:strip_icc():strip_exif()/u/164945/70.jpg?f=community)
(\ _ /)
(='.'=)
(")_(")This is Bunny.
Copy and paste Bunny into your signature to help him gain world domination.
:strip_icc():strip_exif()/u/60161/offspring.jpg?f=community)
There are only 10 types of people in the world...those who understand binary and those who don't.
Jeremy Clarkson: It’s, um, a mobile phone holder, or as Richard Hammond calls it, a seat!
(\ _ /)
(='.'=)
(")_(")This is Bunny.
Copy and paste Bunny into your signature to help him gain world domination.
/u/201651/beastie_300.png?f=community)
(\ _ /)
(='.'=)
(")_(")This is Bunny.
Copy and paste Bunny into your signature to help him gain world domination.
(\ _ /)
(='.'=)
(")_(")This is Bunny.
Copy and paste Bunny into your signature to help him gain world domination.
heb thuis nog even lang gegoogled (op de geavanceerde manier) en heb eindelijk wat gevonden.
Zoals mijn vermoeden het voorspelde was het een moeilijk te pakken rootkit met zijn bijbehorende hulpprogramma's.
wat ik heb gedaan en heb gevonden:
- ad-aware gerund (niet echt veel gevonden)
- een rootkitscanner van Prevx (vond de rootkit wel maar verwijderde enkel met betalende versie)
- verder gezocht naar freeware 2 scanners gebruikt => niks gevonden
- spybot S & D gerund => microsoft.windows.firwallbypass (duidelijk dat er iets meer aan de hand is dus)
- op een forum iets gevonden en dan de malwarescanner malwarebytes gerund => rootkit: rootkit.agent sysaudio.sys
bedankt voor alle antwoorden nu draait alles weer lekker vlot (ik had ook last van traag internet).
Zoals mijn vermoeden het voorspelde was het een moeilijk te pakken rootkit met zijn bijbehorende hulpprogramma's.
wat ik heb gedaan en heb gevonden:
- ad-aware gerund (niet echt veel gevonden)
- een rootkitscanner van Prevx (vond de rootkit wel maar verwijderde enkel met betalende versie)
- verder gezocht naar freeware 2 scanners gebruikt => niks gevonden
- spybot S & D gerund => microsoft.windows.firwallbypass (duidelijk dat er iets meer aan de hand is dus)
- op een forum iets gevonden en dan de malwarescanner malwarebytes gerund => rootkit: rootkit.agent sysaudio.sys
bedankt voor alle antwoorden nu draait alles weer lekker vlot (ik had ook last van traag internet).
(\ _ /)
(='.'=)
(")_(")This is Bunny.
Copy and paste Bunny into your signature to help him gain world domination.
Mocht je Internet Explorere gebruiken dan is het ook altijd handig om even naar de geladen plugins (invoegtoepassingen) te kijken. Veel scanners laten deze gewoon zitten.:
heb thuis nog even lang gegoogled (op de geavanceerde manier) en heb eindelijk wat gevonden.
Zoals mijn vermoeden het voorspelde was het een moeilijk te pakken rootkit met zijn bijbehorende hulpprogramma's.
wat ik heb gedaan en heb gevonden:
- ad-aware gerund (niet echt veel gevonden)
- een rootkitscanner van Prevx (vond de rootkit wel maar verwijderde enkel met betalende versie)
- verder gezocht naar freeware 2 scanners gebruikt => niks gevonden
- spybot S & D gerund => microsoft.windows.firwallbypass (duidelijk dat er iets meer aan de hand is dus)
- op een forum iets gevonden en dan de malwarescanner malwarebytes gerund => rootkit: rootkit.agent sysaudio.sys
bedankt voor alle antwoorden nu draait alles weer lekker vlot (ik had ook last van traag internet).
Internet Exporer - Extra - Internetopties - Tabblad programma's - Invoegtoepassingen beheren!
Superantispyware is trouwens ook een aanrader om spyware en andere rommel te verwijderen
[ Voor 3% gewijzigd door Bart1983 op 13-12-2008 12:20 ]
ik gebruik internet explorer zelden (proud to be a firefox user), het probleem dook ook op in firefox dus ben ik beginnen zoeken. heb even rondgesnuffelt in de invoegtoepassingen en heb niks verdachts gevonden.:
[...]
Mocht je Internet Explorere gebruiken dan is het ook altijd handig om even naar de geladen plugins (invoegtoepassingen) te kijken. Veel scanners laten deze gewoon zitten.
Internet Exporer - Extra - Internetopties - Tabblad programma's - Invoegtoepassingen beheren!
Superantispyware is trouwens ook een aanrader om spyware en andere rommel te verwijderen
En nu ik het bericht op tweakers heb gelezen over een gevaarlijk beveiligingslek in internet explorer zal ik nog meer firefox gaan gebruiken
(\ _ /)
(='.'=)
(")_(")This is Bunny.
Copy and paste Bunny into your signature to help him gain world domination.
(\ _ /)
(='.'=)
(")_(")This is Bunny.
Copy and paste Bunny into your signature to help him gain world domination.
Clean eens je cache (IE en FF) Temporary Internet Files, en Temp mappen.
Voor de rest kan je bv. CCleaner gebruiken (Slim versie, other builds) om achtergebleven spullen op te schonen.
Als ik de extensies zie van de bestanden, dan denk ik dat het virus als driver wordt geladen.
Zoek daar misschien eens achter ?
