Maha.A trojan wil niet weg!

Geachte lezer,

Ik heb een probleem met mijn laptop, er bevindt zich namelijk een virus op. Het gaat om het virus Win32/PSW.Maha.A trojan. NOD32 vindt hem bij elke opstart van de laptop, hij vertelt mij dat het bestand verwijderd kan worden, dus ik klik altijd stee vast op verwijderen. Maar elke opstart komt hij gewoon weer terug! en krijg ik weer een melding van NOD32.
Het gaat om het bestand "sqlserver" waar het virus in zit, deze bevindt zich in de map: C:\WINDOWS\sqlserver.dll.

NOD32 verwijderd hem wel, maar na een nieuw herstart is het bestand (en dus ook het virus) er gewoon weer. Op internet las ik dat het hier ging om een keylogger, deze wil ik toch wel zeer graag van me lappy afhebben. Omdat Nod32 hem niet voor altijd verwijderde heb ik maar een Hijackthis logje gedaan en alles er uitgevist wat ik dacht dat niet belangrijk was of slecht is(ik heb er zelf wel wat verstand van, vindt ik zelf ) Maar ook dat mocht niks baten. Toen nog maar wat trail versies gedownload van Spyware scanners zoals: Counterspy, Spysweeper, AVG Antispyware 7.5, spyware doctor, deze vinden het virus allemaal, maar zodra ik op verwijderen of quarentine klik komen ze met ene error dat het niet mogelijk is het bestand te verwijderen of in quarentine te plaatsen. Dus dan maar in veilige modus geprobeerd, dat heeft helemaal niks uitgehaald en ze vonden het virus toen niet! na onderzoek ben ik er achter gekomen dat het bestand in veilige modus niet word geladen(het bestand "sqlserver.dll") daarom vinden mijn scanners niks.

Omdat ik het virus nog steeds heb heb ik ook maar online scanners geprobeerd zoals: Housecall(trend micro), Windows Live OneCare(van Microsoft zelf). Housecall vondt het virus niet, OneCare vond het wel maar kon er niks tegen doen. ook niks mee opgeschoten dus!

Ik heb toen ook nog maar wat trail antivirus scanners gedownload zoals: Bitdefender, Pc-Cillin, ZoneAlarm Pro, en Mcafee. Deze melden allemaal heel trots dat het Virus/bestand verwijderd kan worden, dat doen ze dus ook. Maar na de laptop opnieuw gestart te hebben is het bestand en de virus er gewoon weer. Ook niks geholpen dus.

Toen heb ik op google gevonden hoe je het virus manueel kon verwijderen, alle stappen gedaan, maar weer niks geholpen

ik ben nu dus ten einde raad, daarom zou ik jullie graag hulp willen vragen hoe ik hier weer vanaf kom.

ik weet niet of het nodig is maar ik plaats even een Hijackthis logje voor de zekerheid:

Logfile of HijackThis v1.99.1
Scan saved at 9:23:26, on 31-12-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\ASWLSVC.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
D:\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\ASUS\WLAN Card Utilities\Center.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Notebook Hardware Control\nhc.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\NVTray\NVTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\BinarySense\HDDlife for Notebooks\HDDlife for Notebooks.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\user\Mijn documenten\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gamed.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.asus.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [Control Center] "C:\Program Files\ASUS\WLAN Card Utilities\Center.exe"
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [NotebookHardwareControl] "C:\Program Files\Notebook Hardware Control\nhc.exe" -quiet
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Program Files\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ClockGen] "C:\Documents and Settings\user\Mijn documenten\ClockGen\ClockGen.exe" -i p=0
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [NVTray] "C:\Program Files\NVTray\NVTray.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: HDDlife.lnk = C:\Program Files\BinarySense\HDDlife for Notebooks\HDDlife for Notebooks.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - http://support.asus.com/common/asusTek_sys_ctrl.cab
O16 - DPF: {0E5F0222-96B9-11D3-8997-00104BD12D94} (PCPitstop Utility) - http://www.pcpitstop.com/pcpitstop/PCPitStop.CAB
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://eu-housecall.trend.../win32/activex/hcImpl.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.../MineSweeper.cab31267.cab
O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} (ActiveDataInfo Class) - https://www-secure.symant...upp/asa/ctrl/SymAData.cab
O16 - DPF: {44990200-3C9D-426D-81DF-AAB636FA4345} (Symantec SmartIssue) - https://www-secure.symant...supp/asa/ctrl/tgctlsi.cab
O16 - DPF: {44990301-3C9D-426D-81DF-AAB636FA4345} (Symantec Script Runner Class) - https://www-secure.symant...supp/asa/ctrl/tgctlsr.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by108w.bay108.mail...il/resources/MsnPUpld.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.safety.li.../scanner/wlscbase8460.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.c...eb_site.cab?1154278511109
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.c...eb_site.cab?1159724178734
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn...rStatsClient.cab31267.cab
O16 - DPF: {90F7E144-984F-4FA6-83A7-C9C8DCB9974C} (RSActiveXObj Control) - http://www.radarsync.com/RSActiveX.ocx
O16 - DPF: {A90A5822-F108-45AD-8482-9BC8B12DD539} (Crucial cpcScan) - http://www.crucial.com/controls/cpcScanner.cab
O16 - DPF: {BE833F39-1E0C-468C-BA70-25AAEE55775E} (System Requirements Lab) - http://www.systemrequirementslab.com/sysreqlab.cab
O16 - DPF: {D1E7CBDA-E60E-4970-A01C-37301EF7BF98} (Measurement Services Client v.3.11) - http://gameadvisor.futuremark.com/global/msc311.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: ASWLSVC - Unknown owner - C:\WINDOWS\system32\ASWLSVC.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iolo DMV Service (ioloDMV) - Unknown owner - C:\Program Files\iolo\Common\Lib\ioloDMVSvc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Pro Business 2007.SP1\Win32\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Pro Business 2007.SP1\RpcSandraSrv.exe
O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe
O23 - Service: Webroot Spy Sweeper Engine (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

