Hardnekkige spyware, virtumonde - Privacy en beveiliging

zondag 27 juli 2008 11:44

Acties:

0 Henk 'm!

Software Engineer

Topicstarter

Hallo,

Ik zit hier met een spyware probleem op mijn desktop (win xp pro, avast, sp3). Merkte dat het ding trager deed met internet, zo nu en dan restarte explorer.exe gewoon voor de lol en met opstarten vlogen er ineens cmd prompts door het beeld. Met zowel avast als spybot sd gescand (volledig geupdate), en het eea gevonden. Maar de command prompts blijven. Ook blijft hij met spybot sd blijft hij iets vinden genaamd virtumonde, dat zichzelf blijkbaar blijft herinstallen.

Een hijackthislog gemaakt, misschien wil iemand zo vriendelijk zijn er even naar te kijken:

code:

Logfile of HijackThis v1.99.1
Scan saved at 11:37:56, on 27-7-2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ADAware\aawservice.exe
C:\Program Files\Avast4\aswUpdSv.exe
C:\Program Files\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Avast4\ashMaiSv.exe
C:\Program Files\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\PROGRA~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\taskswitch.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [googletalk] C:\Program Files\Google\Google Talk\googletalk.exe /autostart
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - HKLM\..\Run: [BMcbafa59d] Rundll32.exe "C:\WINDOWS\system32\nvbxgurx.dll",s
O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKLM\..\RunOnce: [SpybotDeletingA2545] command /c del "C:\WINDOWS\system32\ssqNefeb.dll"
O4 - HKLM\..\RunOnce: [SpybotDeletingC9190] cmd /c del "C:\WINDOWS\system32\ssqNefeb.dll"
O8 - Extra context menu item: &Download All by Gigaget - C:\Program Files\Gigaget\getallurl.htm
O8 - Extra context menu item: &Download by Gigaget - C:\Program Files\Gigaget\geturl.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{CF33B57D-4AEE-4F8D-B939-384002552793}: NameServer = 192.168.2.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\ADAware\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Dinand Mentink - www.dinandmentink.nl

zondag 27 juli 2008 11:49

Acties:

0 Henk 'm!

Fish

How much is the fish

probeer die spybot eens in safemode te draaien

volgens mij probeert spybot hier wat weg te helen
SpybotDeletingC9190] cmd /c del "C:\WINDOWS\system32\ssqNefeb.dll"

[ Voor 56% gewijzigd door Fish op 27-07-2008 11:53 ]

Iperf

zondag 27 juli 2008 11:52

Acties:

0 Henk 'm!

pinockio

De laatste paar keer dat ik het tegenkwam kon ik het verwijderen met de boottime scanner van Avast.
http://support.avast.com/...ewarticle&kbarticleid=160

Anders: http://www.google.com/search?q=virtumonde

Disclaimer: P. aanvaardt geen aansprakelijkheid op grond van dit bericht.

zondag 27 juli 2008 11:56

Acties:

0 Henk 'm!

Dinand Mentink

Software Engineer

Topicstarter

Ok. Dank, zal het proberen.

Dinand Mentink - www.dinandmentink.nl

zondag 27 juli 2008 11:57

Acties:

0 Henk 'm!

mklcln

ewido online scanner of even de 30dagen trail van AVG spyware wat ook ewido is.

zondag 27 juli 2008 11:59

Acties:

0 Henk 'm!

Dav1d

Ik heb deze rommel kunnen verwijderen met:
http://www.f-secure.com/sw-desc/virtumonde.shtml

Zeker het uitproberen waard.

zondag 27 juli 2008 14:08

Acties:

0 Henk 'm!

Dinand Mentink

Software Engineer

Topicstarter

Dank.
Heb spywareblaster in veilige modus gedraaid en daarna ook avast. Avast vond niets. Spyware blaster bleef virtumonde vinden, dus heb ik de regels 37-40 verwijderd (37 ook, volgens mij was dat de oorzaak). En nu is er niets meer van terug te vinden. Maar voor zekerheid zal ik nog even de suggestie van Dav1d uitproberen.

Dank allen.