Verder HijackThis log maken, ik kan niet overweg met ComboFix
Schakel ook alle overbodige of onbekende services uit, en check een aantal veelvoorkomende Windows bestanden zoals svchost.exe, winlogon.exe, explorer.exe, etc. samen met de bijbehorende DLL files.
Verder misschien eens Windows Update doen, volgens T.net artikel is ondertussen lek gedicht d.m.v. patch op WU.
Succes
Voor de rest kan je bv. CCleaner gebruiken (Slim versie, other builds) om achtergebleven spullen op te schonen.
Als ik de extensies zie van de bestanden, dan denk ik dat het virus als driver wordt geladen.
Zoek daar misschien eens achter ?
Verder HijackThis log maken, ik kan niet overweg met ComboFix
Schakel ook alle overbodige of onbekende services uit, en check een aantal veelvoorkomende Windows bestanden zoals svchost.exe, winlogon.exe, explorer.exe, etc. samen met de bijbehorende DLL files.
Verder misschien eens Windows Update doen, volgens T.net artikel is ondertussen lek gedicht d.m.v. patch op WU.
Succes
Somewhere in Texas there's a village missing its idiot.
al gedaan:
Clean eens je cache (IE en FF) Temporary Internet Files, en Temp mappen.
Voor de rest kan je bv. CCleaner gebruiken (Slim versie, other builds) om achtergebleven spullen op te schonen.
Als ik de extensies zie van de bestanden, dan denk ik dat het virus als driver wordt geladen.
Zoek daar misschien eens achter ?
Verder HijackThis log maken, ik kan niet overweg met ComboFix
Schakel ook alle overbodige of onbekende services uit, en check een aantal veelvoorkomende Windows bestanden zoals svchost.exe, winlogon.exe, explorer.exe, etc. samen met de bijbehorende DLL files.
Verder misschien eens Windows Update doen, volgens T.net artikel is ondertussen lek gedicht d.m.v. patch op WU.
Succes
ik gebruik trouwens enkel firefox.ik zal eens kijken om een hijackthis log te maken, voorlopig houd de rootkit zich koest, ik heb Avast een scan laten doen, had een aantal rootkits in de systeemherstel bestanden gevonden, voor de zekerheid alle controlepunten verwijdert en een nieuw aangemaakt.
dus om even alles op te sommen:
spybot S &D had een windows.firewall.bypass gevonden
malwarebytes: vond een rootkit sysaudio.sys
Avast scan: rootkits uit recovery bestanden
systeemherstel bestanden verwijdert
combofix gedraaid:
verwijdert -> sysaudio.sys
ntnet.drv
google gebruikt de juiste server
als ik na m'n exames tijd heb zal ik misschien een format uitvoeren.
(\ _ /)
(='.'=)
(")_(")This is Bunny.
Copy and paste Bunny into your signature to help him gain world domination.
(\ _ /)
(='.'=)
(")_(")This is Bunny.
Copy and paste Bunny into your signature to help him gain world domination.
:strip_exif()/u/109857/ico2.gif?f=community)
/u/44155/marzman.png?f=community)
☻/ Please consider the environment before printing this signature
/▌
/ \ <-- This is bob. copy and paste him and he will soon take over the world.
/u/65523/MJJ%2520Farewell%2520resized4.PNG?f=community)
(\ _ /)
(='.'=)
(")_(")This is Bunny.
Copy and paste Bunny into your signature to help him gain world domination.
There are only 10 types of people in the world...those who understand binary and those who don't.
Jeremy Clarkson: It’s, um, a mobile phone holder, or as Richard Hammond calls it, a seat!
(\ _ /)
(='.'=)
(")_(")This is Bunny.
Copy and paste Bunny into your signature to help him gain world domination.
:strip_icc():strip_exif()/u/212310/6.jpg?f=community)
(\ _ /)
(='.'=)
(")_(")This is Bunny.
Copy and paste Bunny into your signature to help him gain world domination.
(\ _ /)
(='.'=)
(")_(")This is Bunny.
Copy and paste Bunny into your signature to help him gain world domination.
tjah
daar is het al redelijk laat voor, het is mijn fileserver enzo, maar hij infecteert geen andere pc's heb ik al gemerkt, de rootkit blijft lokaal op die pc.toen ik het eerst opmerkte ben ik onmiddelijk alle pc's beginnen checken of er daar geen symptomen waren en die zijn er niet
edit: ik zal er voorlopig een andere pc plaatsten misschien voor de zekerheid, maar dan moet ik nog redelijk wat data gaan beginnen overzetten enzo, daar komt nog bij dat m'n fileserver platligt
en die wordt dagelijks wel door minstens één van mijn pc's aangesproken
[ Voor 15% gewijzigd door pm1 op 22-12-2008 16:22 ]
(\ _ /)
(='.'=)
(")_(")This is Bunny.
