antivirus.startpagina.nl

Talloze gedetecteerde bedreigingen

  • Anonymous avatar

    Paula

    Hoi Ben, vanmorgen toch nog een log van MBAM kunnen bemachtigen (bleek dat het bewaren van een log, plots uitgevinkt was). Hier komt ie: (gemaakt na het verwijderen)

    Malwarebytes Anti-Malware 1.60.1.1000

    www.malwarebytes.org

    Databaseversie: v2012.03.27.01

    Windows XP Service Pack 3 x86 NTFS

    Internet Explorer 8.0.6001.18702

    OEM-Preinstall :: OEM-7CBBBCC2365

    27-3-2012 7:24:12

    mbam-log-2012-03-27 (07-24-12).txt

    Scantype: Volledige scan

    Ingeschakelde scanopties: Geheugen | Opstartitems | Register | Bestanden en mappen | Heuristiek/Extra | Heuristiek/Shuriken | PUP | PUM

    Uitgeschakelde scanopties: P2P

    Objecten gescand: 297063

    Verstreken tijd: 29 minuut/minuten, 18 seconde(n)

    Geheugenprocessen gedetecteerd: 0

    (Geen kwaadaardige objecten gedetecteerd)

    Geheugenmodulen gedetecteerd: 0

    (Geen kwaadaardige objecten gedetecteerd)

    Registersleutels gedetecteerd: 0

    (Geen kwaadaardige objecten gedetecteerd)

    Registerwaarden gedetecteerd: 0

    (Geen kwaadaardige objecten gedetecteerd)

    Registerdata gedetecteerd: 0

    (Geen kwaadaardige objecten gedetecteerd)

    Mappen gedetecteerd: 0

    (Geen kwaadaardige objecten gedetecteerd)

    Bestanden gedetecteerd: 4

    C:\Documents and Settings\LocalService\Local Settings\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Zal worden verwijderd tijdens het herstarten.

    C:\Documents and Settings\NetworkService\Local Settings\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Zal worden verwijderd tijdens het herstarten.

    C:\Documents and Settings\OEM-Preinstall\Local Settings\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Succesvol in quarantaine geplaatst en verwijderd.

    C:\WINDOWS\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Zal worden verwijderd tijdens het herstarten.

    (einde)

    =====================================================

    Hierna de ark.txt van de andere scan:

    GMER 1.0.15.15641 - http://www.gmer.net

    Rootkit scan 2012-03-27 10:01:01

    Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-e SAMSUNG_SP0812C rev.SU100-32

    Running: gmer.exe; Driver: C:\DOCUME~1\OEM-PR~1\LOCALS~1\Temp\fgaiqfog.sys

    —- System - GMER 1.0.15 —-

    SSDT \SystemRoot\system32\DRIVERS\AVGIDSShim.Sys (IDS Application Activity Monitor Loader Driver./AVG Technologies CZ, s.r.o. ) ZwOpenProcess

    SSDT \SystemRoot\system32\DRIVERS\AVGIDSShim.Sys (IDS Application Activity Monitor Loader Driver./AVG Technologies CZ, s.r.o. ) ZwTerminateProcess

    SSDT \SystemRoot\system32\DRIVERS\AVGIDSShim.Sys (IDS Application Activity Monitor Loader Driver./AVG Technologies CZ, s.r.o. ) ZwTerminateThread

    SSDT \SystemRoot\system32\DRIVERS\AVGIDSShim.Sys (IDS Application Activity Monitor Loader Driver./AVG Technologies CZ, s.r.o. ) ZwWriteVirtualMemory

    —- Kernel code sections - GMER 1.0.15 —-

    ? swfgtenq.sys Het systeem kan het opgegeven bestand niet vinden. !

