antimalware doctor

• 

  deDeurs

  04-06-2010 20:34

  Een cadeautje van het land van Berlusconi…

  Antimalware Doctor doet op zich geen kwaad zolang je niets aanklikt, maar het verschijnt bij StartUp en het heeft mijn Norton beveiligingsmelder gegijzeld en ik wil het gewoon kwijt.

  Nu vermeldt de site bleepingcomputer dat je als eerste procedure het progje rkill com moet laten lopen. Het vervelende is, zodra ik het aanklik voor het uitvoeren, doet-ie niks maar zie ik wel de file uit mijn downloadmap verdwijnen. Opgegobbeld door die Doctor? Ik heb de mBam scanner uiteraard ook laten lopen, hij detecteert een en ander en zet het in quarantaine, maar krijgt 'm er niet uit. Hetzelfde met HijackThis, en zelfs een handmatige verwijdering van de AMW Doctor sleutel keert na een herstart gewoon terug in het register.

  Hoe krijg ik die rkill aan het werk??

  Hier de twee logjes:

  Logfile of Trend Micro HijackThis v2.0.2

  Scan saved at 19:59:36, on 4-6-2010

  Platform: Windows Vista SP2 (WinNT 6.00.1906)

  MSIE: Internet Explorer v8.00 (8.00.6001.18904)

  Boot mode: Normal

  Running processes:

  C:\Windows\system32\taskeng.exe

  C:\Windows\system32\Dwm.exe

  C:\Windows\Explorer.EXE

  C:\Users\deDeurs\AppData\Local\Temp\Ash.exe

  C:\Program Files\Windows Defender\MSASCui.exe

  C:\Program Files\Java\jre6\bin\jusched.exe

  C:\Program Files\TOSHIBA\Power Saver\TPwrMain.exe

  C:\Program Files\TOSHIBA\SmoothView\SmoothView.exe

  C:\Program Files\TOSHIBA\FlashCards\TCrdMain.exe

  C:\Program Files\Apoint2K\Apoint.exe

  C:\Windows\System32\ThpSrv.exe

  C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe

  C:\Windows\System32\hkcmd.exe

  C:\Windows\System32\igfxpers.exe

  C:\Windows\RtHDVCpl.exe

  C:\Program Files\Orange\GLOBAL\Mnu\IGOMNU.EXE

  C:\Program Files\Microsoft IntelliType Pro\itype.exe

  C:\Program Files\Apoint2K\ApMsgFwd.exe

  C:\Program Files\Protector Suite QL\psqltray.exe

  C:\Windows\system32\igfxsrvc.exe

  C:\Program Files\Microsoft IntelliType Pro\dpupdchk.exe

  C:\Program Files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe

  C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

  C:\Program Files\Windows Media Player\wmpnscfg.exe

  C:\Users\deDeurs\AppData\Roaming\B33B1F87FA2AC8085BE6A488AC4D637C\gotnewupdate000.exe

  C:\Program Files\Apoint2K\Apntex.exe

  C:\Program Files\TOSHIBA\ConfigFree\CFSwMgr.exe

  C:\Program Files\Norton 360\Engine\4.2.0.12\ccSvcHst.exe

  C:\Windows\system32\wbem\unsecapp.exe

  C:\Program Files\Mozilla Firefox\firefox.exe

  C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl

  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

  R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

  R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

  O1 - Hosts: ::1 localhost

  O2 - BHO: Orange - {10CA15EA-C0A5-7CAF-B9E9-B8B2A87EFE11} - C:\PROGRA~1\Orange\GLOBAL\Mstbr\mstbr.dll

  O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

  O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program Files\Norton 360\Engine\4.2.0.12\coIEPlg.dll

  O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Program Files\Norton 360\Engine\4.2.0.12\IPSBHO.DLL

  O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

  O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

  O3 - Toolbar: Orange - {10CA15EA-C0A5-7CAF-B9E9-B8B2A87EFE11} - C:\PROGRA~1\Orange\GLOBAL\Mstbr\mstbr.dll

  O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

  O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Norton 360\Engine\4.2.0.12\coIEPlg.dll

  O4 - HKLM\..\Run: %ProgramFiles%\Windows Defender\MSASCui.exe -hide

  O4 - HKLM\..\Run: “C:\Program Files\Java\jre6\bin\jusched.exe”