Copy and paste Bunny into your signature to help him gain world domination.
rootkit is intussen weer actief geworden, reden onbekend hier is een nieuw hijackthis log
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:36:22, on 22/12/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\eBay\eBay Toolbar2\eBayTBDaemon.exe
C:\Program Files\Microsoft IntelliType Pro\itype.exe
C:\Program Files\Spamihilator\spamihilator.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\scanner.com.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: Adobe PDF Reader Help bij koppelingen - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - C:\Program Files\eBay\eBay Toolbar2\eBayTB.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Program Files\eBay\eBay Toolbar2\eBayTB.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [eBayToolbar] C:\Program Files\eBay\eBay Toolbar2\eBayTBDaemon.exe
O4 - HKLM\..\Run: [itype] "C:\Program Files\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [Spamihilator] "C:\Program Files\Spamihilator\spamihilator.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-21-1454471165-1364589140-682003330-1009\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-1454471165-1364589140-682003330-1009\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: &Search - ?p=ZNxpt158YYBE
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Zoeken op eBay - res://C:\Program Files\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microso...eb_site.cab?1206900540104
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macrom...ve/cabs/flash/swflash.cab
O23 - Service: Mobiel Apple apparaat (Apple Mobile Device) - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Bonjour-service (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: iPod-service (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
--
End of file - 7721 bytes
hopelijk vinden jullie hier iets meer in, intussen verwijder ik de rootkits weer met combofix.
ik begin wat wanhopig te worden
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:36:22, on 22/12/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\eBay\eBay Toolbar2\eBayTBDaemon.exe
C:\Program Files\Microsoft IntelliType Pro\itype.exe
C:\Program Files\Spamihilator\spamihilator.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\scanner.com.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: Adobe PDF Reader Help bij koppelingen - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - C:\Program Files\eBay\eBay Toolbar2\eBayTB.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Program Files\eBay\eBay Toolbar2\eBayTB.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [eBayToolbar] C:\Program Files\eBay\eBay Toolbar2\eBayTBDaemon.exe
O4 - HKLM\..\Run: [itype] "C:\Program Files\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [Spamihilator] "C:\Program Files\Spamihilator\spamihilator.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-21-1454471165-1364589140-682003330-1009\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-1454471165-1364589140-682003330-1009\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: &Search - ?p=ZNxpt158YYBE
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Zoeken op eBay - res://C:\Program Files\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microso...eb_site.cab?1206900540104
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macrom...ve/cabs/flash/swflash.cab
O23 - Service: Mobiel Apple apparaat (Apple Mobile Device) - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Bonjour-service (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: iPod-service (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
--
End of file - 7721 bytes
hopelijk vinden jullie hier iets meer in, intussen verwijder ik de rootkits weer met combofix.
ik begin wat wanhopig te worden
(\ _ /)
(='.'=)
(")_(")This is Bunny.
Copy and paste Bunny into your signature to help him gain world domination.
/u/97665/Opera1_t.png?f=community)
/u/200342/neoshin-tux-templier-v2a.png?f=community)
"A person ignorant of the possibility of failure can be a halfbrick in the path of the bicycle of history" - Terry Pratchett
heb eergisteren eens CCleaner gedraaid en tot nu toe houd hij zich weer koest.
hopelijk blijft het nu zo anders overweeg ik toch eerder een format
als ie nog zou terugkomen ga ik ook zeker de entry's die jullie zeggen verwijderen
hopelijk blijft het nu zo anders overweeg ik toch eerder een format
als ie nog zou terugkomen ga ik ook zeker de entry's die jullie zeggen verwijderen
(\ _ /)
(='.'=)
(")_(")This is Bunny.
Copy and paste Bunny into your signature to help him gain world domination.
dit kan toch niet meer waar zijn
nu ineens begint google te verbinden naar 7.7.7.0 i.p.v. 1.2.3.0
Nu ben ik echt ten einde raad
hijackthis: heb de entry's verwijdert (geen resultaat)malwarebystes heeft gescand (geen resultaat)
combofix zegt dat hij verlopen is dus kan niet zo goed meer scannen maar heb er wel één ding ontdekt:
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux2"= wdmaud.sys
vroeger kwam hier steeds weer sysaudio.sys te staan en nu is het iets totaal anders.
combofix logje
ComboFix 08-12-24.01 - pieter 2008-12-25 23:46:00.9 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1043.18.1535.1029 [GMT 1:00]
Gestart vanuit: c:\documents and settings\pieter\Bureaublad\ComboFix.exe
* Nieuw herstelpunt werd aangemaakt
.
(((((((((((((((((((( Bestanden Gemaakt van 2008-11-25 to 2008-12-25 ))))))))))))))))))))))))))))))
.