    .INIT C:\WINDOWS\system32\DRIVERS\avgtdix.sys entry point in “.INIT” section

    ? C:\WINDOWS\system32\DRIVERS\avgtdix.sys suspicious PE modification

    —- User code sections - GMER 1.0.15 —-

    .text C:\Program Files\Mozilla Firefox\plugin-container.exe USER32.dll!GetWindowInfo 7E3AC49C 5 Bytes JMP 1044FE0A C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation)

    .text C:\Program Files\Mozilla Firefox\plugin-container.exe USER32.dll!TrackPopupMenu 7E3E531E 5 Bytes JMP 104503C5 C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation)

    .text C:\WINDOWS\system32\svchost.exe USER32.dll!DialogBoxIndirectParamAorW 7E3A49D0 5 Bytes {XOR EAX, EAX; RET 0x18}

    .text C:\Program Files\Mozilla Firefox\firefox.exe ntdll.dll!LdrLoadDll 7C91632D 5 Bytes JMP 01219720 C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation)

    .text C:\Program Files\Mozilla Firefox\firefox.exe kernel32.dll!VirtualAlloc 7C7D9AF1 5 Bytes JMP 0144E21B C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation)

    .text C:\Program Files\Mozilla Firefox\firefox.exe kernel32.dll!MapViewOfFile 7C7DB9A5 5 Bytes JMP 0144E1F4 C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation)

    .text C:\Program Files\Mozilla Firefox\firefox.exe GDI32.dll!CreateDIBSection 77E49E19 5 Bytes JMP 0144E17E C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation)

    .text C:\Program Files\Mozilla Firefox\firefox.exe CRYPT32.dll!CryptMsgCountersignEncoded + 27A 77A52F52 7 Bytes JMP 35675637 C:\WINDOWS\system32\mswsock.dll (Microsoft Windows Sockets 2.0 Service-aanbieder/Microsoft Corporation)

    .text C:\Program Files\Mozilla Firefox\firefox.exe CRYPT32.dll!CertComparePublicKeyInfo + 1E8 77A5B751 7 Bytes JMP 35675697 C:\WINDOWS\system32\mswsock.dll (Microsoft Windows Sockets 2.0 Service-aanbieder/Microsoft Corporation)

    —- Devices - GMER 1.0.15 —-

    AttachedDevice \FileSystem\Ntfs \Ntfs AVGIDSFilter.Sys (IDS Application Activity Monitor Filter Driver./AVG Technologies CZ, s.r.o. )

    AttachedDevice \Driver\Tcpip \Device\Ip avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)

    AttachedDevice \Driver\Tcpip \Device\Tcp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)

    AttachedDevice \Driver\Tcpip \Device\Udp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)

    AttachedDevice \Driver\Tcpip \Device\RawIp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)

    AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

    AttachedDevice \FileSystem\Fastfat \Fat AVGIDSFilter.Sys (IDS Application Activity Monitor Filter Driver./AVG Technologies CZ, s.r.o. )

    —- Modules - GMER 1.0.15 —-

    Module (noname) (*** hidden *** ) F75C6000-F75D5000 (61440 bytes)

    —- Threads - GMER 1.0.15 —-

    Thread System 8980D540

    Thread System 8980D540

    Thread services.exe 007DEE96

    —- Registry - GMER 1.0.15 —-

    Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost@netsvcs 6to4?AppMgmt?AudioSrv?Browser?CryptSvc?DMServer?DHCP?ERSvc?EventSystem?FastUserSwitchingCompatibility?HidServ?Ias?Iprip?Irmon?LanmanServer?LanmanWorkstation?Messenger?Netman?Nla?Ntmssvc?NWCWorkstation?Nwsapagent?Rasauto?ms_mpu401?avidsdmservice?SI3112?vrservice?ilicensesvc?keymaestro?PBADRV?ssfs0509?UPATC?NICSer_WPC300N?twotrack?se2Dnd5?nvax?lxdmCATSCustConnectService?SE26mdm?jukebox3?snoopfreesvc?rimmptsk?cpqfws2e?tmesbs32?risdptsk?se45mdm?gdrv?imagesrv?NICSer_WPC54G?viagfx?{6080a529-897e-4629-a488-aba0c29b635e}?AmdLLD?prosync1?backupexecnotificationserver?ProcObsrv?SED133x?ohci1394?rxfilter?TICalc?aw_host?prism_a02?Xyz777b?tosrfusb?ati2mpaa?omnidrv?vpcnets2?vds?plsremotesvc?ntiopnp?edspport?ptbsync?i81x?oracleorahomeclientcache?Pcatip?XAudio?dlacdbhm?mcmscsvc?snpstd?sbiesvc?pdlnatcm?ctusfsyn?tgsrvc_smartagent?MRESP50a64?livesrv?EMATCORE?tosrfec?cpsvc?mgactrl?procexp90?JGOGO?QPCapSvc?symidsco?pduip6000dmemcrdmgr?oraclesnmppeermasteragent?epoxusdm?procdd?ELmou?ASNDIS5?arcltsrv?iviaspi?svcwmu?w70n51?axsaki?w2

