXE (User ‘Netwerkservice’)

  O4 - HKUS\S-1-5-18\..\Run: C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’)

  O4 - HKUS\.DEFAULT\..\Run: C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’)

  O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

  O4 - Global Startup: NaturalColorLoad.lnk = ?

  O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm

  O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

  O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

  O9 - Extra ‘Tools’ menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

  O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

  O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

  O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

  O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

  O14 - IERESET.INF: START_PAGE_URL=http://www.12move.nl

  O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab

  O16 - DPF: {745395C8-D0E1-4227-8586-624CA9A10A8D} (AxisMediaControl Class) - http://61.60.112.230/activex/AMC.cab

  O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://91.137.12.2/activex/AxisCamControl.cab

  O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f012.mail.lycos.nl/app/uploader/FileUploader.cab

  O16 - DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} (AxisMediaControlEmb Class) - http://128.230.73.133/activex/AMC.cab

  O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL

  O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

  O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

  O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

  O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

  O23 - Service: Google Desktop Manager 5.7.806.10245 (GoogleDesktopManager-061008-081103) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

  O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

  O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

  O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

  O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe

  O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe

  O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe

  –

  End of file - 9373 bytes

  Ik hoop dat iemand me kan helpen om deze trojan van de pc af te krijgen. Helaas ben ik de hele avond bezig geweest en moet ik nu wel gaan slapen. Zaterdagochtend om 08.00 uur zal ik de pc weer opstarten om te zien of er een reactie is. Voor diegene die gaat reageren alvast dank!

  Rapporteren
• 

  Argus

  29-08-2009 08:25

  Als nu eerst eens verteld waar het virus gevonden word

  Rapporteren
• 

  Marco

  29-08-2009 09:40

  Virus gevonden via spywaredoctor. Maar is een tijdelijke versie en kan de trojan er daardoor niet uit krijgen.

  Rapporteren
• 

  Argus

  29-08-2009 13:47

  Bij Google Pack kun je SD downloaden die ook verwijderd http://pack.google.com/intl/nl/pack_installer.html?hl=nl

  Rapporteren
• 

  Marco

  30-08-2009 17:53

  Argus,

  Wat je adviseert staat op de pc. Ik ben dus nog niet geholpen. Kom je in de log geen rare dingen tegen? Helaas kan ik het probleem van deze pc nog niet oplossen (overigens is het de pc van mijn pa die ik al gewaarschuwd heb dat hij voortaan niet allerlei videobestanden die hij per email binnenkrijgt meer moet lezen of anders selectief en de mailer heb ik gemaild dat ze oplet dat ze niet zomaar alles klakkeloos doormailt ivm virusgevaar)

  Rapporteren
• 

  Marco

  30-08-2009 19:03

  HERSTREL:

  Rechtsonder zie ik een icoon tje. Een rood icoontje met een gele ster er in. Maar als ik dubbelklik slaat het programma vast. Als ik ook op START en ik wil DEZE COMPUTER aanklikken slaat de pc ook vast. Wie o wie kan me helpen.

  Rapporteren
• 

  Argus

  31-08-2009 01:30

  Bij “VOER DIT EERST UIT, VOORDAT JE DE LOGJES PLAATST!!” onder punt 7 staat iets en dat zie ik hier niet

  Rapporteren
• 

  Ruudje

  01-09-2009 00:00

  Argus Schreef:

  ——————————————————-

  > Als nu eerst eens verteld waar het virus gevonden word.

  Marco Schreef:

  ——————————————————-

  > Virus gevonden via spywaredoctor.

  Lezen is ook een kunst, er wordt niet gevraagd WIE maar WAAR.

  ————————————————————————————————————–

  Marco Schreef:

  ——————————————————-

  > Maar is een tijdelijke versie en kan de trojan er daardoor niet uit krijgen.

  Argus Schreef:

  ——————————————————-

  > Bij Google Pack kun je SD downloaden die ook verwijderd

  Marco Schreef:

  ——————————————————-

  > Wat je adviseert staat op de pc. Ik ben dus nog niet geholpen.

  Dat ben je wel als je de raad maar goed begrijpt.

  Wat Argus bedoelt is dat je die trailversie moet verwijderen.

  ————————————————————————————————————–

  Argus Schreef:

  ——————————————————-

  > Bij “VOER DIT EERST UIT, VOORDAT JE DE LOGJES PLAATST!!” onder punt 7 staat iets

  > Dat zie ik hier niet

  Je moet wel alles uitvoeren anders kan Argus geen goed advies geven om het probleem op te lossen.

  Rapporteren