2008-12-22 23:00 . 2008-12-25 23:39 <DIR> dr-h----- c:\documents and settings\pieter\Onlangs geopend
2008-12-22 22:59 . 2008-12-22 22:59 <DIR> d-------- c:\program files\CCleaner
2008-12-22 22:49 . 2008-12-22 22:49 <DIR> d--h----- c:\windows\system32\GroupPolicy
2008-12-21 18:36 . 2008-12-21 18:36 <DIR> d-------- c:\program files\Trend Micro
2008-12-20 12:51 . 2008-12-20 12:52 <DIR> d-------- c:\program files\iTunes
2008-12-20 12:51 . 2008-12-20 12:51 <DIR> d-------- c:\program files\iPod
2008-12-20 12:51 . 2008-12-20 12:52 <DIR> d-------- c:\documents and settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-12-20 12:49 . 2008-12-20 12:50 <DIR> d-------- c:\program files\QuickTime
2008-12-15 22:37 . 2008-12-17 11:28 <DIR> d-------- c:\documents and settings\pieter\Application Data\FileZilla
2008-12-14 13:03 . 2008-12-14 13:03 <DIR> d-------- c:\windows\system32\nl
2008-12-14 13:03 . 2008-12-14 13:03 <DIR> d-------- c:\windows\system32\bits
2008-12-14 13:03 . 2008-12-14 13:03 <DIR> d-------- c:\windows\l2schemas
2008-12-13 12:00 . 2008-12-13 11:59 410,984 --a------ c:\windows\system32\deploytk.dll
2008-12-12 23:07 . 2008-12-18 23:51 <DIR> d-------- c:\program files\Malwarebytes' Anti-Malware
2008-12-12 23:07 . 2008-12-12 23:07 <DIR> d-------- c:\documents and settings\pieter\Application Data\Malwarebytes
2008-12-12 23:07 . 2008-12-12 23:07 <DIR> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2008-12-12 23:07 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-12 23:07 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-12-12 22:12 . 2008-12-19 22:21 <DIR> d-------- c:\program files\Spybot - Search & Destroy
2008-12-12 22:12 . 2008-12-19 22:21 <DIR> d-------- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2008-12-11 23:15 . 2008-12-14 15:48 <DIR> d-------- c:\documents and settings\All Users\Application Data\Lavasoft
2008-12-11 22:49 . 2008-12-25 22:51 <DIR> d-------- c:\documents and settings\pieter\Application Data\Spamihilator
2008-12-11 21:31 . 2008-12-11 21:31 <DIR> d-------- c:\documents and settings\Administrator\Application Data\TuneUp Software
2008-12-04 19:28 . 2008-12-11 21:28 <DIR> d-------- c:\documents and settings\Administrator\Application Data\Spamihilator
2008-12-04 19:28 . 2008-12-04 19:28 <DIR> d-------- c:\documents and settings\Administrator\Application Data\eBay
2008-12-04 19:28 . 2004-08-04 00:03 221,184 --a------ c:\windows\system32\wmpns.dll
2008-12-04 19:27 . 2008-03-30 18:34 <DIR> d--h----- c:\documents and settings\Administrator\Sjablonen
2008-12-04 19:27 . 2008-12-04 19:28 <DIR> dr-h----- c:\documents and settings\Administrator\Onlangs geopend
2008-12-04 19:27 . 2008-03-30 20:26 <DIR> d--h----- c:\documents and settings\Administrator\Netwerkprinteromgeving
2008-12-04 19:27 . 2008-12-04 19:28 <DIR> dr------- c:\documents and settings\Administrator\Mijn documenten
2008-12-04 19:27 . 2008-03-30 20:26 <DIR> dr------- c:\documents and settings\Administrator\Menu Start
2008-12-04 19:27 . 2008-12-04 19:28 <DIR> dr------- c:\documents and settings\Administrator\Favorieten
2008-12-04 19:27 . 2008-03-30 20:26 <DIR> d-------- c:\documents and settings\Administrator\Bureaublad
2008-12-04 19:27 . 2008-12-04 19:27 <DIR> d-------- c:\documents and settings\Administrator
.
((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-25 20:10 --------- d-----w c:\documents and settings\All Users\Application Data\WholeSecurity
2008-12-20 11:51 --------- d-----w c:\program files\Common Files\Apple
2008-12-14 14:49 --------- d-----w c:\program files\Common Files\Wise Installation Wizard
2008-12-14 14:47 --------- d-----w c:\program files\Google
2008-12-13 10:59 --------- d-----w c:\program files\Java
2008-12-11 22:18 --------- d-----w c:\program files\Spamihilator
2008-12-08 17:03 --------- d-----w c:\program files\TuneUp Utilities 2008
2008-11-17 18:49 --------- d-----w c:\program files\Microsoft IntelliType Pro
2008-11-17 17:58 --------- d-----w c:\program files\Microsoft IntelliType Pro 6.02
2008-11-12 07:52 --------- d-----w c:\program files\Common Files\Adobe
2008-11-07 07:37 --------- d-----w c:\program files\MSECache
2008-11-02 17:08 --------- d--h--w c:\program files\InstallShield Installation Information
2008-11-02 17:07 --------- d-----w c:\program files\eBay
2008-10-28 15:46 49,152 ----a-r c:\windows\system32\inetwh32.dll
2008-10-28 15:46 1,044,480 ----a-r c:\windows\system32\roboex32.dll
2008-10-23 12:43 286,720 ----a-w c:\windows\system32\gdi32.dll
2008-10-16 20:33 826,368 ----a-w c:\windows\system32\wininet.dll
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-16 13:06 268,648 ----a-w c:\windows\system32\mucltui.dll
2008-10-16 13:06 208,744 ----a-w c:\windows\system32\muweb.dll
2008-10-03 10:05 247,326 ----a-w c:\windows\system32\strmdll.dll
.
((((((((((((((((((((((((((((( snapshot@2008-12-17_19.53.14,73 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-10-17 01:03:30 3,593,216 -c----w c:\windows\ie7updates\KB960714-IE7\mshtml.dll
+ 2007-03-06 01:58:27 216,800 -c----w c:\windows\ie7updates\KB960714-IE7\spuninst\spuninst.exe
+ 2007-03-06 01:59:37 389,856 -c----w c:\windows\ie7updates\KB960714-IE7\spuninst\updspapi.dll
+ 2008-12-20 11:52:14 102,400 ----a-r c:\windows\Installer\{318AB667-3230-41B5-A617-CB3BF748D371}\iTunesIco.exe
- 2008-10-17 01:03:30 3,593,216 -c----w c:\windows\system32\dllcache\mshtml.dll
+ 2008-12-13 06:39:18 3,593,216 -c----w c:\windows\system32\dllcache\mshtml.dll
- 2008-10-17 01:03:30 3,593,216 ----a-w c:\windows\system32\mshtml.dll
+ 2008-12-13 06:39:18 3,593,216 ----a-w c:\windows\system32\mshtml.dll
+ 2008-04-14 17:02:29 14,336 ----a-w c:\windows\system32\wdmaud.sys
+ 2008-12-23 08:40:07 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_460.dat
+ 2008-12-25 10:21:05 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_7b0.dat
.
