Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

[XP] Hoe Zlob DNS changer te verwijderen?

Pagina: 1
Acties:

maandag 10 november 2008 23:38

Acties:

Verwijderd

Topicstarter
Ik heb per ongeluk een bestand geopend waar een trojan virus in zat: Iets van Resycled en Zlob DNS changer. Na lang googlen heb ik het "resycled virus" kunnen verwijderen (viel niet mee, aangezien het verborgen bestanden zijn en het virus het zien van verborgen bestanden verhindert).
Ik zit nu nog met da Zlob DNS changer virus op m'n computer en ik krijg het niet verwijdert. Dit is blijkbaar een virus dat ongevraagd allerlei spyware en pop-ups naar je computer download. Ik heb een aantal virusscanners en spyware progs gedraait (McAfee, SpywareHunter, Spyware Doctor, Exterminate It). Geen van allen vind de spyware, behalve Exterminate It, maar de trial versie kan de spyware niet verwijderen. Ik weet dus wel welke registry entries het probleem vormen:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer=208.67.220.220,208. 67.222.222
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\dhcpNameServer=208.67.220.220,208. 67.222.222

Dit soort entries komt een aantal keren voor (voor elke control set).
Het probleem is dat als ik die entries edit of verwijder, ze na restarten van regedit weer terug op dezelfde oude 'spyware' waarde staan. Op veel andere forums lees ik inderdaad dat dit spul blijft terugkomen, maar een echt oplossing kan ik nergens vinden.

Weet iemand hoe ik van dit virus af kom!?

dinsdag 11 november 2008 00:31

Acties:

Verwijderd

Topicstarter
Wat ik vergat te melden:

Ik kan allerlei anti-spyware en anti-virus programma's installeren. Maar omdat dit virus iets doet me je DNS server en ik via een netwerk verbinding maak met internet, kan/wil ik geen internetverbinding maken. Maar dan kan ik dus geen updates voor de programma's downloaden en zit ik dus met ietwat verouderde definitions...

dinsdag 11 november 2008 01:02

Acties:
  • Fish
  • Registratie: Juli 2002
  • Niet online

Fish

How much is the fish

euh je kan toch via een andere (waar je nu op typed) de (virus) definities downloaden ?

Iperf

dinsdag 11 november 2008 01:03

Acties:

Verwijderd

Topicstarter
Volgens mij kun je die bij de meeste progs niet los downloaden... Ik weet dat het bij AdAware wel gaat, maar de rest toch niet?

dinsdag 11 november 2008 02:19

Acties:

Verwijderd

Probeer Malwarebytes' Anti-Malware eens. Is gratis te gebruiken en is erg goed in het verwijderen van zulke DNS changers.

dinsdag 11 november 2008 02:24

Acties:

Verwijderd

Definities voor Malwarebytes' Anti-Malware kun je hier downloaden, maar dat is alleen nodig wanneer het downloaden via het programma niet lukt. Deze definities lopen soms een dag achter, maar dat mag de pret niet drukken. In het algemeen lopen ze toch al voorop in het verwijderen van de nieuwste malware.

dinsdag 11 november 2008 02:31

Acties:

Verwijderd

Topicstarter
Die had ik inderdaad zojuist ook gevonden. Helaas vindt Malwarebytes' Anti-Malware niets :(
HijackThis vindt wel het volgende:
O17 - HKLM\System\CCS\Services\Tcpip\..\{93411B4B-2EEC-4612-96C1-25ABC107B13C}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222

Dat zou er wel eens mee te maken kunnen hebben, niet?

dinsdag 11 november 2008 02:51

Acties:

Verwijderd

Dit zijn servers van OpenDNS. Die gebruik ik zelf ook nadat bleek dat mijn eigen ISP de zaak niet echt goed voor elkaar had met de DNS en het patchen daarvan.

Typ maar eens een niet bestaande domeinnaam in en je komt op een pagina van OpenDNS uit.

