mogelijk virus

De Enige Echte Fritsie

28-11-2009 10:38

Goedemorgen allemaal,
sinds een paar dagen is de vaart een beetje uit de pc en ook uit de downloadsnelheid.Eeen constant in bedrijf zijnde hdd en een steeds oplichtend blauw rondje bij de mousepointer doet mij sterk vermoeden dat een virus actief is.
Ik heb alle stappen doorlopen die eerst gedaan moeten worden voordat je hier de logs mag plaatsen.
De logs van Mbam en Hijackthis staan hieronder.
Wie kan mij helpen?
groeten,
Frits.
alwarebytes' Anti-Malware 1.41
Database versie: 3242
Windows 6.0.6002 Service Pack 2 (Safe Mode)
28-11-2009 10:10:34
mbam-log-2009-11-28 (10-10-34).txt
Scan type: Volledige Scan (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|K:\|L:\|M:\|N:\|)
Objecten gescand: 228500
Verstreken tijd: 1 hour(s), 34 minute(s), 45 second(s)
Geheugenprocessen geïnfecteerd: 0
Geheugenmodulen geïnfecteerd: 0
Registersleutels geïnfecteerd: 0
Registerwaarden geïnfecteerd: 0
Registerdata bestanden geïnfecteerd: 0
Mappen geïnfecteerd: 0
Bestanden geïnfecteerd: 3
Geheugenprocessen geïnfecteerd:
(Geen kwaadaardige items gevonden)
Geheugenmodulen geïnfecteerd:
(Geen kwaadaardige items gevonden)
Registersleutels geïnfecteerd:
(Geen kwaadaardige items gevonden)
Registerwaarden geïnfecteerd:
(Geen kwaadaardige items gevonden)
Registerdata bestanden geïnfecteerd:
(Geen kwaadaardige items gevonden)
Mappen geïnfecteerd:
(Geen kwaadaardige items gevonden)
Bestanden geïnfecteerd:
N:\news\antivirus\AVG Keygen\AVG_keygen\keygen.exe (Malware.Tool) -> Quarantined and deleted successfully.
N:\news\antivirus\AVG Keygen\Embrace\embrace.keygen.exe (Malware.Tool) -> Quarantined and deleted successfully.
N:\news\pda-software\SKMenu v1.7.10\Keygen.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:28:13, on 28-11-2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18828)
Boot mode: Normal
Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\Program Files\Windows Defender\MSASCui.exe
D:\CyberLink\PowerDVD8\PowerDVD8\PDVD8Serv.exe
C:\Program Files\Cyberlink\Shared Files\brs.exe
C:\Windows\WindowsMobile\wmdc.exe
D:\Unlocker\UnlockerAssistant.exe
D:\iTunes\iTunesHelper.exe
C:\Windows\SOUNDMAN.EXE
C:\Windows\System32\CtHelper.exe
C:\Program Files\Java\jre6\bin\jusched.exe
D:\HTC\HTC Sync\Application Launcher\Application Launcher.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Common Files\Teleca Shared\Generic.exe
C:\Program Files\Common Files\Teleca Shared\logger.exe
C:\Program Files\Common Files\Teleca Shared\CapabilityManager.exe
D:\HTC\HTC Sync\ClientInitiatedStarter\ClientInitiatedStarter.exe
D:\HTC\HTC Sync\Mobile Phone Monitor\epmworker.exe
D:\HTC\HTC Sync\Mobile Phone Monitor\DbgOut.exe
D:\HTC\HTC Sync\Mobile Phone Monitor\HTCVBTServer.exe
D:\HTC\HTC Sync\Mobile Phone Monitor\FsynSrvStarter.exe
D:\Malwarebytes' Anti-Malware\mbam.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\Macromed\Flash\FlashUtil10c.exe
C:\Users\Bram\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\NIN50QNQ\HijackThis.exe
C:\Windows\system32\wuauclt.exe
D:\Hijackthis\HijackThis.exe
C:\Windows\system32\SearchFilterHost.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/ig?hl=nl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll (file missing)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Aanmeldhulp voor Windows Live ID - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: CTXFIHLP.EXE
O4 - HKLM\..\Run: C:\Program Files\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: D:\CyberLink\PowerDVD8\PowerDVD8\PDVD8Serv.exe
O4 - HKLM\..\Run: D:\CyberLink\PowerDVD8\PowerDVD8\Language\Language.exe
O4 - HKLM\..\Run: C:\Program Files\Cyberlink\Shared Files\brs.exe
O4 - HKLM\..\Run: %windir%\WindowsMobile\wmdc.exe
O4 - HKLM\..\Run: “D:\Nero 8\Nero BackItUp\NBKeyScan.exe”
O4 - HKLM\..\Run: C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: “C:\Program Files\QuickTime\QTTask.exe” -atboottime
O4 - HKLM\..\Run: “D:\Unlocker\UnlockerAssistant.exe”
O4 - HKLM\..\Run: “D:\Adobe\Reader 9.0\Reader\Reader_sl.exe”
O4 - HKLM\..\Run: “D:\iTunes\iTunesHelper.exe”
O4 - HKLM\..\Run: “C:\Program Files\Nokia\Nokia Music\NokiaMusic.exe” /command:faststart
O4 - HKLM\..\Run: “C:\Program Files\Eset\nod32kui.exe” /WAITSERVICE
O4 - HKLM\..\Run: SOUNDMAN.EXE
O4 - HKLM\..\Run: CTHELPER.EXE
O4 - HKLM\..\Run: nod143.exe
O4 - HKLM\..\Run: “C:\Program Files\Java\jre6\bin\jusched.exe”
O4 - HKLM\..\Run: “D:\HTC\HTC Sync\Application Launcher\Application Launcher.exe” /startoptions
O4 - HKLM\..\Run: “C:\Program Files\Spyware Doctor\pctsTray.exe”
O4 - HKLM\..\Run: “D:\Malwarebytes' Anti-Malware\mbam.exe” /runcleanupscript
O4 - HKLM\..\RunServices: nod143.exe
O4 - HKCU\..\Run: C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: “C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe”
O4 - HKCU\..\Run: C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: “C:\Program Files\Windows Live\Messenger\msnmsgr.exe” /background
O4 - HKCU\..\Run: C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User ‘LOCAL SERVICE’)
O4 - HKUS\S-1-5-19\..\Run: rundll32.exe oobefldr.dll,ShowWelcomeCenter (User ‘LOCAL SERVICE’)
O4 - HKUS\S-1-5-20\..\Run: %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User ‘NETWORK SERVICE’)
O4 - HKUS\S-1-5-18\..\Run: C:\Windows\system32\READREG /SILENT /FAIL=1 (User ‘SYSTEEM’)
O4 - HKUS\.DEFAULT\..\Run: C:\Windows\system32\READREG /SILENT /FAIL=1 (User ‘Default user’)
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://D:\MSOFFI~1\Office12\EXCEL.EXE/3000
O9 - Extra button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra ‘Tools’ menuitem: @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\MSOFFI~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra ‘Tools’ menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Mobiel Apple apparaat (Apple Mobile Device) - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-service (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-service (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
–
End of file - 9399 bytes
De Enige Echte Fritsie