((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-12-13 136600]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-26 81000]
"eBayToolbar"="c:\program files\eBay\eBay Toolbar2\eBayTBDaemon.exe" [2008-08-11 652528]
"itype"="c:\program files\Microsoft IntelliType Pro\itype.exe" [2006-09-22 793408]
"Spamihilator"="c:\program files\Spamihilator\spamihilator.exe" [2008-08-28 1223680]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-11-04 413696]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-11-20 290088]
"nwiz"="nwiz.exe" [2006-10-22 c:\windows\system32\nwiz.exe]
"NvMediaCenter"="NvMCTray.dll" [2006-10-22 c:\windows\system32\nvmctray.dll]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
c:\documents and settings\All Users\Menu Start\Programma's\Opstarten\
hp psc 1000 series.lnk - c:\program files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe [2003-04-09 147456]
hpoddt01.exe.lnk - c:\program files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-04-09 28672]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="c:\\WINDOWS\\system32\\logonui.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux2"= wdmaud.sys
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" -atboottime
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Maple 11\\jre\\bin\\java.exe"=
"c:\\Program Files\\Spamihilator\\cdcc.exe"=
"c:\\Program Files\\Spamihilator\\dccproc.exe"=
"c:\\Program Files\\Spamihilator\\spamihilator.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\WINDOWS\\PCHEALTH\\HELPCTR\\Binaries\\helpctr.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"80:TCP"= 80:TCP:*:Disabled:Web
"3389:TCP"= 3389:TCP:*:Disabled:@xpsp2res.dll,-22009
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-03-30 111184]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2008-03-30 20560]
S3 MEMSWEEP2;MEMSWEEP2;\??\c:\windows\system32\1195.tmp []
S3 qic157;qic157;c:\windows\system32\DRIVERS\qic157.sys [2008-03-30 6016]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
*Newly Created Service* - CATCHME
.
Inhoud van de 'Gedeelde Taken' map
2008-12-22 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
2008-12-25 c:\windows\Tasks\Easy Onderhoud.job
- c:\program files\TuneUp Utilities 2008\OneClickStarter.exe [2008-06-20 08:39]
.
.
------- Bijkomende Scan -------
.
uStart Page = hxxp://www.google.be/
uInternet Connection Wizard,ShellNext = iexplore
IE: E&xporteren naar Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Zoeken op eBay - c:\program files\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
FF - ProfilePath - c:\documents and settings\pieter\Application Data\Mozilla\Firefox\Profiles\hu0b9agj.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.be/
FF - plugin: c:\documents and settings\All Users\Application Data\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF - plugin: c:\program files\Microsoft Silverlight\2.0.31005.0\npctrl.1.0.30716.0.dll
FF - plugin: c:\program files\Microsoft Silverlight\2.0.31005.0\npctrl.dll
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-25 23:47:25
Windows 5.1.2600 Service Pack 3 NTFS
scannen van verborgen processen ...
scannen van verborgen autostart items ...
scannen van verborgen bestanden ...
Scan succesvol afgerond
verborgen bestanden: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\MEMSWEEP2]
"ImagePath"="\??\c:\windows\system32\1195.tmp"
.
Voltooingstijd: 2008-12-25 23:48:35
ComboFix-quarantined-files.txt 2008-12-25 22:48:32
ComboFix2.txt 2008-12-25 22:15:31
ComboFix3.txt 2008-12-22 21:42:31
ComboFix4.txt 2008-12-21 17:33:24
ComboFix5.txt 2008-12-25 22:45:25
Pre-Run: 21.518.979.072 bytes beschikbaar
Post-Run: 21,504,245,760 bytes beschikbaar
181 --- E O F --- 2008-12-18 13:00:15
edit1: heb nog een rare ontdekking gedaan
als ik nu naar het ip surf
http://7.7.7.0/
krijg ik dit te zien in mijn browser (firefox)
code:
1
| document.write("<div id=_p_></div>");window.onload=function(){try{var u=document.body.getAttribute("unload");if(u)eval(u);}catch(e){}};// |
edit 2: het probleem is voorlopig opgelost het is bus blijkbaar zoals gedacht java code en ik heb java uitgeschakeld in firefox en het probleem is weg
zo moet het dan maar even gebeuren terwijl ik in de exames zit en dan in één keer format.
hoewel ik toch nieuwsgierig ben geworden om deze bug te pakken zodat niemand anders dit moet hebben
[ Voor 99% gewijzigd door pm1 op 26-12-2008 00:07 ]
(\ _ /)
(='.'=)
(")_(")This is Bunny.
Copy and paste Bunny into your signature to help him gain world domination.
de wet van murphy lol 
ik moet blokken maar ondertussen zit alles mij tegen hiermee is het begonnen en ondertussen zijn er al 3 problemen bijgekomen waarvan er al 2 opgelost zijn
ik moet blokken maar ondertussen zit alles mij tegen hiermee is het begonnen en ondertussen zijn er al 3 problemen bijgekomen waarvan er al 2 opgelost zijn
(\ _ /)
(='.'=)
(")_(")This is Bunny.
Copy and paste Bunny into your signature to help him gain world domination.
:strip_exif()/u/39909/phphulpicoon.gif?f=community)
(\ _ /)
(='.'=)
(")_(")This is Bunny.
