Wie kan mij helpen met trojan Virus :(

• 

  renate

  02-02-2012 16:16

  Hoi Ben,

  Ik was net bezig met AVG en zo als het er nu uit ziet kan AVG de trojan niet meer vinden want normaal als ik scan vind die deze gelijk al na 2 min,nu zit die al op bijna 60%

  Ik zal nadat AVG klaar is nog CCcleaner laten draaien en nog even Hijack laten draaien voor een nieuwe log.

  Je hoort straks van me (ik heb trouwens nog niets met TDDSKiller gedaan hoor alleen gescand en de log geplaats (dus voor de rest niets verwijderd of in quarantaine geplaats)

  (De pc is aanzienlijk veel sneller en opstarten ging ook veel sneller!!)

  Groetjes Renate

  Rapporteren
• 

  renate

  02-02-2012 16:35

  Hoi Ben,

  AVG kon geen trojan meer vinden (hier de Hijack log) klopt het trouwens dat Hijack deze keer gelijk met de log kwam? het duurde niet echt lang normaal duurt het zeker 10 min en zie je het blauwe venstertje deze kwam niet in beeld.

  Groetjes Renate

  Logfile of Trend Micro HijackThis v2.0.4

  Scan saved at 16:30:59, on 2-2-2012

  Platform: Windows XP SP3 (WinNT 5.01.2600)

  MSIE: Internet Explorer v8.00 (8.00.6001.18702)

  Boot mode: Normal

  Running processes:

  C:\WINDOWS\System32\smss.exe

  C:\PROGRA~1\AVG\AVG10\avgchsvx.exe

  C:\WINDOWS\system32\winlogon.exe

  C:\WINDOWS\system32\services.exe

  C:\WINDOWS\system32\lsass.exe

  C:\WINDOWS\system32\svchost.exe

  C:\WINDOWS\System32\svchost.exe

  C:\WINDOWS\system32\svchost.exe

  C:\WINDOWS\system32\spoolsv.exe

  C:\Program Files\Uniblue\RegistryBooster\rbmonitor.exe

  C:\WINDOWS\Explorer.EXE

  C:\WINDOWS\RTHDCPL.EXE

  C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe

  C:\WINDOWS\system32\RunDLL32.exe

  C:\Program Files\AVG\AVG10\avgtray.exe

  C:\Program Files\AVG\AVG10\Identity Protection\agent\bin\avgidsmonitor.exe

  C:\Program Files\AVG\AVG10\avgfws.exe

  C:\Program Files\AVG\AVG10\avgwdsvc.exe

  C:\Program Files\Java\jre6\bin\jqs.exe

  C:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe

  C:\WINDOWS\system32\svchost.exe

  C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE

  C:\Program Files\AVG\AVG10\Identity Protection\Agent\Bin\AVGIDSAgent.exe

  C:\Program Files\AVG\AVG10\avgam.exe

  C:\Program Files\AVG\AVG10\avgnsx.exe

  C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe

  C:\WINDOWS\system32\ctfmon.exe

  C:\Program Files\AVG\AVG10\avgcsrvx.exe

  C:\PROGRA~1\AVG\AVG10\avgrsx.exe

  C:\Program Files\AVG\AVG10\avgcsrvx.exe

  C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.zeelandnet.nl/index.php

  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

  R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

  R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

  R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen

  O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

  O2 - BHO: Increase performance and video formats for your HTML5 - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Program Files\DivX\DivX Plus Web Player\ie\DivXHTML5\DivXHTML5.dll

  O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG10\avgssie.dll

  O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

  O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

  O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

  O4 - HKLM\..\Run: RTHDCPL.EXE

  O4 - HKLM\..\Run: SkyTel.EXE

  O4 - HKLM\..\Run: C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe

  O4 - HKLM\..\Run: RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

  O4 - HKLM\..\Run: RunDLL32.exe NvMCTray.dll,NvTaskbarInit -login

  O4 - HKLM\..\Run: C:\Program Files\NVIDIA Corporation\nView\nwiz.exe /installquiet

  O4 - HKLM\..\Run: C:\Program Files\AVG\AVG10\avgtray.exe

  O4 - HKCU\..\Run: C:\WINDOWS\system32\ctfmon.exe

  O4 - HKUS\S-1-5-18\..\Run: C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’)

  O4 - HKUS\.DEFAULT\..\Run: C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’)

  O9 - Extra button: In weblog opnemen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

  O9 - Extra ‘Tools’ menuitem: &In weblog opnemen met Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