Meer info; http://www.opendns.com/

dinsdag 11 november 2008 02:52

Acties:

Verwijderd

Topicstarter
Dit zijn de progs die ik reeds heb geprobeerd (met up-to-date virus definities):

ComboFix
Exterminate It
FixWareOut
HijackThis
Malwarebytes' Anti-Malware
XsoftSpySE
SmitFraudFix
AdAware

Tot nu toe heeft alleen Exterminate It de volgende entry 3 keer gevonden:
Zlob.Fake Security Alerts

dinsdag 11 november 2008 02:56

Acties:

Verwijderd

Topicstarter
Dus die NameServer entries kan ik gewoon laten staan?

dinsdag 11 november 2008 03:21

Acties:

Verwijderd

ja, die DNS is veilig. Misschien nog wel veiliger dan de DNS van je eigen internetprovider

Als Exterminate precies aangeeft waar die Zlob (restanten) zich bevinden kun je ze toch zelf verwijderen?

dinsdag 11 november 2008 03:28

Acties:

Verwijderd

Uhmmm... Exterminate It is ook een beetje twijfelachtig; http://www.malwarebytes.org/forums/index.php?showtopic=5928

dinsdag 11 november 2008 12:09

Acties:

Verwijderd

Topicstarter
Thanks zomaar! Exterminate It vindt dus blijkbaar regelmatig F/P's, wat meteen verklaart waarom alleen Exterminate It de entries vond.

De gevonden entries lijken inderdaad voor de OpenDNS en kunnen dus blijkbaar geen kwaad: (http://forums.spybot.info/archive/index.php/t-16215.html.
MAAR: op veel sites wordt aangegeven dat die entries verwijdert moeten worden: http://forums.breekpunt.n...CHIVE=true&TOPIC_ID=38508, http://www.hijackthis.nl/...345e280b1565e67adf7727460, http://www.pchelpforum.co...ntinuous-redirects-3.html.

Hier wordt aangegeven dat deze registry entries geen kwaad kunnen, maar veroudert zijn en dus best verwijdert kunnen worden: http://www.2-spyware.com/forum/topic1987.html.

Wat moet ik nu geloven!? Kan iemand me een eenduidig antwoord geven wat ik hiermee moet doen?

Verder: wat als de registry entries een andere waarde dan 208.67.220.220,208.67.222.222 zou hebben!?

dinsdag 11 november 2008 12:35

Acties:

Verwijderd

"Verder: wat als de registry entries een andere waarde dan 208.67.220.220,208.67.222.222 zou hebben!?"

Dat is nu precies waar het om draait. Deze gegevens zijn van OpenDNS en dus veilig. Als er nu ip-adressen staan van een DNS in de Oekraïne is het een héél ander verhaal. Dan moeten ze wel weg!!

Ik heb die regels niet in mijn HijackThis log staan omdat ik dezelfde ip-adressen in mijn router heb ingevuld voor de primaire en secundaire DNS, maar het komt uiteindelijk op hetzelfde neer. Nu wordt de DNS van OpenDNS gebruikt.

En dat er af en toe wordt aangegeven door HJT helpers dat die regels weg moeten, zal waarschijnlijk komen doordat zij niet weten dat deze ip-adressen bij OpenDNS behoren. En in bijna alle andere gevallen staan er ook ip-adressen van een DNS ingevuld die je beter niet kunt gebruiken.

dinsdag 11 november 2008 12:45

Acties:

Verwijderd

Topicstarter
Duidelijk zomaar, bedankt!

Dan heb ik de meeste vragen beantwoord, behalve of Zlob.Fake Security Alerts nu een echt trojan is of niet? Googlen levert alleen maar resultaten op die uiteindlijk leiden naar de Exterminate It website. Dus ik ben geneigd om te zeggen dat het een vals alarm is, maar hoe weet ik dat nu zeker?

dinsdag 11 november 2008 12:52

Acties:

Verwijderd

Zie dat je de vraag ook op Malwarebytes forum hebt gesteld, je zult daar ongeveer hetzelfde antwoord krijgen.
Malwarebytes' Anti-Malware zal de foute DNS wel verwijderen maar deze van OpenDNS niet.

dinsdag 11 november 2008 12:57

Acties:

Verwijderd

Ik zal eens kijken wat Exterminate It hier op mijn systemen aan False Positives zal genereren. Zal ook die OpenDNS instellingen in mijn register zetten. Even geduld aub.

dinsdag 11 november 2008 14:06

Acties:

Verwijderd

Programma Extarminate It versie 1.28 geïnstalleerd, haalt updates binnen vanaf 18-07-2007. Dat belooft al niet veel goeds.