Copy and paste Bunny into your signature to help him gain world domination.
ik zal eens checken straks
kan er iemand mij vertellen wat die code betekent als ik http://7.7.7.0/ intik ?
(\ _ /)
(='.'=)
(")_(")This is Bunny.
Copy and paste Bunny into your signature to help him gain world domination.
:strip_exif()/u/53522/crop583d477015a24.gif?f=community)
code:
1
| C:\Program Files\Bonjour\mDNSResponder.exe |
Is ook een bekende...
Flikker die eens weg... En installeer voortaan ook Spyware Blaster. Is een gratis programmaatje, die voorkomt dat een boel rotzooi op de PC komt, wellicht dat het helpt!
[ Voor 55% gewijzigd door CH4OS op 26-12-2008 22:22 ]
hosts ----> gewijzigd op 12/12/08 mmm toevallig
284 kbhosts.20081212-224354.backup ----> gemaaktop 12/12/08
hosts.20081212-224509.backup ----> gemaakt/gemaakt op 12/12/08 mmm toevallig
284 kbhosts.msn
lmhosts
networks
protocol
services
i think we have a winner
wat moet ik hier nu mee doen vervangen met host files van een onbesmette pc ?
[ Voor 4% gewijzigd door pm1 op 27-12-2008 10:25 ]
(\ _ /)
(='.'=)
(")_(")This is Bunny.
Copy and paste Bunny into your signature to help him gain world domination.
Bedankt Prevx heeft alles gevonden en verwijderd
edit:
Previously Detected Files:
[BP] C:\Documents and Settings\pieter\Local Settings\Temporary Internet Files\Content.IE5\RDPZHPNT\1[1].exe [PX5: 81CDD6EB00853B91347300BAD9972700331AAF90] Malware Group: Information Stealer
[BP] C:\Program Files\Solid Edge V17\Program\Assembly3D.dll [PX5: D79E15C7001A51E2A0E30066224C860037BDCCA6] Malware Group: Fraudulent Security Program
[BP] C:\Program Files\Solid Edge V17\Program\NavManager.dll [PX5: DC08C8BF0027C5F778640042F2F70E00E9AE5481] Malware Group: Fraudulent Security Program
[B] C:\Program Files\Solid Edge V17\Program\UGPrtLoader.dll [PX5: F82CADEC00260FCF6C76003141D48F0063B360DF] Malware Group: Fraudulent Security Program
[BP] C:\Program Files\Solid Edge V17\Program\MotionSystem.dll [PX5: 599C5A91004F8D3DA21B009BD8F1A6009DFC0BA5] Malware Group: Fraudulent Security Program
[BP] C:\Program Files\Solid Edge V17\Program\V3DTree.dll [PX5: D1E0417400C7EF46567200859ED31F004CD84C1A] Malware Group: Fraudulent Security Program
[B] C:\Program Files\Solid Edge V17\Program\PLMXMLLoader.dll [PX5: 055E7924006CF2297280003996C97500A8B9F4A5] Malware Group: Fraudulent Security Program
[BP] C:\Program Files\Solid Edge V17\Program\XTUtility.dll [PX5: [b]9A2ED34500288BF6F2A100C410B681007DB776FC] Malware Group: Fraudulent Security Program
C:\WINDOWS\system32\wdmaud.sys [PX5: 70822DBB001F2C9D38280025B08584008C7DD36E] Malware Group: Malicious Software
wdmaud.sys zoals verwacht
de files van solid edge die als malware gezien worden lijkt me maar raar
edit 2: licentie nog 6 dagen geldig
[ Voor 63% gewijzigd door pm1 op 27-12-2008 10:52 ]
(\ _ /)
(='.'=)
(")_(")This is Bunny.
Copy and paste Bunny into your signature to help him gain world domination.
check eens of het zich niet verspreid over het netwerk naar andere computers ?
heb veen op m'n laptop gechecked en wdmaud staat hier ook op maar dat is een driver.
tegenwoordig ben je voor niks meer veilig, je systeem wordt zo log van alle software die eropstaat om malware buiten te houden.
om eerlijk te zijn is het wat mijn eigen schuld
ik draaide enkel avast dus waarschijnlijk is het ergens meegeslopen tussen alle spam die ik dagelijks te verwerken krijg
(\ _ /)
(='.'=)
(")_(")This is Bunny.
Copy and paste Bunny into your signature to help him gain world domination.
:strip_icc():strip_exif()/u/54116/Image1.jpg?f=community)
AMD Ryzen 5 2600, 8 GB RAM, GigaByte GTX1050Ti 4G, MSI B450M, 970 EVO 500GB+160 GB, CM 550watt, AOC 24”
Lenovo IdeaPad Pro 5 14APH8, AMD Ryzen 7 7840HS, 32GB RAM, 1TB SSD
verbind hij ook naar 1.2.3.0 dan kan je het voorlopig fixen met combofix.
check zeker je system32 map
zoek naar
sysaudio.sys
ntnet.drv
wdmaud.sys
als je combofix zou draaien kijk dan vooral bij
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux2"= hier staat meestal de boosdoener
edit: hopelijk blijft die rootkit nu voorgoed weg
(\ _ /)
(='.'=)
(")_(")This is Bunny.
Copy and paste Bunny into your signature to help him gain world domination.