28-11-2009 10:40

PS: mijn cpu-gebruik ligt constant tussen de 61 en 100% terwijl ik niets doe achter de pc.
Druk virusje lijkt mij…… :-)
Argus

28-11-2009 11:45

Hijack This maakt Back-Ups
Door Hijack This in de Tempfile te plaatsen kun je de Backups gemakkelijk verliezen met een cleaner
Argus

28-11-2009 11:49

Sluit alle vensters en start Hijack This
Klik met de rechtermuis op het programma Hijackthis en Kies voor uitvoeren als administrator en dan
Klik:Do a Systemscan only
Zet een vinkje in het hokje voor:
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll (file missing)
O4 - HKLM\..\Run: nod143.exe
O4 - HKLM\..\RunServices: nod143.exe
Klik op ‘Fix checked’ om de items te verwijderen.
Internet Explorer moet gesloten zijn als je Fix Checked klikt
Vreemd dat NOD32 deze infectie niet heeft gevonden
De Enige Echte Fritsie

28-11-2009 12:22

Hallo Argus, dank voor je reactie.
Ik heb gedaan wat je gezegd hebt.
Voor alle zekerheid even herstart gedaan en helaas is mijn cpu nog steeds druk bezig.
Ook de hdd is nog overactief en zie ik om de paar seconden mijn mousepointer flikkeren met het blauwe rondje erbij. Kennelijk gebeurt er dus nog van alles achter de schermen waar ik geen zicht op heb.
Heb je nog meer suggesties?
Met nod32 ben ik al langere tijd niet meer zo happy. Misschien heb je nog een alternatief voor mij?
groeten,
Frits.
ps: ik heb Hijackthis inmiddels niet meer in de temp-file.
ps2: heb mijn modem net gereset.De downloadsnelheid is nu weer okee.
Wat blijft is de vreemde mousepointeractiviteit die er voorheen niet was en een voor mij onverklaarbare hoge cpu-activiteit terwijl ik niets achter de pc doe….
Argus

28-11-2009 12:44

Download Kaspersky® Virus Removal Tool naar je Bureaublad
http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/
Platform:
Windows 2000 Professional (Service Pack 4 or higher)
Windows XP (Service Pack 2 or higher)
Windows Vista (32-Bit)
Start op in veilige Modus
Dubbelklik op het installatie bestand om het programma te installeren
Zet een vinkje voor:
1.Deze Computer
2.Ook alle andere (verwijderbare) schijven
Hoe meer men aanvinkt,hoe langer de scan duurt
Klik: Scan
Klik daarna gelijk weer op Stop
Ga naar tabblad Settings>>Change Settings
Klik bij Security Levels>>Customize
Klik tabblad Heuristic analyzer en zet nu een vinkje bij Enable deep rootkit search
Klik OK en daarna nogmaals OK
Klick Start
Als er infecties zijn gevonden klik Neutralize all
Klik: Reports >>Save to file >>Geef het log een naam b.v AVP.txt en sla het op je Bureaublad op
Sluit AVP en er komt de volgende vraag,klik Yes
Kopïeer nu de inhoud van het Log in het Forum als daar om gevraagd word
Verwijder in normal Modus de Installer van AVP
De Enige Echte Fritsie

28-11-2009 12:47

okee, thanks. Ik ga aan de slag.
Zie aub ook mijn ps in met vorige bericht. Dat plaatste ik vrijwel gelijktijdig met jouw reactie.
MIsschien dat je er iets mee kunt en verandert er iets aan je antwoord.
nogmaals dank,
Frits.
Argus

29-11-2009 09:10

Als alternatief voor NOD32 zou ik voor target="_blank">Kaspersky gaan
Kaspersky is hier alleen Online te bestellen
Kaspersky heeft een ook een Forum die via de scanner te bereiken is (NL)
Download eens een Trail-versie
De Enige Echte Fritsie

29-11-2009 10:33

Hoi, dank voor de support.
Het systeem draait inmiddels weer naar behoren.
groeten, Frits
Argus

29-11-2009 11:08

Systeemherstel
Schakel Systeemherstel uit. Herstart de computer. Schakel Systeemherstel weer in.
Kijk hier hoe je je systeemherstel moet uitschakelen