Eerst eens scannen zonder iets te veranderen hier....(even koffie zetten)... ah, er wordt van alles gevonden; Trackingcookies, Trojans en Ransomware.

Ik heb nog niet eens OpenDNS ingesteld ;-)

Trackingcookies -> Geloof ik wel, maak ik mij niet druk om.
Trojan Regfish.a -> 2 domeinnamen die inderdaad in het register staan, maar wel bij de domeinen met beperkte toegang. Dus wanneer ik dit laat "fixen" ben ik een stukje beveiliging kwijt.
Ransomware -> C:\windows\pack.epk Geen flauw idee, volgens 3 scanners op virustotal is dit adware navipromo (http://www.virustotal.com...a39a390604d5cc8542fded77f) Klinkt al heel anders dan "Ransomware".

Nu even de OpenDNS instellen via eigenschappen LAN verbinding...

HJT toont nu het volgende;
O17 - HKLM\System\CCS\Services\Tcpip\..\{4D9C03A2-73C4-4665-9070-9EC035BF7F35}: NameServer = 208.67.220.220,208.67.222.222

Maar Exterminate It! begint er hier niet over te zeuren. Zou kunnen dat CLSID {4D9C03A2-73C4-4665-9070-9EC035BF7F35} in een whitelist staat.

dinsdag 11 november 2008 14:22

Acties:

Verwijderd

Topicstarter
Tsja, dat klinkt toch ook weer alsof Exterminate It niet echt te vertrouwen is...Ik begin me al wat minder druk te maken om de Zlob.Fake Security Alerts entries. Ik zal eens een backup van m'n registry maken en die 3 entries handmatig verwijderen...

dinsdag 11 november 2008 14:29

Acties:

Verwijderd

Topicstarter
Krijg nou wat!
Ik probeer de locaties van de registry entries met Exterminate It te vinden om ze te verwijderen en nu vindt ie ze ineens niet meer (behalve wat tracking cookies).
Het enige wat ik gedaan heb is Combofix nogmaals draaien (op aanraden van HijackThis.nl). Dat heeft de Zlob.Fake Security Alerts blijkbaar verwijdert, alhoewel er in de log niets te zien is!
Vreemd, maar ik ben er in ieder geval vanaf...

dinsdag 11 november 2008 14:42

Acties:

Verwijderd

Heb je het log van combofix nog?
Of in ieder geval een nieuw HJT log?

dinsdag 11 november 2008 14:44

Acties:

Verwijderd

Ik vermoed dat "Zlob.Fake Security Alerts" eigenlijk "Exterminate It!.Fake Security Alerts" moet zijn.... 8)

dinsdag 11 november 2008 14:54

Acties:

Verwijderd

Topicstarter
ComboFix 08-11-10.01 - Royus 2008-11-11 14:07:47.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1033.18.592 [GMT 1:00]
Running from: c:\documents and settings\Royus\Desktop\ComboFix.exe
Command switches used :: c:\documents and settings\Royus\Desktop\WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
* Created a new restore point
* Resident AV is active

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\Downloaded Program Files\setup.inf
c:\windows\system32\gggogoao.ini
c:\windows\system32\xfuqquwa.ini

.
((((((((((((((((((((((((( Files Created from 2008-10-11 to 2008-11-11 )))))))))))))))))))))))))))))))
.