    —- Files - GMER 1.0.15 —-

    File C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\NOP71VDM\showbanner.php 473 bytes

    File C:\WINDOWS\system32\KMW_KBD.dll 5120 bytes executable

    File C:\WINDOWS\system32\nlsvc.dll 5120 bytes executable

    File C:\WINDOWS\system32\nv.dll 5120 bytes executable

    File C:\WINDOWS\system32\s217mdm.dll 5120 bytes executable

    File C:\WINDOWS\system32\vci.dll 5120 bytes executable

    File C:\WINDOWS\system32\zebrbus.dll 5120 bytes executable

    File C:\WINDOWS\$NtUninstallKB14108$\1802042928 0 bytes

    File C:\WINDOWS\$NtUninstallKB14108$\1902950799 0 bytes

    File C:\WINDOWS\$NtUninstallKB14108$\1902950799\@ 2048 bytes

    File C:\WINDOWS\$NtUninstallKB14108$\1902950799\L 0 bytes

    File C:\WINDOWS\$NtUninstallKB14108$\1902950799\L\hzjexesq 295248 bytes

    File C:\WINDOWS\$NtUninstallKB14108$\1902950799\loader.tlb 2632 bytes

    File C:\WINDOWS\$NtUninstallKB14108$\1902950799\U 0 bytes

    File C:\WINDOWS\$NtUninstallKB14108$\1902950799\U\@00000001 45968 bytes

    File C:\WINDOWS\$NtUninstallKB14108$\1902950799\U\@000000c0 2560 bytes

    File C:\WINDOWS\$NtUninstallKB14108$\1902950799\U\@000000cb 704 bytes

    File C:\WINDOWS\$NtUninstallKB14108$\1902950799\U\@000000cf 1536 bytes

    File C:\WINDOWS\$NtUninstallKB14108$\1902950799\U\@80000000 73728 bytes

    File C:\WINDOWS\$NtUninstallKB14108$\1902950799\U\@800000c0 43008 bytes

    File C:\WINDOWS\$NtUninstallKB14108$\1902950799\U\@800000cb 25600 bytes

    File C:\WINDOWS\$NtUninstallKB14108$\1902950799\U\@800000cf 31232 bytes

    —- EOF - GMER 1.0.15 —-

    Computer blijft detectiemeldingen geven, in een uur wel 25 of zo. Googlen lukt wel weer, ik word niet naar een verkeerde site doorgelinkt.

  • Anonymous avatar

    fazantje

    Hoi Paula,

    Start je computer opnieuw op om verdere verwijdering te doen plaats vinden, lees:

    >>>C:\Documents and Settings\LocalService\Local Settings\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Zal worden verwijderd tijdens het herstarten. <<<

    Ga nu verder met onderstaande:

    Schakel eerst jou virusscaaner tijdelijk uit, door rechts onderin de taakbalk met de rechtermuisknop op het AVG icoontje te klikken en kies dan voor uitschakelen o.i.d.

    Download combofix hier, en plaats het op jou bureaublad.

    Indien je Combofix al eerder hebt gebruikt, gelieve die versie te verwijderen en Combofix opnieuw te downloaden via bovenstaande link,

    want Combofix wordt dagelijks geupdate.

    OPMERKING: indien je, tijdens of na het downloaden van Combofix of tijdens het gebruik van Combofix een melding krijgt van je Antivirus- of een andere realtime scanner,

    schakel dan deze scanner uit en download Combofix opnieuw.

    Sommige scanners zien bepaalde componenten die Combofix gebruikt als verdacht en gaan deze blokkeren of verwijderen!

    Dubbelklik op Combofix.exe

    Volg de instructies, aanvaard de disclaimer.

    Tijdens het runnen van de fix, NIET in het venster klikken, want dit zal je pc doen vasthangen.

    Het kan enige tijd duren voordat het logje van combofix komt, dus denk niet van hij is op tilt.

    Wanneer de fix voltooid is en na herstart, zal de log combofix.txt openen.

    Denk niet van combo is op tilt, want het kan soms enige tijd duren, dus wacht geduldig af.

    Plaats het combofix logje samen met een nieuw HijackThis logje in jou volgende post.