AMD Ryzen 5 2600, 8 GB RAM, GigaByte GTX1050Ti 4G, MSI B450M, 970 EVO 500GB+160 GB, CM 550watt, AOC 24”
Lenovo IdeaPad Pro 5 14APH8, AMD Ryzen 7 7840HS, 32GB RAM, 1TB SSD
Prevx gaf gisteren nog eens alarm over dit:
[BPN] (ACTIVE) C:\Documents and Settings\pieter\Local Settings\temp\wJQs.exe [PX5: 9BEC9DF9007DEC69344A00267559DE007349CECE] Malware Group: Information Stealer
edit: vandaag een scan gerund raad eens wat er gevonden werd
[BPN] (ACTIVE) C:\Documents and Settings\pieter\Local Settings\Temporary Internet Files\Content.IE5\RDPZHPNT\1[1].exe [PX5: 9BEC9DF9007DEC69344A00267559DE007349CECE] Malware Group: Information Stealer
het blijft dus van ergens terugkomen.
@ zomaar: solid edge draait nog normaal ik denk dat prevx-edge het bij het rechte eind had want op het internet vond ik ook dat assembly3D.dll als malware stond.
edit 2 : ik vraag me af hoe zo'n exe binnenraakt in internet explorer als ik het allen gebruik om hotmail mee te lezen en het wordt dan nog geactiveerd zonder waarschuwing.
edit 3: nog even want rondgesnuffeld op de C schijf en wat ontdekkingen gedaan
er stonden bestanden op van sqmdata00.sqm en sqmnoopt00.sqm ik heb al gevonden hoe ik dat probleem oplos maar er stonden nog 2 andere die mij nieuwsgierig maakten
boot.bak
cmldr (extensie geen idee er staat "bestand")
ik heb ze voorlopig naar m'n prullenbak verplaatst, boot.bak heb ik ergens gelezen dat het dient voor een dual-boot maar dat heb ik niet.
[BPN] (ACTIVE) C:\Documents and Settings\pieter\Local Settings\temp\wJQs.exe [PX5: 9BEC9DF9007DEC69344A00267559DE007349CECE] Malware Group: Information Stealer
edit: vandaag een scan gerund raad eens wat er gevonden werd
[BPN] (ACTIVE) C:\Documents and Settings\pieter\Local Settings\Temporary Internet Files\Content.IE5\RDPZHPNT\1[1].exe [PX5: 9BEC9DF9007DEC69344A00267559DE007349CECE] Malware Group: Information Stealer
het blijft dus van ergens terugkomen.
@ zomaar: solid edge draait nog normaal ik denk dat prevx-edge het bij het rechte eind had want op het internet vond ik ook dat assembly3D.dll als malware stond.
edit 2 : ik vraag me af hoe zo'n exe binnenraakt in internet explorer als ik het allen gebruik om hotmail mee te lezen en het wordt dan nog geactiveerd zonder waarschuwing.
edit 3: nog even want rondgesnuffeld op de C schijf en wat ontdekkingen gedaan
er stonden bestanden op van sqmdata00.sqm en sqmnoopt00.sqm ik heb al gevonden hoe ik dat probleem oplos maar er stonden nog 2 andere die mij nieuwsgierig maakten
boot.bak
cmldr (extensie geen idee er staat "bestand")
ik heb ze voorlopig naar m'n prullenbak verplaatst, boot.bak heb ik ergens gelezen dat het dient voor een dual-boot maar dat heb ik niet.
[ Voor 79% gewijzigd door pm1 op 28-12-2008 11:04 ]
(\ _ /)
(='.'=)
(")_(")This is Bunny.
Copy and paste Bunny into your signature to help him gain world domination.
:strip_icc():strip_exif()/u/90692/avatar.jpg?f=community){kind=avatar}
(\ _ /)
(='.'=)
(")_(")This is Bunny.
Copy and paste Bunny into your signature to help him gain world domination.
prevx scan gerund laatste resultaten
weer een infectie
[BPN] (ACTIVE) C:\Documents and Settings\pieter\Local Settings\Temporary Internet Files\Content.IE5\W8B4DMNZ\1[1].exe [PX5: 9BEC9DF9007DEC69344A00267559DE007349CECE] Malware Group: Information Stealer
ik gebruik amper internet explorer dus hoe kan dit ?
het probleem zit hem precies ergens dieper
prevx vraagt ook elke keer om een heropstart van het systeem te doen om het te verwijderen, daarnet kreeg ik ook ineens een bluescreen
edit: toen ik ging snuffelen op de C-schijf in local settings van m'n actieve user kreeg ik ineens popups van login vensters om bvb op een bepaalde netwerklocatie in te loggen of zelfs voor msn
kan dit omdat het in miniatuurweergave stond ?
misschien ligt dit aan mij maar m'n klok helemaal rechts beneden geeft geen 24 uurs meer aan er staat zelfs geen AM of PM bij raar, als ik ga kijken naar de instellingen staan ze nog altijd in 24 uurs-notatie.
weer een infectie
[BPN] (ACTIVE) C:\Documents and Settings\pieter\Local Settings\Temporary Internet Files\Content.IE5\W8B4DMNZ\1[1].exe [PX5: 9BEC9DF9007DEC69344A00267559DE007349CECE] Malware Group: Information Stealer
ik gebruik amper internet explorer dus hoe kan dit ?
het probleem zit hem precies ergens dieper
prevx vraagt ook elke keer om een heropstart van het systeem te doen om het te verwijderen, daarnet kreeg ik ook ineens een bluescreen
edit: toen ik ging snuffelen op de C-schijf in local settings van m'n actieve user kreeg ik ineens popups van login vensters om bvb op een bepaalde netwerklocatie in te loggen of zelfs voor msn
kan dit omdat het in miniatuurweergave stond ?
misschien ligt dit aan mij maar m'n klok helemaal rechts beneden geeft geen 24 uurs meer aan er staat zelfs geen AM of PM bij raar, als ik ga kijken naar de instellingen staan ze nog altijd in 24 uurs-notatie.