M'n log ziet er nu trouwens zo uit, misschien kan iemand er een blik op werpen?

code:

Logfile of HijackThis v1.99.1
Scan saved at 14:05:38, on 27-7-2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ADAware\aawservice.exe
C:\Program Files\Avast4\aswUpdSv.exe
C:\Program Files\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Avast4\ashMaiSv.exe
C:\Program Files\Avast4\ashWebSv.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\PROGRA~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\taskswitch.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\HijackThis\HijackThis.exe
C:\Program Files\Mozilla Firefox\firefox.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [googletalk] C:\Program Files\Google\Google Talk\googletalk.exe /autostart
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O8 - Extra context menu item: &Download All by Gigaget - C:\Program Files\Gigaget\getallurl.htm
O8 - Extra context menu item: &Download by Gigaget - C:\Program Files\Gigaget\geturl.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{CF33B57D-4AEE-4F8D-B939-384002552793}: NameServer = 192.168.2.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\ADAware\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Dinand Mentink - www.dinandmentink.nl

zondag 27 juli 2008 14:14

Acties:

0 Henk 'm!

Dinand Mentink

Software Engineer

Topicstarter

Update. anti virtumonde gedraaid, die vond gek genoeg nog een infectie, is gefixed. Na reboot word niets meer gevonden. Wel duurt het opeens erg lang voor explorer.exe word opgestart, wat ik erg maf vind (ik moest net naar taskmgr en vervolgens handmatig explorer.exe starten). Ik zal nog even doorklooien en melden wat het word.

Dinand Mentink - www.dinandmentink.nl

zondag 27 juli 2008 20:17

Acties:

0 Henk 'm!

Dinand Mentink

Software Engineer

Topicstarter

Ok. Spybot vind nu niets meer. Ook avast niet. Maar ik heb nu wel last van de beschreven popups. Best iritant, tijdens het gewoon afwezig zijn opent firefox ineens nieuwe tabbladen met foto's van dubieuze dames, iets wat ik gewoon niet kan waarderen. Naast de bootscan van avast die al aangeraden was, kent iemand misschien een goede online spyware scan?

Dinand Mentink - www.dinandmentink.nl

zondag 27 juli 2008 20:32

Acties:

0 Henk 'm!

Verwijderd

Hier staan nog wat betrouwbare scanners.

maandag 28 juli 2008 12:03

Acties:

0 Henk 'm!

Dinand Mentink

Software Engineer

Topicstarter

Hallo.

Het probleem word volgens mij steeds groter. Virtumonde is nog steeds geinstaleerd en ik krijg het op geen manier weg. Spybot SD blijft hem vinden en ik blijf hem verwijderen. De virtumonde removal tool die aangeraden is werkt niet.

Heeft iemand hier misschien kijk op. Ik ben momenteel weer spybot sd aan het draaien. Waarna ik de removal tool weer draai, daarna verwijder ik al mijn temp internet files en ga ik met hijack this erover om te kijken of ik nog een aantal dll's in mijn system32 map heb staan met 8 willekeurige tekens. Daarna reboot en zal ik een hijack this log plaatsen. Is iemand bereid om er daarna naar te kijken en heeft iemand misschien nu al suggestisch?

edit:
spyblaster = spybot sd

[ Voor 3% gewijzigd door Dinand Mentink op 28-07-2008 12:09 ]

Dinand Mentink - www.dinandmentink.nl

maandag 28 juli 2008 13:06

Acties:

0 Henk 'm!

Petervanakelyen

Dinand Mentink schreef op maandag 28 juli 2008 @ 12:03:
Hallo.

Het probleem word volgens mij steeds groter. Virtumonde is nog steeds geinstaleerd en ik krijg het op geen manier weg. Spybot SD blijft hem vinden en ik blijf hem verwijderen. De virtumonde removal tool die aangeraden is werkt niet.

Heeft iemand hier misschien kijk op. Ik ben momenteel weer spybot sd aan het draaien. Waarna ik de removal tool weer draai, daarna verwijder ik al mijn temp internet files en ga ik met hijack this erover om te kijken of ik nog een aantal dll's in mijn system32 map heb staan met 8 willekeurige tekens. Daarna reboot en zal ik een hijack this log plaatsen. Is iemand bereid om er daarna naar te kijken en heeft iemand misschien nu al suggestisch?

edit:
spyblaster = spybot sd

Goed idee, ik kijk uit naar nog een HijackThis log

(ben hijackthis verslaafd

)
Maar belangrijk:

Download de nieuwste versie van HijackThis, versie 2.0.
Deze kan je hier vinden. Maak daar de log mee !

Je kan trouwens ook een VundoFix proberen, hier te downloaden.

Dus in volgorde (voor de niet snappende tweaker):

1. Scan met Spybot S&D in normale modus, en verwijder alles.
2. Gebruik de F-Secure Virtumonde Remover, aangeraden door Dav1d
3. Gooi je Temp folder, en Temporary Internet Files leeg.
4. Download CCleaner, installeer, scan en delete all.
5. Download VundoFix v7 en scan en delete.
6. Download HijackThis v2 en plaats hier een log.
7. Laat weten wat je resultaten zijn.