2008-11-11 02:58 . 2008-11-11 02:59 <DIR> d-------- c:\windows\system32\drivers\Avg
2008-11-11 02:58 . 2008-11-11 02:58 <DIR> d-------- c:\program files\AVG
2008-11-11 02:58 . 2008-11-11 02:58 <DIR> d-------- c:\documents and settings\All Users\Application Data\avg8
2008-11-11 02:58 . 2008-11-11 02:58 97,928 --a------ c:\windows\system32\drivers\avgldx86.sys
2008-11-11 02:58 . 2008-11-11 02:58 10,520 --a------ c:\windows\system32\avgrsstx.dll
2008-11-11 02:20 . 2008-11-11 02:20 <DIR> d-------- c:\program files\Trend Micro
2008-11-11 01:52 . 2008-11-11 02:00 2,312 --a------ c:\windows\system32\tmp.reg
2008-11-11 00:49 . 2008-11-11 00:49 <DIR> d-------- c:\program files\Malwarebytes' Anti-Malware
2008-11-11 00:49 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-11 00:49 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-11-11 00:37 . 2008-11-11 01:00 <DIR> d-------- c:\program files\Exterminate It!
2008-11-11 00:14 . 2008-11-11 00:14 <DIR> d-------- c:\documents and settings\Royus\Application Data\Malwarebytes
2008-11-11 00:14 . 2008-11-11 00:14 <DIR> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2008-11-11 00:01 . 2008-11-11 02:10 <DIR> d-------- c:\program files\PackageFactory
2008-11-02 14:14 . 2008-11-11 14:07 <DIR> d-------- C:\QUARANTINE
2008-10-29 23:25 . 2008-11-11 03:12 <DIR> d-------- c:\program files\Spybot - Search & Destroy
2008-10-29 22:23 . 2008-04-14 05:42 116,224 --a--c--- c:\windows\system32\dllcache\xrxwiadr.dll
2008-10-29 22:23 . 2008-04-14 05:42 18,944 --a--c--- c:\windows\system32\dllcache\xrxscnui.dll
2008-10-29 22:23 . 2008-04-14 00:06 8,832 --a--c--- c:\windows\system32\dllcache\wmiacpi.sys
2008-10-29 22:23 . 2008-04-14 05:42 8,192 --a--c--- c:\windows\system32\dllcache\wshirda.dll
2008-10-29 22:22 . 2008-04-14 00:15 60,032 --a--c--- c:\windows\system32\dllcache\usbaudio.sys
2008-10-29 22:22 . 2008-04-14 05:42 53,760 --a--c--- c:\windows\system32\dllcache\vfwwdm32.dll
2008-10-29 22:22 . 2008-04-14 00:15 31,744 --a--c--- c:\windows\system32\dllcache\wceusbsh.sys
2008-10-29 22:22 . 2008-04-14 00:15 26,112 --a--c--- c:\windows\system32\dllcache\usbser.sys
2008-10-29 22:22 . 2008-04-14 00:17 25,856 --a--c--- c:\windows\system32\dllcache\usbprint.sys
2008-10-29 22:22 . 2008-04-14 00:15 20,608 --a--c--- c:\windows\system32\dllcache\usbuhci.sys
2008-10-29 22:22 . 2008-04-14 00:10 5,376 --a--c--- c:\windows\system32\dllcache\viaide.sys
2008-10-29 22:21 . 2008-04-14 00:10 149,376 --a--c--- c:\windows\system32\dllcache\tffsport.sys
2008-10-29 22:21 . 2008-04-14 05:42 82,944 --a--c--- c:\windows\system32\dllcache\tp4mon.exe
2008-10-29 22:21 . 2008-04-14 00:10 7,552 --a--c--- c:\windows\system32\dllcache\sonyait.sys
2008-10-29 22:20 . 2008-04-14 00:10 43,904 --a--c--- c:\windows\system32\dllcache\sbp2port.sys
2008-10-29 22:20 . 2008-04-14 05:42 29,696 --a--c--- c:\windows\system32\dllcache\rw450ext.dll
2008-10-29 22:20 . 2008-04-14 05:42 27,648 --a--c--- c:\windows\system32\dllcache\rw430ext.dll
2008-10-29 22:20 . 2008-04-14 00:06 16,000 --a--c--- c:\windows\system32\dllcache\smbbatt.sys
2008-10-29 22:20 . 2008-04-14 00:15 11,520 --a--c--- c:\windows\system32\dllcache\scsiscan.sys
2008-10-29 22:20 . 2008-04-14 00:06 6,912 --a--c--- c:\windows\system32\dllcache\smbclass.sys
2008-10-29 22:19 . 2008-04-14 05:40 259,328 --a--c--- c:\windows\system32\dllcache\perm3dd.dll
2008-10-29 22:19 . 2008-04-14 05:40 211,584 --a--c--- c:\windows\system32\dllcache\perm2dll.dll
2008-10-29 22:19 . 2008-04-14 05:42 159,232 --a--c--- c:\windows\system32\dllcache\ptpusd.dll
2008-10-29 22:19 . 2008-04-14 00:10 79,104 --a--c--- c:\windows\system32\dllcache\rocket.sys
2008-10-29 22:19 . 2008-04-14 00:14 28,032 --a--c--- c:\windows\system32\dllcache\perm3.sys
2008-10-29 22:19 . 2008-04-14 00:14 27,904 --a--c--- c:\windows\system32\dllcache\perm2.sys