  O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\OFFICE11\REFIEBAR.DLL

  O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

  O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

  O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

  O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

  O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab

  O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1251997954859

  O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - http://download.eset.com/special/eos/OnlineScanner.cab

  O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

  O16 - DPF: {E77F23EB-E7AB-4502-8F37-247DBAF1A147} (Windows Live Hotmail Photo Upload Tool) - http://gfx1.hotmail.com/mail/w4/pr01/photouploadcontrol/MSNPUpld.cab

  O16 - DPF: {EDFCB7CB-942C-4822-AF14-F0B687409848} (Image Uploader Control) - http://cache.hyves-static.net/statics/Aurigma/ImageUploader4.cab

  O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG10\avgpp.dll

  O22 - SharedTaskScheduler: Preloader van browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

  O22 - SharedTaskScheduler: Cache-daemon voor onderdeelcategorieën - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

  O23 - Service: AVG Firewall (avgfws) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG10\avgfws.exe

  O23 - Service: AVGIDSAgent - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG10\Identity Protection\Agent\Bin\AVGIDSAgent.exe

  O23 - Service: AVG WatchDog (avgwd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG10\avgwdsvc.exe

  O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

  O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

  O23 - Service: Pml Driver HPH11 - HP - C:\WINDOWS\system32\HPHipm11.exe

  O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

  O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - C:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe

  –

  End of file - 7092 bytes

  Rapporteren
• 

  Ben

  02-02-2012 19:31

  Hallo renate,

  Tdss heeft je trojan verwijderd.

  Doe de volgende stappen:

  Mbam mag je laten staan daar kan je je pc één maal in de week mee scannen (eerst mbam updaten dan scannen)

  1. Download OTC.exe (by OldTimer)

  • Plaats het bestand op je bureaublad.

  • Zorg dat er een internetverbinding is.

  • Klik vervolgens met je rechtermuisknop op OTCleanIt.exe en kies voor Run as Administrator (Nederlands: Uitvoeren als Administrator) om het programma te starten.

  • Lukt dat niet , doen dan dubbelklikken op het icoon.

  • Klik nu op de knop “CleanUp!”

  • Als je firewall, of een ander beveiligingsprogramma, een waarschuwing geeft dat OTC.exe internettoegang wil, mag je dit toestaan, het programma heeft die connectie nodig.

  • OTC zal als laatste vragen of je de computer herstarten wilt, dit mag je toestaan, hiermee verwijdert het zichzelf ook.

  Nota: Het gebruik van OTC.exe zal alle gebruikte tools(inclusief bijbehorende logs en backupmappen) van je computer doen verwijderen.

  2.Je Java up-to-date houden.

  Oudere versies hebben lekken die malware de kans geeft om zich te installeren op je systeem.

  Ga naar Java SE 7u2 en download daar de juiste Java versie naar uw bureaublad, 32 of 64 bit.

  

  •Sluit alle programma's die eventueel open zijn - Zeker je web browser!

  •Ga dan naar Start > Configuratiescherm > Software en verwijder alle oudere versies van Java uit de Softwarelijst.

  •Vink alles aan met Java Runtime Environment (JRE of J2SE) in de naam.

  •Klik dan op Verwijderen of op de Wijzig/Verwijder knop.

  •Herhaal dit tot alle oudere versies verdwenen zijn.

  •Na het verwijderen van alle oudere versies, herstart je pc.

  •Dubbelklik vervolgens op jre-7-windows-x64 / x86 op je Bureaublad om de nieuwste versie van Java te installeren.

  3. Draai Ccleaner nog een keer.

  4. Verwijder je oude systeempunten want daar kunnen nog besmettingen in zitten.

  Windows XP

  Rechtsklik op Deze Computer.

  Kies voor Eigenschappen.

  Ga naar het tabblad Systeemherstel.

  Plaats een vinkje bij “Systeemherstel op alle stations uitschakelen”.

  Herstart je pc en zet dan het vinkje weer terug.

  5. Verander voor de zekerheid ook nog even al je wachtwoorden.

  6. En als laatste een pluim voor je zelf (tu)

  Gr.Ben

  

  Rapporteren
• 

  renate

  02-02-2012 21:32

  Hoi Ben,

  super!!! ik ben erg blij de pc loopt als een jekko ik heb inmiddels otc.exe laten draaien maar ik zie nog steeds 2 mappen staan onder C (Tdsskiller quarantine Map 106 Mb en Qoobox map 0 bytes) kan ik deze mappen gewoon verwijderen?

  En het enige wat ik tegen kwam onder software was Java ™ 6 update 26 in de lijst kan ik deze ook verwijderen?

  Ook op mijn beeldscherm staan 2 internet explorer icoontjes welke mag ik daar van weggooien? de allereerste die er altijd al stond of moet ik de laaste verwijderen?

  Ja een echte leek hé lol (ik wou dat ik net als jullie er zoveel verstand van had) en ik had nog een vraagje ik heb uniblue register booster en ik moet zeggen dat het best wel een goed werkend bestandje is maar is dat ook wel zo?? of geeft deze conflicten?

  Groetjes Renate

  Rapporteren
• 

  fazantje

  02-02-2012 21:55

  Hoi Renate,

  Je schreef:

  >>>maar ik zie nog steeds 2 mappen staan onder C (Tdsskiller quarantine Map 106 Mb en Qoobox map 0 bytes) kan ik deze mappen gewoon verwijderen? <<<

  Ja

  >>>En het enige wat ik tegen kwam onder software was Java ™ 6 update 26 in de lijst kan ik deze ook verwijderen? <<<

  Ja

  >>>Ook op mijn beeldscherm staan 2 internet explorer icoontjes welke mag ik daar van weggooien? de allereerste die er altijd al stond of moet ik de laaste verwijderen? <<<

  Weken ze allebei, dan kun je gerust er 1 weg doen.

  >>>Ik had nog een vraagje ik heb uniblue register booster en ik moet zeggen dat het best wel een goed werkend bestandje is maar is dat ook wel zo?? of geeft deze conflicten?<<<

  Heb je de betaalversie:S

  Iedereen heeft zo zijn/haar voorkeuren qua verwijderprogramma's.

  Ccleaner heeft qua register opschoning een zelfde werking, dus ik vind het een overbodig programma als er voor betaald moet worden.

  Ook zag ik nog Simply Super Software, verwijder deze vanuit: start - configuratiescherm - software.

  Laat hierna Ccleaner weer draaien en je ziet dat deze ook de registers op schoont.

  Doe wekelijks een scan met MBAM, wel eerst altijd updaten.

  Alles wat ie vind, zorgen dat er vinkjes voor staan en verwijderen.

  Succes,

  Huib;)

  

  Rapporteren
• 

  renate

  02-02-2012 22:13

  Hoi Huib en Ben,

  Ik denk dat ik de verkeerde Java heb binnen gehaald? ik heb op java64 geklicked ik denk dat ik java 32 moest hebben??

  want dit geeft die aan

  C/documents and settings/gebruiker/bureaublad/JDK-742-windows-X64 java.exe is geen geldig win32 toepassing

  Ik heb AMD-athlon 64x2dual dus ik dacht dat ik 64 moest pakken of heeft het daar niets mee te maken

  Groetjes Renate

  Rapporteren
• 

  fazantje

  02-02-2012 22:31

  Hoi Renate,

  Dan weer ff doen wat Ben schreef over java:

  http://antivirus.startpagina.nl/prikbord/15102084/15107440/re-logfile-tdsskiller-en-combofix#msg-15107440

  Succes,

  Huib;)

  

  Rapporteren
• 

  renate

  02-02-2012 22:36

  Hoi Huib,

  Kan ik dat icoontje dan gewoon weer verwijderen die nu op het bureaublad zit? ik las trouwens wel dat op de site jdk-7u2-windowsx-64.exe stond.

  En bij Ben (jre-7-windows-x64.exe stond)

  Heeft dat er mischien iets mee te maken??

  Groetjes Renate

  Rapporteren
• 

  fazantje

  02-02-2012 22:49

  Hoi Renate,

  http://www.oracle.com/technetwork/java/javase/downloads/jdk-7u2-download-1377129.html

  En dan windows x86 moet je hebben.

  Wel even de acceptatie aanvinken heh;)

  Groetjes Huib;)

  

  Rapporteren
• 

  renate

  02-02-2012 23:12

  Hoi Huib en Ben,

  Het is gelukt hoor met Java!! en de pc loopt echt als een trein heel erg bedankt is het nog nodig om een log te plaatsen van Hijack??

  Ik moet straks nog wel even m'n wachtwoorden veranderen weet niet in hoevere die vervelende virus schade heeft aangebracht.

  Zelf vink ik nooit wachtwoorden automatisch opslaan aan.

  Groetjes Renate

  Rapporteren