Vragen kan en moet je altijd stellen natuurlijk!

Bijvoorbaad dank voor de hulp

Edit: weet niet of het met het virus te maken heeft...maar hij loopt sinds gister ook redelijk vaak vast

[ Voor 100% gewijzigd door Cubic X op 08-02-2017 20:50 . Reden: Naam verbergen ]

Verwijderd schreef op zondag 31 december 2006 @ 10:37:
Wat is O23 - Service: iolo DMV Service (ioloDMV) - Unknown owner - C:\Program Files\iolo\Common\Lib\ioloDMVSvc.exe ???


En als je even tijd hebt, kun je hier een film bekijken met erg veel informatie over het herkennen en verwijderen van malware.

Als je die film snapt, moet 't je wel lukken.

Die O23 - Service: iolo DMV Service (ioloDMV) - Unknown owner - C:\Program Files\iolo\Common\Lib\ioloDMVSvc.exe is een onderdeel van System Mechanic 7 Pro, en is niet schadelijk

ik zal die film zo even bekijken

Strikie schreef op zondag 31 december 2006 @ 10:50:
Hier kan je de logfile doorheen gooien:

http://www.hijackthis.de/

jep, al gedaan, en niks bijzonders.
Na de film ben ik nog niks verder gekomen, het bestand en de virus is er dus nog

Sassie schreef op zondag 31 december 2006 @ 13:50:
Was je deze links al tegen gekomen bij je zoektocht op internet?
http://www.sophos.com/security/analyses/trojkbroya.html
http://www.bleepingcomputer.com/startups/winctrl-13766.html

Het is dus niet alleen de dll, maar blijkbaar dus ook een exe dat er voor zorgt dat steeds die dll weer teruggezet wordt.

In je hijackthislog zie ik ook niks bijzonders zo op het eerste oog, dus je zult wellicht er dieper in moeten duiken (registry ed). Je zou evt kunnen kijken of je ook die winupgrm.exe op je pc hebt staan (in je 'windir' dus ws) en kijken of je die in de veilige modus kunt verwijderen.

Op spywareremove.com staan instructies en een tooltje waarmee je het zou kunnen verwijderen (volgens die site), maar het is verstandig om niet zonder enig nazoekwerk meteen spul binnen te halen en uit te voeren. Het is beter om eerst even te kijken hoe 'betrouwbaar' en hoe goed aangeschreven die site is. Je wil natuurlijk niet nog meer 'rotzooi' binnen halen.
http://www.spywareremove.com/removeKbroy.html


* En mocht je het verwijderd hebben dan is een volledige (uitgebreide) nacheck met anti-virus en anti-spyware programma's verder nooit weg natuurlijk. Gewoon ff voor de zekerheid dat het weer 'schoon' is en er echt niks meer is achtergebleven.

ik denk dat het weg is ik heb beide files verwijderd, zowel die sqlserver.dll en Winupgrm.exe.
Even NOD32 laten draaien en niks gevonden, daarna nog Spysweeper en AVG anti spyware 7.5 en die hebben beide ook niks meer gevonden

bedankt!

toch te vroeg gejuicht!
gister waren alle bestanden weg, maar na een nieuwe opstart vanochtend is het bestand sqlserver.dll er weer! de andere bestanden zijn weg...maar die sqlserver.dll komt steeds terug...toch nog wat hulp graag:)

Verwijderd schreef op maandag 01 januari 2007 @ 09:36:
Probeer de gedragscan van Hitman Pro eens. Deze zit onder de knop Expert en tabblad Gedragscan. Als ie klaar is met scannen, kies dan uit het rechterknop-menu om de gegevens naar clipboard te kopieren. Post vervolgens de gegevens hier.

Met Hitman Pro heb ik geen goede ervaringen, dan crashed met hele systeem, dat was iig 9 maand geleden nog zo.

Misschien dat dit helpt.

http://www.spywareremove.com/removesqlserverdll.html

Ik heb die scanner gedownload, hij vindt van alles maar kan niks verwijderen omdat ik hem dan moet kopen..en daar heb ik eerlijk gezegd geen zin aan

Bij die manual removing moet ik die registry keys dan gewoon helemaal verwijderen? of moet ik alleen de waarde veranderen