2008-10-29 22:19 . 2008-04-14 00:11 17,664 --a--c--- c:\windows\system32\dllcache\ppa3.sys
2008-10-29 22:19 . 2008-04-14 00:10 8,832 --a--c--- c:\windows\system32\dllcache\powerfil.sys
2008-10-29 22:19 . 2008-04-14 00:10 6,016 --a--c--- c:\windows\system32\dllcache\qic157.sys
2008-10-29 22:18 . 2008-04-14 00:16 61,696 --a--c--- c:\windows\system32\dllcache\ohci1394.sys
2008-10-29 22:18 . 2008-04-14 00:16 49,024 --a--c--- c:\windows\system32\dllcache\mstape.sys
2008-10-29 22:18 . 2008-04-14 00:24 28,672 --a--c--- c:\windows\system32\dllcache\nscirda.sys
2008-10-29 22:17 . 2008-04-14 00:11 26,112 --a--c--- c:\windows\system32\dllcache\memstpci.sys
2008-10-29 22:17 . 2008-04-14 00:24 22,016 --a--c--- c:\windows\system32\dllcache\msircomm.sys
2008-10-29 22:17 . 2008-04-14 00:10 7,040 --a--c--- c:\windows\system32\dllcache\ltotape.sys
2008-10-29 22:16 . 2008-04-14 05:41 253,952 --a--c--- c:\windows\system32\dllcache\kdsusd.dll
2008-10-29 22:16 . 2008-04-14 05:42 151,552 --a--c--- c:\windows\system32\dllcache\irftp.exe
2008-10-29 22:16 . 2008-04-14 00:24 88,192 --a--c--- c:\windows\system32\dllcache\irda.sys
2008-10-29 22:16 . 2008-04-14 05:41 48,640 --a--c--- c:\windows\system32\dllcache\kdsui.dll
2008-10-29 22:16 . 2008-04-14 00:10 34,688 --a--c--- c:\windows\system32\dllcache\lbrtfdc.sys
2008-10-29 22:16 . 2008-04-14 05:41 28,160 --a--c--- c:\windows\system32\dllcache\irmon.dll
2008-10-29 22:16 . 2008-04-14 05:39 6,144 --a--c--- c:\windows\system32\dllcache\kbd106.dll
2008-10-29 22:16 . 2008-04-14 00:10 5,504 --a--c--- c:\windows\system32\dllcache\intelide.sys
2008-10-29 22:15 . 2008-04-14 05:41 702,845 --a--c--- c:\windows\system32\dllcache\i81xdnt5.dll
2008-10-29 22:15 . 2008-04-14 00:11 18,560 --a--c--- c:\windows\system32\dllcache\i2omp.sys
2008-10-29 22:15 . 2008-04-14 00:11 8,576 --a--c--- c:\windows\system32\dllcache\i2omgmt.sys
2008-10-29 22:14 . 2008-04-14 00:15 59,136 --a--c--- c:\windows\system32\dllcache\gckernel.sys
2008-10-29 22:14 . 2008-04-14 00:10 28,288 --a--c--- c:\windows\system32\dllcache\grserial.sys
2008-10-29 22:14 . 2008-04-14 00:06 20,352 --a--c--- c:\windows\system32\dllcache\hidbatt.sys
2008-10-29 22:14 . 2008-04-14 00:15 10,624 --a--c--- c:\windows\system32\dllcache\gameenum.sys
2008-10-29 22:13 . 2008-04-14 00:09 206,976 --a--c--- c:\windows\system32\dllcache\dot4.sys
2008-10-29 22:13 . 2008-04-14 05:42 20,992 --a--c--- c:\windows\system32\dllcache\dshowext.ax
2008-10-29 22:13 . 2008-04-14 00:10 8,320 --a--c--- c:\windows\system32\dllcache\dlttape.sys
2008-10-29 22:12 . 2008-04-14 05:41 249,856 --a--c--- c:\windows\system32\dllcache\ctmasetp.dll
2008-10-29 22:12 . 2008-04-14 05:41 121,856 --a--c--- c:\windows\system32\dllcache\camext30.dll
2008-10-29 22:12 . 2008-04-14 00:06 13,952 --a--c--- c:\windows\system32\dllcache\cmbatt.sys
2008-10-29 22:12 . 2008-04-14 00:06 10,240 --a--c--- c:\windows\system32\dllcache\compbatt.sys
2008-10-29 22:12 . 2008-04-14 00:11 8,192 --a--c--- c:\windows\system32\dllcache\changer.sys
2008-10-29 22:11 . 2008-04-14 00:16 38,912 --a--c--- c:\windows\system32\dllcache\avc.sys
2008-10-29 22:11 . 2008-04-14 00:06 14,208 --a--c--- c:\windows\system32\dllcache\battc.sys
2008-10-29 22:11 . 2008-04-14 00:16 13,696 --a--c--- c:\windows\system32\dllcache\avcstrm.sys
2008-10-29 22:10 . 2008-04-14 00:16 53,376 --a--c--- c:\windows\system32\dllcache\1394bus.sys
2008-10-29 22:10 . 2008-04-14 00:16 48,128 --a--c--- c:\windows\system32\dllcache\61883.sys
2008-10-29 22:10 . 2008-04-14 00:10 12,288 --a--c--- c:\windows\system32\dllcache\4mmdat.sys
2008-10-15 17:15 . 2008-08-14 11:09 2,145,280 --a--c--- c:\windows\system32\dllcache\ntkrnlmp.exe
2008-10-15 17:15 . 2008-08-14 10:33 2,023,936 --a--c--- c:\windows\system32\dllcache\ntkrpamp.exe

