Virus - Privacy en beveiliging

vrijdag 30 mei 2008 07:20

Acties:

Verwijderd

Topicstarter

Hallo,

Er is een virus op mijn computer die mijn computer traag laat lopen en allerlei internet sites steeds laat zien. Terwijl ik er niet om vraag het is erg vervelend.

Websites zoals:
- www.gladiatus.nl
- Jamba achtige
- van alles

Virusscaner is NOD32 fully up to date

Ik heb ook een hjackthis programmatje met een log gebruikt misschien hebben jullie er wat aan?

Weet iemand hoe ik ervan af kan komen?

Groeten Martijn Blaauw

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 7:06:44, on 30-5-2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\stsystra.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.planet.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [a0c55b3a] rundll32.exe "C:\WINDOWS\system32\hqfinrfm.dll",b
O4 - HKLM\..\Run: [TrialReset] C:\WINDOWS\fix.exe
O4 - HKLM\..\Run: [BMa3f668a6] Rundll32.exe "C:\WINDOWS\system32\wbtxibjo.dll",s
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BMa3f668a6] Rundll32.exe "C:\WINDOWS\system32\wbtxibjo.dll",s
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Lokale service')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Netwerkservice')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: MagicDisc.lnk = C:\Program Files\MagicDisc\MagicDisc.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {315B0BFB-2BD4-481B-80A3-A9B80727C61B} (WebIQ Engine Application Object) - http://webiq005.webiqonli...tEngineDistribution&EDID={896A23A1-5821-4609-A6C6-6D5536C585C9}
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microso...eb_site.cab?1205525195125
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macrom...ve/cabs/flash/swflash.cab
O16 - DPF: {EDFCB7CB-942C-4822-AF14-F0B687409848} (Image Uploader Control) - http://cache.hyves-static...urigma/ImageUploader4.cab

--
End of file - 5844 bytes

vrijdag 30 mei 2008 07:27

Acties:

McKaamos

Master of the Edit-button

Gooi er eens een anti spyware tool overheen zoals Hitman Pro.
Het lijkt er op dat het geen virus is, maar spyware.

O4 - HKLM\..\Run: [a0c55b3a] rundll32.exe "C:\WINDOWS\system32\hqfinrfm.dll",b
O4 - HKLM\..\Run: [TrialReset] C:\WINDOWS\fix.exe
O4 - HKLM\..\Run: [BMa3f668a6] Rundll32.exe "C:\WINDOWS\system32\wbtxibjo.dll",s
O4 - HKCU\..\Run: [BMa3f668a6] Rundll32.exe "C:\WINDOWS\system32\wbtxibjo.dll",s

Iemand een Tina2 in de aanbieding?

vrijdag 30 mei 2008 08:52

Acties:

Verwijderd

Topicstarter

Moet ik de bestanden die jij laat zien verwijderen?

Groeten martijn

vrijdag 30 mei 2008 09:19

Acties:

FlipFluitketel

Frontpage Admin

Die bestanden moet je inderdaad verwijderen. Download ook eens combofix en laat die eens lopen, daarna nog MBAM (als je die geinstalleerd hebt eerst even updaten en dan full scan doen).

There are only 10 types of people in the world...those who understand binary and those who don't.
Jeremy Clarkson: It’s, um, a mobile phone holder, or as Richard Hammond calls it, a seat!

vrijdag 30 mei 2008 21:44

Acties:

Petervanakelyen

McKaamos schreef op vrijdag 30 mei 2008 @ 07:27:
Gooi er eens een anti spyware tool overheen zoals Hitman Pro.
Het lijkt er op dat het geen virus is, maar spyware.

O4 - HKLM\..\Run: [a0c55b3a] rundll32.exe "C:\WINDOWS\system32\hqfinrfm.dll",b
O4 - HKLM\..\Run: [TrialReset] C:\WINDOWS\fix.exe
O4 - HKLM\..\Run: [BMa3f668a6] Rundll32.exe "C:\WINDOWS\system32\wbtxibjo.dll",s
O4 - HKCU\..\Run: [BMa3f668a6] Rundll32.exe "C:\WINDOWS\system32\wbtxibjo.dll",s

Dat is inderdaad een zeer duidelijke infectie.
Om te verwijderen:

Verwijder volgende bestanden in C:\Windows\system32:

hqfinrfm.dll
wbtxibjo.dll

en het bestand fix.exe uit C:\Windows

Dan moet je HijackThis opnieuw starten, scan laten doen, en volgende entries aanvinken:

code:

O4 - HKLM\..\Run: [a0c55b3a] rundll32.exe "C:\WINDOWS\system32\hqfinrfm.dll",b
O4 - HKLM\..\Run: [TrialReset] C:\WINDOWS\fix.exe
O4 - HKLM\..\Run: [BMa3f668a6] Rundll32.exe "C:\WINDOWS\system32\wbtxibjo.dll",s
O4 - HKCU\..\Run: [BMa3f668a6] Rundll32.exe "C:\WINDOWS\system32\wbtxibjo.dll",s

En dan klikken op 'Fix checked'

Reboot, en weg een hoopje spyware

Somewhere in Texas there's a village missing its idiot.

zaterdag 31 mei 2008 09:11

Acties:

Verwijderd

Topicstarter

alle bestanden die jullie hebben aangeven heb ik geprobeerd te verwijderen alleen ging dit niet helemaal. Helaas, nog steeds vervelende pop-ups.
windows fix.exe kon ik niet verwijderen stond niet meer in de lijst.
WAT NU?

groeten martijn

zaterdag 31 mei 2008 09:47

Acties:

FlipFluitketel

Frontpage Admin

Combofix en MBAM al laten scannen (zoals in mijn vorige post stond)?
Sowieso kun je tegenwoordig het beste de naam van Hijackthis.exe veranderen in kiesmaarwat.com (dus ook de extensie wijzigen) aangezien er steeds meer rotzooi komt die zich verbergt voor hijackthis.exe.

There are only 10 types of people in the world...those who understand binary and those who don't.
Jeremy Clarkson: It’s, um, a mobile phone holder, or as Richard Hammond calls it, a seat!

zaterdag 31 mei 2008 11:08

Acties:

Petervanakelyen

Verwijderd schreef op zaterdag 31 mei 2008 @ 09:11:
alle bestanden die jullie hebben aangeven heb ik geprobeerd te verwijderen alleen ging dit niet helemaal. Helaas, nog steeds vervelende pop-ups.
windows fix.exe kon ik niet verwijderen stond niet meer in de lijst.
WAT NU?

groeten martijn

Wat ging er, en wat ging er niet ?
Kon je de HijackThis entries verwijderen ?
En de bestanden ?

Somewhere in Texas there's a village missing its idiot.

zaterdag 31 mei 2008 11:14

Acties:

djexplo

Bestanden kan je verwijderen in "windows veilige modes" of unlocker gebruiken ...

[ Voor 30% gewijzigd door djexplo op 31-05-2008 11:15 ]

'if it looks like a duck, walks like a duck and quacks like a duck it's probably a duck'

zondag 1 juni 2008 18:30

Acties:

Verwijderd

Topicstarter

HET is gelukt!
Dank jullie

MVG