Succes

Somewhere in Texas there's a village missing its idiot.

maandag 28 juli 2008 13:16

Acties:

0 Henk 'm!

SuBBaSS

-has Ryzen

Ik heb hier een week of wat geleden ook mee zitten worstelen.

Met Malwarebytes anti-malware ben ik een eind gekomen.
Daarnaast liep ik tegen een tip aan voor ComboFix welke achteraf niet meer nodig leek te zijn.

Verder zijn alle eerder genoemde opties de moeite waard natuurlijk.

maandag 28 juli 2008 13:24

Acties:

0 Henk 'm!

Sjah

Ik had deze spyware ook, een nogal intelligent virus, moeilijk te bestijden. Spyware SD vond hem, kon hem niet echt fixen. nod32 zag wel iets, maar kon er niks mee. Ook popups in Firefox enzo. http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe << dit programma was wel sterk, alles opgelost, hij moest eerst rebooten en crashte toen, omdat Virtumonde niet wilde opgeven, na herstart alles weg.

maandag 28 juli 2008 17:46

Acties:

0 Henk 'm!

Dinand Mentink

Software Engineer

Topicstarter

Hallo,

Heb precies gedaan wat ik gemeld had, spybot sd geeft nu virtumonde niet meer aan, maar de popups blijven, wat ik nog steeds niet kan waarderen. Een paar andere dingen vallen me ook op:
- direct na starten windows blijft hij hangen met op het beeld enkel mijn bureaubladachtergrond, alsof hij wacht ergens op. Na een tijdje gaat hij door. Als ik internet uitzet hetzelfde verhaal, volgens mij wacht hij op een time out van een of ander.
- popups zijn er nog steeds.

Ik ga nu het lijstje van peter nog even doorwerken en vervolgens zal ik een nieuwe hijack this log plaatsen, in de hoop dat iemand er iets uit kan halen.

Edit: hjtlog verwijderd, maakte topic onovezichtelijk en was verouderd.

[ Voor 65% gewijzigd door Dinand Mentink op 28-07-2008 18:39 ]

Dinand Mentink - www.dinandmentink.nl

maandag 28 juli 2008 18:39

Acties:

0 Henk 'm!

Dinand Mentink

Software Engineer

Topicstarter

Afijn. Na het posten van het vorige bericht ben ik helemaal losgegaan en heb op de volgende manier mijn pc grondig schoongemaakt (ben daarbij echt mega grondig geweest, voor de zekerheid):

- reboot
- netwerkkaart uitschakelen
- spybot sd eroverheen. Gevonden en verwijdert:
x virtumonde HKLM\SOftware\Microsoft\MSSMGR (die vindt hij de hele tijd)
- temp en temporary internetfiles geleegd
- cc cleaner, alles schoongemaakt. Echt, gewoon alles aangevinkt.
- vervolgens vundofix eroverheen. Die vond 12 bestanden in system32. Allemaal verwijderd. Hierna kon ik niet anders dan ok drukken en pc rebooten.
- Rebooten ging weer op normale snelheid.
- Na reboot met registry mechanic en auslogic boostspeed's register cleaner en de registercleaner van cc cleaner over m'n register heen gegaan om alle foutief geregistreerde dll's weg te knikkeren.
- Meteen ook weer m'n temp internetfiles schoongemaakt (maar daar stond echt niets meer).
- nogmaals vundofix eroverheen (was de enige die uberhaubt iets vond). Die vindt nu niets.
- voor zekerheid ook virtumondebgone eroverheen gehaald. Vindt ook niets.
- vervolgens hijackthis logje gemaakt (zie onderaan)

Ik wil hem nog niet rebooten of mijn internet opnieuw aansluiten, het liefst wil ik eerst weten of ik voor de reboot nog het eea met hijackthis moet fixen, of dat ik nog andere dingen moet doen voor ik mijn pc reboot (en de kans loop dat virtumonde zichzelf weer instaleerd en ik net zo goed op nieuw kan beginnen). Kan iemand hier op reageren (peter? kan jij misschien naar m'n logje kijken als je hier kennis van hebt?)? Ik heb het idee dat ik de 3 BHO's die er staan moet fixen evenals O20 - Winlogon Notify: winlgj32 - winlgj32.dll, kan dit kloppen?

Hijack this log:

code:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:37:07, on 28-7-2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ADAware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avast4\aswUpdSv.exe
C:\Program Files\Avast4\ashServ.exe
C:\PROGRA~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\taskswitch.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {DF986C2C-446C-49B7-913D-DBB1BAE4DC17} - (no file)
O2 - BHO: (no name) - {F7099F5B-0EA8-45C0-AD3C-61D4E7C4E716} - (no file)
O2 - BHO: {d35abf52-89e4-231b-da04-00fc9ecf9cef} - {fec9fce9-cf00-40ad-b132-4e9825fba53d} - (no file)
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [googletalk] C:\Program Files\Google\Google Talk\googletalk.exe /autostart
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O8 - Extra context menu item: &Download All by Gigaget - C:\Program Files\Gigaget\getallurl.htm
O8 - Extra context menu item: &Download by Gigaget - C:\Program Files\Gigaget\geturl.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{CF33B57D-4AEE-4F8D-B939-384002552793}: NameServer = 192.168.2.1
O20 - Winlogon Notify: winlgj32 - winlgj32.dll (file missing)
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\ADAware\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Avast4\ashWebSv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 2616 bytes

Dinand Mentink - www.dinandmentink.nl

maandag 28 juli 2008 18:42

Acties:

0 Henk 'm!

Occy74

Dinand Mentink schreef op maandag 28 juli 2008 @ 18:39:
Ik heb het idee dat ik de 3 BHO's die er staan moet fixen evenals O20 - Winlogon Notify: winlgj32 - winlgj32.dll, kan dit kloppen?

klopt...

Systeem Specs

maandag 28 juli 2008 18:45

Acties:

0 Henk 'm!

Dinand Mentink

Software Engineer

Topicstarter

Ok. Gedaan. Verder nog dingen die ik kan doen voor ik weer reboot?

Dinand Mentink - www.dinandmentink.nl

maandag 28 juli 2008 18:53

Acties:

0 Henk 'm!

Verwijderd

Download Malwarebytes' Anti-Malware.

Installeren, updaten en een Snelle Scan uitvoeren.
Gedetecteerde malware verwijderen. Logbestand posten.

maandag 28 juli 2008 18:57

Acties:

0 Henk 'm!

Dinand Mentink

Software Engineer

Topicstarter

Probleem. Daarvoor moet ik het internet op, iets dat ik liever niet zou doen. Maar aangezien het vaker helpt en ik toch ooit een keer weer het internet op moet waag ik het er maar op.

Dinand Mentink - www.dinandmentink.nl

maandag 28 juli 2008 19:07

Acties:

0 Henk 'm!

Verwijderd

Het is eng hé, op internet... :-)

Je kunt eventueel MBAM (Malwarebytes' Anti-Malware) downloaden via een andere pc en op een USB stick zetten. Een updatebestand kun je hier downloaden, en ook op de stick zetten.
Dan MBAM op de andere besmette PC installeren en dat update bestand uitvoeren. Op die manier hoeft die andere PC niet met Internet te worden verbonden.

maandag 28 juli 2008 19:16

Acties:

0 Henk 'm!

Dinand Mentink

Software Engineer

Topicstarter

Ships. Ik was te snel ben ik bang. Heb het op deze manier gedaan.

- Malwarebytes antimalware geinstaleerd
- met internet verbonden, hij gaf meteen aan dat er netwerkactiviteit was (maar voor zelfde geld was dat avast die aan het updaten was).
- geupdate
- internet er weer afgehaald
- scan gedraad. Log hieronder:

code:

Malwarebytes' Anti-Malware 1.23
Database versie: 1001
Windows 5.1.2600 Service Pack 2

19:05:09 28-7-2008
mbam-log-7-28-2008 (19-05-09).txt

Scan type: Snelle Scan
Objecten gescand: 39760
Verstreken tijd: 3 minute(s), 37 second(s)

Geheugenprocessen geïnfecteerd: 0
Geheugenmodulen geïnfecteerd: 0
Registersleutels geïnfecteerd: 3
Registerwaarden geïnfecteerd: 1
Registerdata bestanden geïnfecteerd: 0
Mappen geïnfecteerd: 0
Bestanden geïnfecteerd: 3

Geheugenprocessen geïnfecteerd:
(Geen kwaadaardige items gevonden)

Geheugenmodulen geïnfecteerd:
(Geen kwaadaardige items gevonden)

Registersleutels geïnfecteerd:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Registerwaarden geïnfecteerd:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{df986c2c-446c-49b7-913d-dbb1bae4dc17} (Trojan.Vundo) -> Quarantined and deleted successfully.

Registerdata bestanden geïnfecteerd:
(Geen kwaadaardige items gevonden)

Mappen geïnfecteerd:
(Geen kwaadaardige items gevonden)

Bestanden geïnfecteerd:
C:\WINDOWS\cookies.ini (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\BMcbafa59d.xml (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\BMcbafa59d.txt (Trojan.Vundo) -> Quarantined and deleted successfully.

- wederom vundofix gedraaid. Niets.
- wederom ccleaner eroverheen om alle temp internet files te verwijderen
- vervolgens hijack this gedraaid. hieronder de log

Ik heb het idee dat ik er nu onderhand helemaal af ben, maar als iemand daar anders over denkt hoor ik het graag.

hjt log:

code:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:15:53, on 28-7-2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ADAware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avast4\aswUpdSv.exe
C:\Program Files\Avast4\ashServ.exe
C:\PROGRA~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\taskswitch.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [googletalk] C:\Program Files\Google\Google Talk\googletalk.exe /autostart
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O8 - Extra context menu item: &Download All by Gigaget - C:\Program Files\Gigaget\getallurl.htm
O8 - Extra context menu item: &Download by Gigaget - C:\Program Files\Gigaget\geturl.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{CF33B57D-4AEE-4F8D-B939-384002552793}: NameServer = 192.168.2.1
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\ADAware\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Avast4\ashWebSv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 2302 bytes

Dinand Mentink - www.dinandmentink.nl

maandag 28 juli 2008 19:42

Acties:

0 Henk 'm!

Verwijderd

Ziet er mooi uit.

Windows updaten en een goede firewall installeren kan ook wat ellende voorkomen.

maandag 28 juli 2008 19:44

Acties:

0 Henk 'm!

Dinand Mentink

Software Engineer

Topicstarter

Jep. Ik ga m'n windows updaten. M'n java runtime updaten (want via daar komt het binnen schijnt) en zal meteen kijken naar een goede gratis firewall. Iemand suggesties? Ashampoo kan niet, die geeft gedonder met avast.

Dank voor de hulp.

Serieus, het is maar goed dat de makers van dit programma anoniem zijn, want ik zou ze met plezier willen vertellen hoe blij ik ben met de vele uren die het me gekost heeft om hun ongevraagde popups van mijn eigen pc af te halen, de eikels.

Dinand Mentink - www.dinandmentink.nl

maandag 28 juli 2008 19:56

Acties:

0 Henk 'm!

Verwijderd

Op verzoek verwijderd

maandag 28 juli 2008 20:03

Acties:

0 Henk 'm!

Chip.

Ook tijdje geleden last gehad van dit zeer vervelend probleem heb er ook toen vele uurtjes plezier gehad aan het verwijderen van dit. Maar ik wou even een link posten naar een topic waar het antwoord in staat dat meteen voor de TS en mijzelf werkte... pop ups niet te verwijderen.

Waarschijnlijk heb je er niks meer aan maar voor de toekomstige mensen die dit topic lezen

maandag 28 juli 2008 20:06

Acties:

0 Henk 'm!

Dinand Mentink

Software Engineer

Topicstarter

Jep. Inderdaad al gedaan. Ik ben bang dat hier mijn lek ook zat. Maar afijn. Ik had net een paar weken ashampoo firewall er af gegooid omdat hij problemen had met avast. Maar aangezien ik toch geen servers meer draai of wat ook dacht ik dat ik de firewall ook best kon laten zitten, blijkbaar niet. Heb nu op zowel mijn desktop als mijn laptop pctools firewall geinstaleerd en windows geupdate en nieuwste versie van java ben ik nu mee bezig.

Dinand Mentink - www.dinandmentink.nl

maandag 28 juli 2008 20:20

Acties:

0 Henk 'm!

The.Force

*Bauer Addict

Ik had een week geleden ook last van die virtumonde.

Enkele spyware/adware-scanners waarvan 'Superantispyware'
voor mij de beste leek...

Een degelijke firewall die 'verdachte' installatiepakketten/sites
tegenhoudt, voorkomt ook al een hoop miserie!

System Specs!

dinsdag 29 juli 2008 00:09

Acties:

0 Henk 'm!

Dinand Mentink

Software Engineer

Topicstarter

Ok. Ook dat is gelukt. Het geheel is afgehandeld. Nogmaals dank iedereen die met tips kwam, ik kon ze goed gebruiken. M'n aparatuur hier is weer schoon en beter beveiligd. Dank.

Dinand Mentink - www.dinandmentink.nl

Pagina: 1

Reageer