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-11 00:14 --------- d-----w c:\documents and settings\Royus\Application Data\U3
2008-11-09 17:07 --------- d-----w c:\documents and settings\Royus\Application Data\uTorrent
2008-11-02 19:01 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2008-11-02 18:44 --------- d-----w c:\program files\Shareaza
2008-11-02 18:43 --------- d-----w c:\program files\DVDlabPro2
2008-11-02 18:43 --------- d-----w c:\program files\AviSynth 2.5
2008-11-02 18:43 --------- d-----w c:\program files\Avi2Dvd
2008-11-02 18:41 --------- d-----w c:\documents and settings\Kasiunia\Application Data\Skype
2008-11-01 14:17 99,856 ----a-w c:\windows\system32\drivers\cmdGuard.sys
2008-11-01 14:17 31,504 ----a-w c:\windows\system32\drivers\cmdhlp.sys
2008-10-31 17:03 --------- d-----w c:\documents and settings\All Users\Application Data\Google Updater
2008-10-12 09:54 --------- d-----w c:\program files\McAfee
2007-05-06 09:51 10,022 --sha-w c:\windows\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATICCC"="c:\program files\ATI Technologies\ATI.ACE\cli.exe" [2005-08-12 45056]
"McAfeeUpdaterUI"="c:\program files\Network Associates\Common Framework\UpdaterUI.exe" [2004-08-06 139320]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2006-05-01 843776]
"NetLimiter"="c:\program files\NetLimiter\NetLimiter.exe" [2004-03-31 823296]
"COMODO Firewall Pro"="c:\program files\COMODO\Firewall\cfp.exe" [2008-11-01 1797880]
"ShStatEXE"="c:\program files\McAfee\VirusScan Enterprise\SHSTAT.EXE" [2008-01-24 111952]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 22:16 39792 c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVG8_TRAY]
--a------ 2008-11-11 02:58 1234712 c:\progra~1\AVG\AVG8\avgtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\COMODO Internet Security]
--a------ 2008-11-01 15:16 1797880 c:\program files\COMODO\Firewall\cfp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-01-15 03:22 267048 c:\program files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2007-03-01 15:57 153136 c:\program files\Common Files\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-01-10 15:27 385024 c:\program files\QuickTime\QTTask.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Program Files\\uTorrent\\utorrent.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\AVG\\AVG8\\avgupd.exe"=

