antivirus.startpagina.nl

Talloze gedetecteerde bedreigingen

  • Anonymous avatar

    Paula

    Beste mensen,

    Ik ben er al de hele middag druk mee: opeens een paar uur geleden kwamen er allemaal waarschuwingen op het scherm van AVG: “Bedreiging gedecteerd”. Het ging steeds om een Trojaans paard: Generic27.PN. Ze bleven maar opduiken en heb alles in quarantaine geplaatst. Eerst TrendMicro gescand: 3 infecties, die heb ik verwijderd. Toen met MBAM gescand: 10 dingen verwijderd. Daarna enkele keren opnieuw opgestart maar het probleem bleef: continu die detecties van AVG, er staan er wel 150 nu in quarantaine als het er niet meer zijn. Ook nu staan er wel 20 op m'n scherm, ik klik ze niet eens meer weg. Systeemherstel naar een dag hiervoor, lukte niet.

    Toen het stappenplan gestart. Wat AVG vond, kon ik niet verwijderen. Dus hier een logje van de scan met AVG:

    “Scan ”“De hele computer scannen”“ is voltooid.”

    “Infecties”;“28”;“10”;“18”

    “Voor scan geselecteerde mappen:”;“De hele computer scannen”

    “Scan is gestart:”;“maandag 26 maart 2012, 17:06:09”

    “Scan voltooid:”;“maandag 26 maart 2012, 17:18:17 (12 min. 8 seconde (n))”

    “Totaal gescande objecten:”;“795313”

    “Gebruiker die de scan heeft gestart:”;“OEM-Preinstall”

    “Infecties”

    “”;“Bestand”;“Infectie”;“Resultaat”

    “”;“C:\Program Files\AVG\AVG2012\AVGIDSAgent.exe (392)”;“Trojaans paard Generic27.ARZX”;“Geïnfecteerd”

    “”;“C:\Program Files\AVG\AVG2012\avgwdsvc.exe (1744)”;“Trojaans paard Generic27.ARZX”;“Geïnfecteerd”

    “”;“C:\Program Files\Bonjour\mDNSResponder.exe (1860)”;“Trojaans paard Generic27.ARZX”;“Geïnfecteerd”

    “”;“C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe (1664)”;“Trojaans paard Generic27.ARZX”;“Geïnfecteerd”

    “”;“C:\Program Files\Java\jre6\bin\jqs.exe (1512)”;“Trojaans paard Generic27.ARZX”;“Geïnfecteerd”

    “”;“C:\Program Files\Mozilla Firefox\firefox.exe (3552)”;“Trojaans paard Generic27.ARZX”;“Geïnfecteerd”

    “”;“C:\WINDOWS\assembly\GAC_MSIL\Desktop.ini”;“Trojaans paard Generic27.ARZX”;“Geïnfecteerd”

    “”;“C:\WINDOWS\assembly\GAC_MSIL\Desktop.ini”;“Trojaans paard Generic27.ARZX”;“Geïnfecteerd”

    “”;“C:\WINDOWS\assembly\GAC_MSIL\Desktop.ini”;“Trojaans paard Generic27.ARZX”;“Geïnfecteerd”

    “”;“C:\WINDOWS\assembly\GAC_MSIL\Desktop.ini”;“Trojaans paard Generic27.ARZX”;“Geïnfecteerd”

    “”;“C:\WINDOWS\assembly\GAC_MSIL\Desktop.ini”;“Trojaans paard Generic27.ARZX”;“Geïnfecteerd”

    “”;“C:\WINDOWS\assembly\GAC_MSIL\Desktop.ini”;“Trojaans paard Generic27.ARZX”;“Geïnfecteerd”

    “”;“C:\WINDOWS\assembly\GAC_MSIL\Desktop.ini”;“Trojaans paard Generic27.ARZX”;“Geïnfecteerd”

    “”;“C:\WINDOWS\assembly\GAC_MSIL\Desktop.ini”;“Trojaans paard Generic27.ARZX”;“Geïnfecteerd”

    “”;“C:\WINDOWS\assembly\GAC_MSIL\Desktop.ini”;“Trojaans paard Generic27.ARZX”;“Geïnfecteerd”

    “”;“C:\WINDOWS\system32\lsass.exe (1208)”;“Trojaans paard Generic27.ARZX”;“Geïnfecteerd”

    “”;“C:\WINDOWS\system32\spoolsv.exe (2004)”;“Trojaans paard Generic27.ARZX”;“Geïnfecteerd”

    “”;“C:\WINDOWS\system32\svchost.exe (1484)”;“Trojaans paard Generic27.ARZX”;“Geïnfecteerd”

    “”;“C:\WINDOWS\system32\artourservice.dll”;“Trojaans paard Generic27.PN”;“Verplaatst naar de quarantaine”

    “”;“C:\WINDOWS\system32\GENERICDRV.dll”;“Trojaans paard Generic27.PN”;“Verplaatst naar de quarantaine”

    “”;“C:\WINDOWS\system32\imountsrv.dll”;“Trojaans paard Generic27.PN”;“Verplaatst naar de quarantaine”

    “”;“C:\WINDOWS\system32\nvidesm.dll”;“Trojaans paard Generic27.PN”;“Verplaatst naar de quarantaine”

    “”;“C:\WINDOWS\system32\parvdm.dll”;“Trojaans paard Generic27.PN”;“Verplaatst naar de quarantaine”

    “”;“C:\WINDOWS\system32\sscdmdm.dll”;“Trojaans paard Generic27.PN”;“Verplaatst naar de quarantaine”

    “”;“C:\WINDOWS\system32\statusagent4.dll”;“Trojaans paard Generic27.PN”;“Verplaatst naar de quarantaine”

    “”;“C:\WINDOWS\system32\trcboot.dll”;“Trojaans paard Generic27.PN”;“Verplaatst naar de quarantaine”

    “”;“C:\WINDOWS\system32\usbehci.dll”;“Trojaans paard Generic27.PN”;“Verplaatst naar de quarantaine”

    “”;“C:\WINDOWS\system32\{eda5f5d3-9e0f-4f4d-8a13-1d1cf469c9cc}.dll”;“Trojaans paard Generic27.PN”;“Verplaatst naar de quarantaine”

    Ik heb nu TrendMicro aanstaan, maar het is bijna geen doen. Er staan wel 20 detectie-meldingen op m'n scherm en ik moet ze steeds verschuiven om iets te kunnen typen. Ik kom niet bij de onderste balk. Dus ik post dit nu maar, ik wacht maar niet meer tot TM is uitgescand. Ben gewoon bang voor een grote crash.

    Dit is m'n Hijack This-log:

    Logfile of Trend Micro HijackThis v2.0.4

    Scan saved at 17:27:41, on 26-3-2012

    Platform: Windows XP SP3 (WinNT 5.01.2600)

    MSIE: Internet Explorer v8.00 (8.00.6001.18702)

    Boot mode: Normal

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\PROGRA~1\AVG\AVG2012\avgrsx.exe

    C:\Program Files\AVG\AVG2012\avgcsrvx.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\system32\spoolsv.exe

    C:\WINDOWS\Explorer.EXE

    C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe

    C:\Program Files\AVG\AVG2012\avgwdsvc.exe

    C:\Program Files\Bonjour\mDNSResponder.exe

    C:\Program Files\Java\jre6\bin\jqs.exe

    C:\WINDOWS\system32\svchost.exe

    C:\Program Files\AVG\AVG2012\avgnsx.exe

    C:\Program Files\AVG\AVG2012\avgemcx.exe

    C:\Program Files\AVG\AVG2012\AVGIDSAgent.exe

    C:\Program Files\AVG\AVG2012\avgtray.exe

    C:\Program Files\Sony\Content Transfer\ContentTransferWMDetector.exe

    C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe

    C:\Program Files\IE New Window Maximizer\iemaximizer.exe

    C:\WINDOWS\system32\ctfmon.exe

    C:\Program Files\AVG\AVG2012\avgui.exe

    C:\Program Files\Outlook Express\msimn.exe

    C:\DOCUME~1\OEM-PR~1\LOCALS~1\Temp\HouseCall\housecall.bin

    C:\Program Files\AVG\AVG2012\avgcsrvx.exe

    C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.wereldpc.nl/

    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen

    O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG2012\avgssie.dll

    O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

    O4 - HKLM\..\Run: “C:\Program Files\AVG\AVG2012\avgtray.exe”

    O4 - HKLM\..\Run: C:\Program Files\Sony\Content Transfer\ContentTransferWMDetector.exe

    O4 - HKCU\..\Run: C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe /nosplash

    O4 - HKCU\..\Run: C:\Program Files\IE New Window Maximizer\iemaximizer.exe

    O4 - HKCU\..\Run: C:\WINDOWS\system32\ctfmon.exe

    O4 - HKUS\S-1-5-19\..\Run: C:\WINDOWS\system32\CTFMON.EXE (User ‘Lokale service’)

    O4 - HKUS\S-1-5-20\..\Run: C:\WINDOWS\system32\CTFMON.EXE (User ‘Netwerkservice’)

    O4 - HKUS\S-1-5-18\..\Run: C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’)

    O4 - HKUS\.DEFAULT\..\Run: C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’)

    O4 - Startup: Chaos Manager loader.lnk = C:\Program Files\Chaos Manager 2\cm2.exe

    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

    O9 - Extra ‘Tools’ menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

    O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

    O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab

    O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

    O18 - Protocol: avgsecuritytoolbar - (no CLSID) - (no file)

    O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG2012\avgpp.dll

    O22 - SharedTaskScheduler: Preloader van browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

    O22 - SharedTaskScheduler: Cache-daemon voor onderdeelcategorieën - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

    O23 - Service: Mobiel Apple apparaat (Apple Mobile Device) - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe

    O23 - Service: AVGIDSAgent - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG2012\AVGIDSAgent.exe

    O23 - Service: AVG WatchDog (avgwd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG2012\avgwdsvc.exe

    O23 - Service: Bonjour-service (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

    End of file - 5692 bytes

  • Anonymous avatar

    Paula

    Nou, met de grootste moeite bovenstaand bericht kunnen posten. Ik wilde nog toevoegen dat als ik een link van Google aanklik, bij ene abnow punt com uitkom. Dat klopt dus helemaal niet. Dus surfen gaat ook moeilijk. Verder heb ik ook nog ergens ‘IDP.Trojan.7B37011E’ zien staan.

  • Anonymous avatar

    Ben

    Hallo Paula,

    Zou je het logje van Mbam nog even willen plaatsen.

    Start Mbam > Logbestanden > en daar staat het logje wat je even moet plaatsen

    Gr.Ben

    Antivirusprikbord

  • Anonymous avatar

    Paula

    Ben, het logje stond niet meer in MBAM. Ik draai 'm nu opnieuw en post straks het log.

    Even een vraag: waar kan ik voor de zekerheid mijn product key vinden op Windows?

  • Anonymous avatar

    Ben

    Hallo Paula,

    Zit er geen sticker op je pc of CD waar het op staat? (en is het een legale versie)

    Download anders Magical Jelly Bean Keyfinder: Klik

    1) Unzip. ( word niet geinstalleerd )

    2) Run keyfinder.exe. ( even op icoon klikken en je ziet je nummer )

    En zo zie je het productnummer staan wat je heb geinstalleerd.

    http://www.xcomputers.info/windows-xp/productkey/

    Gr.Ben

    Antivirusprikbord

  • Anonymous avatar

    Paula

    Dank je Ben, ik zocht me een slag in de rondte hier, nu lees ik in jouw bericht dat ie ook aan de zijkant van de computer kan staan en inderdaad… gelukkig gevonden want ik vrees dat ik de boel opnieuw moet installeren straks. Maar goed, MBAM draait nog. Ik post straks het logje.

  • Anonymous avatar

    Paula

    Hier het MBAM-log:

    Malwarebytes Anti-Malware 1.60.1.1000

    www.malwarebytes.org

    Databaseversie: v2012.03.26.06

    Windows XP Service Pack 3 x86 NTFS

    Internet Explorer 8.0.6001.18702

    OEM-Preinstall :: OEM-7CBBBCC2365

    26-3-2012 20:39:26

    mbam-log-2012-03-26 (21-17-45).txt

    Scantype: Volledige scan

    Ingeschakelde scanopties: Geheugen | Opstartitems | Register | Bestanden en mappen | Heuristiek/Extra | Heuristiek/Shuriken | PUP | PUM

    Uitgeschakelde scanopties: P2P

    Objecten gescand: 294589

    Verstreken tijd: 38 minuut/minuten, 9 seconde(n)

    Geheugenprocessen gedetecteerd: 0

    (Geen kwaadaardige objecten gedetecteerd)

    Geheugenmodulen gedetecteerd: 1

    C:\WINDOWS\system32\axinstsv.dll (Rootkit.0Access) -> Geen actie ondernomen.

    Registersleutels gedetecteerd: 0

    (Geen kwaadaardige objecten gedetecteerd)

    Registerwaarden gedetecteerd: 1

    HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Backdoor.Agent.Gen) -> Data: C:\Documents and Settings\OEM-Preinstall\Local Settings\Application Data\716cb98f\X -> Geen actie ondernomen.

    Registerdata gedetecteerd: 0

    (Geen kwaadaardige objecten gedetecteerd)

    Mappen gedetecteerd: 0

    (Geen kwaadaardige objecten gedetecteerd)

    Bestanden gedetecteerd: 5

    C:\WINDOWS\system32\axinstsv.dll (Rootkit.0Access) -> Geen actie ondernomen.

    C:\Documents and Settings\LocalService\Local Settings\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Geen actie ondernomen.

    C:\Documents and Settings\NetworkService\Local Settings\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Geen actie ondernomen.

    C:\Documents and Settings\OEM-Preinstall\Local Settings\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Geen actie ondernomen.

    C:\WINDOWS\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Geen actie ondernomen.

    (einde)

  • Anonymous avatar

    Ben

    Hallo paula,

    Je heb dit niet uitgevoerd: (doe Mbam dus eerst weer opnieuw)

    Wanneer de scan voltooid is, klik op OK, daarna “Bekijk Resultaten” om de resultaten te zien.

    Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde.

    Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten.

    Download GMER Rootkit Scannerhier of hier.

    • Laat de inhoud van het .zip bestand uitpakken op je bureaublad.

    • Dubbelklik op GMER.exe.

    • Indien je een waarschuwing krijgt over rootkit activiteiten en je gevraagd wordt of je een volledige scan wil doen klik dan op NO.

    • In het paneel rechts zal je verschillende items zien die aangevinkt zijn. Zorg ervoor dat de volgende items UITgevinkt zijn:

    o IAT/EAT

    o Schijven/partities buiten de systeempartitie (meestal C:\)

    o Show All

    • Klik dan op de knop en wacht tot de scan klaar is.

    • Wanneer de scan voltooit is, klik op de knop en geef de log de volgende naam: “ark.txt”

    • Sla de log op op een handige plaats, zoals het bureaublad.

    **Opgelet**

    Deze scan geeft vaak false positives. Verander niets aan een “<— ROOKIT” regel!

    => Kopieer en plak deze log !!

    En het Mbam logje en vertel erbij hoe het gaat.

    Gr.Ben

    Antivirusprikbord

  • Anonymous avatar

    Paula

    Hoi Ben, ik wist niet of ik de rode vermeldingen al weg mocht halen. Dus ik heb gewoon het logje gepost. Maar daarna wel de rode dingen verwijderd. Op één na, lukten ze allemaal. Daarna opnieuw weer opgestart. Nu draait MBAM opnieuw, voor zo'n logje dat je gevraagd hebt.

    Daarna start ik opnieuw op en begin met ‘gmer’.

  • Anonymous avatar

    Paula

    Ben, de scan heb ik moeten afbreken van Gmer want het ziet er naar uit dat dat een latertje wordt en ik moet nu echt slapen, ben te moe. Morgenochtend ga ik verder, hopelijk is er iemand. Ik wil je graag bedanken voor je hulp zover en hoop je morgen weer te treffen.

    (De MBAM-scan gaf opnieuw geen log na afloop, ook zag ik er geeneen onder de tab ‘Log’. Anders krijg ik er wel altijd één, maar nu echt niet kunnen vinden. Wel vond hij weer 7 rode dingen.) De ‘waarschuwingen’ van AVG zijn minder geworden.

    Tot morgen,

    hartelijke groet, Paula

Dit topic is gesloten, er kunnen geen reacties meer worden geplaatst.