    Succes,

    Huib;)

  • Anonymous avatar

    Paula

    Hoi Huib, dank je voor je hulp.

    Ik heb Combofix aangezet 20 minuten geleden. Zag een schermpje opdoemen met rollende groene gegevens. Alleen was het schermpje binnen een paar seconden verdwenen en ik kan ‘t niet meer terugvinden. Het is weg. Ook m’n PC ‘ratelt’ niet zoals ie doet bij andere scans. Gaat dit wel goed?

  • Anonymous avatar

    fazantje

    Hoi Paula,

    Er zit een behoorlijke besmetting op jou computer en het kan dus een hele tijd duren voordat ie klaar is.

    Een uur is geen uitzondering, zelfs langer niet.

    Zoals ik al schreef, klik niet in een venster van combofix want dan gaat deze op tilt.

    Wacht geduldig af.

    Heb je dit per ongeluk al wel gedaan, dan eerst het volgende doen wat tussen >> en << staat en daarna combofix opnieuw downloaden zoals ik in mijn vorige bericht schreef.

    >>>Download OTC exe hier, om combo weer helemaal te verwijderen.

    Plaats het bestand op je bureaublad.

    Zorg dat er een internetverbinding is.

    Klik vervolgens met je rechtermuisknop op OTCleanIt.exe en kies voor Run as Administrator (Nederlands: Uitvoeren als Administrator) om het programma te starten.

    Lukt dat niet , dan dubbelklikken op het icoon.

    Klik nu op de knop “CleanUp!”

    Als je firewall, of een ander beveiligingsprogramma, een waarschuwing geeft dat OTC.exe internettoegang wil, mag je dit toestaan, het programma heeft die connectie nodig.

    OTC zal als laatste vragen of je de computer herstarten wilt, dit mag je toestaan, hiermee verwijdert het zichzelf ook. <<<

    Als het goed is, als combo verder gaat, zal je een hele lijst zien hoever de scan is.

    Deze lijst zal oplopen tot nummer 51.

    Daarna zal het logje worden aangemaakt, en ook dit kan gerust 10 tot 15 minuten duren.

    Groetjes Huib;)

  • Anonymous avatar

    Paula

    fazantje Schreef:

    ——————————————————-

    > Hoi Paula,

    >

    > Er zit een behoorlijke besmetting op jou computer

    > en het kan dus een hele tijd duren voordat ie

    > klaar is.

    > Een uur is geen uitzondering, zelfs langer niet.

    >

    > Zoals ik al schreef, klik niet in een venster van

    > combofix want dan gaat deze op tilt.

    > Wacht geduldig af.

    > Heb je dit per ongeluk al wel gedaan, dan eerst

    > het volgende doen wat tussen >> en << staat en

    > daarna combofix opnieuw downloaden zoals ik in

    > mijn vorige bericht schreef.

    >

    > >>>Download OTC exe hier, om combo weer helemaal

    > te verwijderen.

    >

    > Plaats het bestand op je bureaublad.

    > Zorg dat er een internetverbinding is.

    > Klik vervolgens met je rechtermuisknop op

    > OTCleanIt.exe en kies voor Run as Administrator

    > (Nederlands: Uitvoeren als Administrator) om het

    > programma te starten.

    > Lukt dat niet , dan dubbelklikken op het icoon.

    >

    > Klik nu op de knop “CleanUp!”

    > Als je firewall, of een ander

    > beveiligingsprogramma, een waarschuwing geeft dat

    > OTC.exe internettoegang wil, mag je dit toestaan,

    > het programma heeft die connectie nodig.

    > OTC zal als laatste vragen of je de computer

    > herstarten wilt, dit mag je toestaan, hiermee

    > verwijdert het zichzelf ook. <<<

    >

    > Als het goed is, als combo verder gaat, zal je een

    > hele lijst zien hoever de scan is.

    > Deze lijst zal oplopen tot nummer 51.

    > Daarna zal het logje worden aangemaakt, en ook dit

    > kan gerust 10 tot 15 minuten duren.

    >

    > Groetjes Huib;)

    Huib, bij mijn weten absoluut niet op het schermpje van Combofix geklikt. En evengoed was het schermpje verdwenen al binnen enkele seconden.