[ Voor 17% gewijzigd door pm1 op 28-12-2008 21:42 ]
(\ _ /)
(='.'=)
(")_(")This is Bunny.
Copy and paste Bunny into your signature to help him gain world domination.
Ik kan je echt zwaar aanraden om gewoon je pc te formatteren, en als dat nu nog niet kan/mogelijk is TREK DIE NETWERKKABEL ERUIT.
Zoals je merkt wordt het steeds erger, misschien worden je andere pc's binnenkort ook besmet en dan ben je helemaal verder van huis.
EDIT: heb je SP2 of 3?
Zoals je merkt wordt het steeds erger, misschien worden je andere pc's binnenkort ook besmet en dan ben je helemaal verder van huis.
EDIT: heb je SP2 of 3?
[ Voor 4% gewijzigd door FitTiv op 28-12-2008 21:50 ]
ja ga ik morgen doen:
Ik kan je echt zwaar aanraden om gewoon je pc te formatteren, en als dat nu nog niet kan/mogelijk is TREK DIE NETWERKKABEL ERUIT.
Zoals je merkt wordt het steeds erger, misschien worden je andere pc's binnenkort ook besmet en dan ben je helemaal verder van huis.
EDIT: heb je SP2 of 3?
maar al m'n data moet eraf dus dat wordt heel irritant, ik wil zeker zijn dat ik geen besmette data terug op de pc gooi.maar zoals je vraagt ik denk dat het daaruit is gekomen.
iemand anders heeft het probleem ook gemeld en die draaide SP2 toen ik het probleem zelf ontdekt had draaide ik ook nog SP2, pas na het probleem heb ik ge-updated naar SP3
(al m'n andere pc's draaien al SP 3)
(\ _ /)
(='.'=)
(")_(")This is Bunny.
Copy and paste Bunny into your signature to help him gain world domination.
Is dit lollig bedoeld:
code:
Is ook een bekende...
En installeer voortaan ook Spyware Blaster. Is een gratis programmaatje, die voorkomt dat een boel rotzooi op de PC komt, wellicht dat het helpt!
Bonjour by Windows wordt gebruikt door o.a. iTunes & Adobe produkt(en)
Als je zonder firewall/router op internet zit loop je wel een heel groot risico.
Zonealarm, een softwarematige firewall, is een begin. Ik zou zeker een een uptodate AV scanner erbij doen.
die scant in en uitgaande bestanden.
Geinfecteerde websites en bestanden uitgewisselt via mail etc, zijn de grootste bronnen.
[ Voor 41% gewijzigd door Yippie op 28-12-2008 22:56 . Reden: update ]
(\ _ /)
(='.'=)
(")_(")This is Bunny.
Copy and paste Bunny into your signature to help him gain world domination.
bedankt dat was heel duidelijk, ik ben nu comodo aan het testen op m'n laptop en inderdaad, ik kon bij het aanloggen m'n fingerprint reader niet gebruiken omdat het al geblokkeerd was
De virusscanner ziet er maar simpel uit om eerlijk te zijn, maar dat vangt AVAST wel op voorlopig
ook het anti-spam programma zal ik wel eens testen.ik merk wel dat er bij netstat -an
veel 0.0.0.0 en 127.0.0.1 staat maar heb al even gezocht dit is gewoon een loop terug naar je pc ?
(\ _ /)
(='.'=)
(")_(")This is Bunny.
Copy and paste Bunny into your signature to help him gain world domination.
gisteren geen last gehad van de malware hopelijk blijft dit nu zo, ik zou de pc graag nog tot februari in gebruik willen houden zodat ik even tijd heb om hem te formatteren
(\ _ /)
(='.'=)
(")_(")This is Bunny.
Copy and paste Bunny into your signature to help him gain world domination.
vandaag even de logs van zone-alarm bekeken voorlopig doet de pc normaal
heb dit ontdekt en prevx heeft het niet gevonden, terwijl het staat wel bekend op de site als malware.
C:.../local settings/temp/~nsu.tmp/Au_.exe
even gekeken in m'n temp map natuurlijk niet te vinden
edit: ik zie soms tegenstrijdige resultaten dus ik post het gewoon
heb dit ontdekt en prevx heeft het niet gevonden, terwijl het staat wel bekend op de site als malware.
C:.../local settings/temp/~nsu.tmp/Au_.exe
even gekeken in m'n temp map natuurlijk niet te vinden
edit: ik zie soms tegenstrijdige resultaten dus ik post het gewoon
[ Voor 9% gewijzigd door pm1 op 31-12-2008 11:50 ]
(\ _ /)
(='.'=)
(")_(")This is Bunny.
Copy and paste Bunny into your signature to help him gain world domination.
Die Au_.exe moet er af, zie link:
vandaag even de logs van zone-alarm bekeken voorlopig doet de pc normaal
heb dit ontdekt en prevx heeft het niet gevonden, terwijl het staat wel bekend op de site als malware.
C:.../local settings/temp/~nsu.tmp/Au_.exe
even gekeken in m'n temp map natuurlijk niet te vinden
edit: ik zie soms tegenstrijdige resultaten dus ik post het gewoon
Pagina: 1