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\Drivers\avgldx86.sys [2008-11-11 97928]
R1 cmdGuard;COMODO Firewall Pro Sandbox Driver;c:\windows\system32\DRIVERS\cmdguard.sys [2008-11-01 99856]
R1 cmdHlp;COMODO Firewall Pro Helper Driver;c:\windows\system32\DRIVERS\cmdhlp.sys [2008-11-01 31504]
S4 avg8wd;AVG Free8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [2008-11-11 231704]
.
- - - - ORPHANS REMOVED - - - -

SSODL-E404Helper-{cb3d5114-1cdf-4a66-aa76-c01d425a5b51} - e404d.dll
Notify-ddcywxu - ddcywxu.dll


.
------- Supplementary Scan -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.google.nl/
R0 -: HKCU-Main,SearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
R0 -: HKLM-Main,Start Page = hxxp://www.google.nl/
R1 -: HKCU-Internet Settings,ProxyOverride = *.local
O8 -: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O17 -: HKLM\CCS\Interface\{93411B4B-2EEC-4612-96C1-25ABC107B13C}: NameServer = 208.67.220.220,208.67.222.222

O16 -: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} - hxxp://as.photoprintit.de/ips-opdata/74914090/activex/IPSUploader4.cab
c:\windows\Downloaded Program Files\IPSUploader4.inf
c:\windows\system32\unicows.dll
c:\windows\Downloaded Program Files\IPSUploader4.ocx

O16 -: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} - hxxp://as.photoprintit.de/ips-opdata/74914090/activex/IPSUploader.cab
c:\windows\Downloaded Program Files\IPSUploader.inf
c:\windows\system32\unicows.dll
c:\windows\Downloaded Program Files\IPSUploader.ocx
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-11 14:14:30
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: c:\windows\system32\lsass.exe
-> c:\program files\NetLimiter\nl_lsp.dll
-> c:\windows\system32\nl_msgc.dll
.
------------------------ Other Running Processes ------------------------
.
c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\COMODO\Firewall\cmdagent.exe
c:\program files\McAfee\VirusScan Enterprise\Mcshield.exe
c:\program files\McAfee\VirusScan Enterprise\VsTskMgr.exe
c:\windows\system32\tcpsvcs.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\imapi.exe
.
**************************************************************************
.
Completion time: 2008-11-11 14:17:35 - machine was rebooted [Royus]
ComboFix-quarantined-files.txt 2008-11-11 13:17:24

Pre-Run: 21,679,517,696 bytes free
Post-Run: 21,730,938,880 bytes free

WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

221 --- E O F --- 2008-10-24 15:58:05

dinsdag 11 november 2008 14:57

Acties:

Verwijderd

Topicstarter
Deze melding uit het CombiFix log komt me bekend voor uit de Exterminate It! scan:
SSODL-E404Helper-{cb3d5114-1cdf-4a66-aa76-c01d425a5b51} - e404d.dll
Maar ik weet niet zeker of dat hetzelfde is...
Ik vermoed dat "Zlob.Fake Security Alerts" eigenlijk "Exterminate It!.Fake Security Alerts" moet zijn....
Ik denk dat je gelijk hebt zomaar ;)

dinsdag 11 november 2008 15:48

Acties:

Verwijderd

Ik heb zomaar gelijk ;)

Die e404d.dll is een bekend stukje malware. Maar was zeer waarschijnlijk al niet meer actief, vandaar ook dat het een "orphan" is volgens combofix. (http://www.prevx.com/file...76894355-0/E404D.DLL.html)

Notify-ddcywxu - ddcywxu.dll is waarschijnlijk een restantje van een vundo infectie, zijn random names dus zoeken op bestandsnaam geeft niet zoveel resultaten.

Ben nu even te druk om er verder op in te gaan. Kreeg net iets binnen dat ik mag vertalen, dan is er weer een super anti-malware programma in het Nederlands bijgekomen :)

dinsdag 11 november 2008 17:23

Acties:

Verwijderd

Topicstarter
Ok, 208.67.220.220, 208.67.222.222 als registry values kan dus geen kwaad, ook al zien sommige progjes het als trojan. Maar na googlen zie ik dat veel mensen de volgende DNS servers hebben die als trojan (DNS Changer) gezien wordt:

85.255.112.16, 85.255.112.180
85.255.113.116, 85.255.112.16
onder de registry keys "DhcpNameServer" en "NameServer".