    In ieder geval heb ik nu met dat ene programmaatje toch Combofix weer verwijderd, opnieuw opgestart en Combofix weer opnieuw laten beginnen. Weer hetzelfde: schermpje zie ik, ook de scrollende groene regels, maar schermpje is binnan 5 seconden weg en nu ook weer. Maar als dat toch oké is, dan wacht ik. Graag hoor ik dat van je of dit de goeie methode is.

    Wat wel lastig is: AVG kan ik maar voor 15 minuten uitschakelen, meer niet (dat zit zo in dat programma). Dus hij zal weer aanspringen mocht Combofix tóch aan het scannen zijn. Is dit bezwaarlijk?

  • Anonymous avatar

    fazantje

    Hoi Paula,

    Gewoon maar wachten;)

    normaal gaat het alleen even om de opstart van combo dat AGV uitgezet moet worden.

    Anders AVG even helemaal verwijderen.

    Maar wacht eerst maar even af hoe het gaat.

    Groetjes Huib;)

  • Anonymous avatar

    Paula

    Huib, nu anderhalf uur verder, en het scherm is nog steeds weg, nergens te vinden, ook niet in Windows Taakbeheer. Computer lijkt ook niet te scannen, ‘ratelt’ niet. Ik moet de PC ook nu afsluiten want ik moet weg.

    Wat raad je aan?

    Graag lees ik je bericht weer als ik eind van de middag terugben. Alvast bedankt :)

    Hartelijke groet, Paula-met-een-hardnekkig-virus *sip*

  • Anonymous avatar

    fazantje

    Hoi Paula,

    Ik ben net weer thuis.

    Je mag combo wel weer verwijderen zoals ik eerder aangaf.

    We gaan het anders proberen aan te pakken:

    Download de Emsisoft Emergency Kit hier naar het bureaublad en pak het ZIP bestand uit.

    Open de map "EmsisoftEmergencyKit“ en dubbelklik op ”Start.exe".

    Klik nu op "Emergency Kit Scanner“ u krijg nu een melding dat het is aanbevolen om eerst te updaten sta dit toe door te klikken op ”Ja" .

    Als de update gereed is en de melding "Update process is succesvol afgerond“ verschijnt klikt u op ”menu“ en dan op ”Scan PC".

    Selecteer de optie "Diep" als deze niet standaard al zo is ingesteld.

    Klik Nu op de knop "Scan" en doe verder niets op de computer tijdens het scannen, deze scan kan een geruime tijd in beslag nemen dus wacht dit geduldig af.

    Het venster met de waarschuwing over een verhoogd risico kunt u sluiten als de scan gereed is.

    Opmerking:

    Als u deze melding ziet.

    C:\Documents and Settings\username\Bureaublad\ComboFix.exe/$0\List.bat Verwijderd Virus.Win32.HTML!IK

    Wanneer het bestand in het venster met scanresultaten staat kun je rechtsklikken op die detectie en kiezen voor "Versturen als vals alarm (False Positive)".

    Zorg ervoor dat alle gevonden items zijn aangevinkt en druk dan op de knop "verwijder geselecteerde“ u zal nu de volgende melding krijgen maar klik hier op ”Ja"

    Als het verwijderen gereed is klikt u op de knop "View report" en selecteert u het tekstbestand van deze scan met de naam zoals: a2scan_110730-111615.txt

    Plaats de inhoud van dit LOG bestand straks in het volgende bericht samen met een nieuw HijackThis logje.

    Herstart nu de computer.

    Succes,

    Huib;)

  • Anonymous avatar

    Paula

    Hoi Huib,

    Ik heb met de removaltool Combofix verwijderd. Toen opnieuw opgestart. Maar Emsisoft downloaden, lukt maar gedeeltelijk. Dan loopt de PC vast. Doet niets meer, ook niet via Taakbeheer, het scherm bevriest gewoon. Ik heb de stekker uit het stopkontakt moeten trekken om de PC opnieuw te kunnen opstarten.

    Volgens mij saboteert dit virus werkelijk álle herstelpogingen.

    Heeft het nog zin of zal ik Windows opnieuw installeren?

  • Anonymous avatar

    Ben

    hallo Paula,

    Als ik het zo lees is het het beste en snelste om een herinstal te doen.

    http://members.home.nl/wout.grotenhuis/

    Als je er vragen over heb horen we het wel.

    Suc6 Ben

    Antivirusprikbord

Dit topic is gesloten, er kunnen geen reacties meer worden geplaatst.