  O4 - HKLM\..\Run: %ProgramFiles%\TOSHIBA\PasswordUtility\TOSDCR.exe

  O4 - HKLM\..\Run: %ProgramFiles%\TOSHIBA\Power Saver\TPwrMain.EXE

  O4 - HKLM\..\Run: %ProgramFiles%\TOSHIBA\TBS\HSON.exe

  O4 - HKLM\..\Run: %ProgramFiles%\Toshiba\SmoothView\SmoothView.exe

  O4 - HKLM\..\Run: %ProgramFiles%\TOSHIBA\FlashCards\TCrdMain.exe

  O4 - HKLM\..\Run: RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart

  O4 - HKLM\..\Run: RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup

  O4 - HKLM\..\Run: RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit

  O4 - HKLM\..\Run: C:\Program Files\Apoint2K\Apoint.exe

  O4 - HKLM\..\Run: “C:\Program Files\Protector Suite QL\launcher.exe” /startup

  O4 - HKLM\..\Run: C:\Windows\system32\thpsrv /logon

  O4 - HKLM\..\Run: NDSTray.exe

  O4 - HKLM\..\Run: c:\Program Files\TOSHIBA\WirelessKeyLogon\TosAutLk.exe -s

  O4 - HKLM\..\Run: C:\Program Files\TOSHIBA\Toshiba Online Product Information\topi.exe -startup

  O4 - HKLM\..\Run: C:\Windows\system32\igfxtray.exe

  O4 - HKLM\..\Run: C:\Windows\system32\hkcmd.exe

  O4 - HKLM\..\Run: C:\Windows\system32\igfxpers.exe

  O4 - HKLM\..\Run: RtHDVCpl.exe

  O4 - HKLM\..\Run: C:\Program Files\Toshiba\Registration\ToshibaRegistration.exe

  O4 - HKLM\..\Run: C:\Program Files\Orange\GLOBAL\Mnu\igomnu.exe /S:T

  O4 - HKLM\..\Run: “C:\Program Files\Microsoft IntelliType Pro\itype.exe”

  O4 - HKLM\..\Run: “C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe”

  O4 - HKLM\..\Run: “C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe”

  O4 - HKLM\..\Run: “C:\Program Files\QuickTime\QTTask.exe” -atboottime

  O4 - HKCU\..\Run: C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe

  O4 - HKCU\..\Run: C:\Program Files\Orange\GLOBAL\Mnu\igomnu.exe /S:T

  O4 - HKCU\..\Run: C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

  O4 - HKCU\..\Run: C:\Program Files\Windows Media Player\WMPNSCFG.exe

  O4 - HKCU\..\Run: C:\Users\deDeurs\AppData\Roaming\B33B1F87FA2AC8085BE6A488AC4D637C\gotnewupdate000.exe

  O4 - HKCU\..\Run: C:\Users\deDeurs\AppData\Local\Temp\Ash.exe

  O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000

  O20 - AppInit_DLLs: C:\Windows\System32\kmon.dll

  O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe

  O23 - Service: Mobiel Apple apparaat (Apple Mobile Device) - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

  O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe

  O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

  O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe

  O23 - Service: Norton 360 (N360) - Symantec Corporation - C:\Program Files\Norton 360\Engine\4.2.0.12\ccSvcHst.exe

  O23 - Service: Planner voor Automatische LiveUpdate - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)

  O23 - Service: TOSHIBA vaste-schijfbeveiliging (Thpsrv) - TOSHIBA Corporation - C:\Windows\system32\ThpSrv.exe

  O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\Windows\system32\TODDSrv.exe

  O23 - Service: TOSHIBA Power Saver (TosCoSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe

  –

  End of file - 7491 bytes

  ———————————

  Malwarebytes' Anti-Malware 1.46

  www.malwarebytes.org

  Databaseversie: 4052

  Windows 6.0.6002 Service Pack 2

  Internet Explorer 8.0.6001.18904

  4-6-2010 20:12:56

  mbam-log-voor Prikbord

  Scantype: Snelle scan

  Objecten gescand: 115900

  Verstreken tijd: 5 minuut/minuten, 54 seconde(n)

  Geheugenprocessen geïnfecteerd: 0

  Geheugenmodulen geïnfecteerd: 0

  Registersleutels geïnfecteerd: 3

  Registerwaarden geïnfecteerd: 0

  Registerdata geïnfecteerd: 0

  Mappen geïnfecteerd: 0

  Bestanden geïnfecteerd: 5

  Geheugenprocessen geïnfecteerd:

  (Geen kwaadaardige objecten gedetecteerd)

  Geheugenmodulen geïnfecteerd:

  (Geen kwaadaardige objecten gedetecteerd)

  Registersleutels geïnfecteerd:

  HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken.

  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Rogue.AntimalwareDoctor) -> No action taken.

  HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> No action taken.

  Registerwaarden geïnfecteerd:

  (Geen kwaadaardige objecten gedetecteerd)

  Registerdata geïnfecteerd:

  (Geen kwaadaardige objecten gedetecteerd)

  Mappen geïnfecteerd:

  (Geen kwaadaardige objecten gedetecteerd)

  Bestanden geïnfecteerd:

  C:\Users\deDeurs\AppData\Local\Temp\cjxaymdn.exe (Trojan.Downloader) -> No action taken.

  C:\Users\deDeurs\AppData\Local\Temp\cxgxdna.exe (Trojan.Downloader) -> No action taken.

  C:\Users\deDeurs\AppData\Local\Temp\ecpaagh.exe (Trojan.Downloader) -> No action taken.

  C:\Users\deDeurs\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> No action taken.

  C:\Users\deDeurs\AppData\Roaming\Microsoft\Windows\Start Menu\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> No action taken.

  Rapporteren
• 

  Jos H

  04-06-2010 22:50

  Waarom de gevonden items bij malwarebytes niet aangevinkt voor verwijdering.?

  Na de scan.

  Bestanden geïnfecteerd:

  C:\Users\deDeurs\AppData\Local\Temp\cjxaymdn.exe (Trojan.Downloader) -> No action taken.

  C:\Users\deDeurs\AppData\Local\Temp\cxgxdna.exe (Trojan.Downloader) -> No action taken.

  C:\Users\deDeurs\AppData\Local\Temp\ecpaagh.exe (Trojan.Downloader) -> No action taken.

  C:\Users\deDeurs\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> No action taken.

  C:\Users\deDeurs\AppData\Roaming\Microsoft\Windows\Start Menu\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> No action taken.

  Rapporteren
• 

  deDeurs

  04-06-2010 23:23

  Ah ja, sorry, dat was de tweede of derde scan, toen heb ik niets gedaan. Bij andere scans heb ik de boel wel in quarantaine gezet.

  Ik krijg overigens allerlei rare meldingen, Java Sun probeert iets te downloaden en vervolgens krijg ik een melding van een ‘ernstige inbraakpoging’ of zoiets. Ik klikte Hijack nog een keer open, en toen deed mijn pc een afsluit & herstart. En zo gebeurt er steeds wat.

  Dit is een mBam scan van een paar minuten geleden:

  Malwarebytes' Anti-Malware 1.46

  www.malwarebytes.org

  Databaseversie: 4052

  Windows 6.0.6002 Service Pack 2

  Internet Explorer 8.0.6001.18904

  4-6-2010 23:19:35

  mbam-log-2010-06-04 (23-19-35).txt

  Scantype: Snelle scan

  Objecten gescand: 115827

  Verstreken tijd: 5 minuut/minuten, 58 seconde(n)

  Geheugenprocessen geïnfecteerd: 0

  Geheugenmodulen geïnfecteerd: 0

  Registersleutels geïnfecteerd: 3

  Registerwaarden geïnfecteerd: 0

  Registerdata geïnfecteerd: 0

  Mappen geïnfecteerd: 0

  Bestanden geïnfecteerd: 0

  Geheugenprocessen geïnfecteerd:

  (Geen kwaadaardige objecten gedetecteerd)

  Geheugenmodulen geïnfecteerd:

  (Geen kwaadaardige objecten gedetecteerd)

  Registersleutels geïnfecteerd:

  HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.

  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.

  HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.

  Registerwaarden geïnfecteerd:

  (Geen kwaadaardige objecten gedetecteerd)

  Registerdata geïnfecteerd:

  (Geen kwaadaardige objecten gedetecteerd)

  Mappen geïnfecteerd:

  (Geen kwaadaardige objecten gedetecteerd)

  Rapporteren
• 

  deDeurs

  05-06-2010 08:03

  Volgens mij gaat het helemaal goedkomen als ik die rkill kan laten runnen…maar daar loop ik dus op stuk.

  Rapporteren
• 

  deDeurs

  08-06-2010 11:08

  Ter completering: ik kreeg het niet weg en heb een herinstallatie gedaan. Ach, altijd lekker 's zomers, een fris kort koppie…

  Maar wat ik me afvraag - en niet heb kunnen vinden - is hoe nieuw of oud is deze trojaan? Ik krijg toch de indruk dat verschillende scanners ‘m niet kennen. Malwarebytes wel, maar die kreeg ’m er niet uit. ‘Doet op zich geen kwaad’ meldde ik, maar daar zat ik flink naast, het is een viezerdje.

  Rapporteren
• 

  Teaser

  08-06-2010 16:30

  In 2de instantie had mbam hem er wel uit.

  Als daarna systeem herstel geleegd was had je redelijk kans gehad dat je hem kwijt was

  Rapporteren
• 

  deDeurs

  08-06-2010 17:23

  O.

  Had mBam dat niet even kunnen vermelden?

  Nou ja, eens in de 2 jaar laat ik een kilo scanners los op m'n usb data en doe ik een herinstal, hoe vaker je dat doet, hoe handiger je er in wordt en hoe sneller je je instellingen er weer op hebt staan. En alle mumsels zijn er dan weer uit. Voor een tijdje.

  Rapporteren
• 

  Teaser

  08-06-2010 19:12

  Niet alle rotzooi/bagger is na een herinstallatie weg hoor ()

  Rapporteren
• 

  Hek

  10-06-2010 13:00

  De file die je hebt gedownload heet rkill.com volgens mij moet dit een .exe file zijn. Probeer eens de bestandsextensie. com te veranderen in .exe en start dan nog eens de procedure. Dus rkill.exe.

  Succes.

  Rapporteren