Zijn dit ook legitieme DNS servers!?

dinsdag 11 november 2008 18:12

Acties:

Verwijderd

Topicstarter
goed, mijn vraag is inmiddels beantwoord. Dat zijn dus geen legitieme servers (check here), maar komen voort uit het Zlob DNS Changer trojan. Het is een pain-in-the-ass trojan om te verwijderen, omdat het vaak terug blijft komen.

Mensen waarvan hun computer besmet is met dit trojan moeten hier maar eens kijken naar een succesvolle verwijdering van dit trojan:
Virus Vault

Ik heb gisteren even snel op de computer van m'n vriendin gezocht en ben bang dat ze deze trojan ook heeft, dus daar ga ik morgen mee aan de slag...

woensdag 12 november 2008 09:23

Acties:

Verwijderd

Topicstarter
Right, die computer is dus inderdaad besmet met dat DNS Changer trojan. Ik heb het inmiddels verwijdert (SpyBot en SmitFraud gedraait). Nu heeft SmitFraud de waarde van de DNS server leeggemaakt (dus die 85.x.x.x weggehaald), maar ik kan niet kiezen voor "Obtain DNS server automatically", zoals aangeraden wordt.
Hoe kan dat nou?

woensdag 12 november 2008 11:59

Acties:

Verwijderd

Topicstarter
Ok, verkrijgen van DNS adres staat nu op automatisch :)

Volgende vraag: In de registry staan nog steeds entries met de 85.255.x.x DNS server. Maar die entries heten nu "dhcpNameServer2", waar die voorheen (als ik het me goed herinner) "dhcpNameServer" heette. Heeft een van de anti-trojan programma's dat voor me omgezet en kan ik die entries nu deleten? Of wordt dhcpNameServer2 toch gebruikt!?

woensdag 12 november 2008 14:06

Acties:

Verwijderd

http://forums.spybot.info...t=36129&highlight=OpenDNS (post# 4)

http://forums.spybot.info...t=34817&highlight=OpenDNS (post# 9)

woensdag 19 november 2008 10:33

Acties:
  • OgWok
  • Registratie: Augustus 2001
  • Laatst online: 30-11 09:48

OgWok

U.N.C.L.E.

Heb hier ook last gehad van Zlob DNS changer die 85.255.112.137 steeds terugzette. Kon daardoor bv. geen online scan doen bij Kasperski.com.

Malwarebytes Anti-Malware heeft het er goed uitgetimmerd. Exterminate It wist ze ook te vinden; maar wil je ze verwijderen dan is het betalen geblazen.
De uitleg op de Exterminate It site hoe je het eventueel handmatig kan aanpakken lijkt erop dat je snel bereid bent om te gaan betalen.

MacPro Core i5 750, Mac Mini, hier en daar een verdwaalde pc.....

woensdag 19 november 2008 16:19

Acties:

Verwijderd

Alles tussen 85.255.112.0 en 85.255.127.255 is veroorzaakt door een DNS changer.
Tenzij je zelf een ISP in de Oekraïne hebt en gebruik maakt van een DNS server van UkrTeleGroup Ltd.
Die kans is hier zeeeeeer klein 8)

dinsdag 30 december 2008 00:20

Acties:
  • sunthere
  • Registratie: Juni 2004
  • Laatst online: 25-09-2019

sunthere

Verwijderd schreef op dinsdag 11 november 2008 @ 14:57:
Deze melding uit het CombiFix log komt me bekend voor uit de Exterminate It! scan:
SSODL-E404Helper-{cb3d5114-1cdf-4a66-aa76-c01d425a5b51} - e404d.dll
Maar ik weet niet zeker of dat hetzelfde is...


[...]


Ik denk dat je gelijk hebt zomaar ;)
ik heb momenteel last van een worm/virus. Bij wordt ook een mapje aangemaakt 'resycled' . Ook allerlei vervelende pop-ups, en redirects van internetpagina's. ik heb superantispyware en adaware geprobeerd te installeren maar niets kan updaten. Het lukt ook niet om de nwe definities handmatig te downloaden. Mijn norton kan ik niet meer opstarten. sommige snelkoppelingen doen het ook niet meer. ik krijg foutmeldingen onder andere over resycled.

Is ditover eenkomstig met jou probleem. heb je het kunnen oplossen? Zo ja hoe ?
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq