Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien

Zlob Trojan legt PC plat

Pagina: 1
Acties:

  • RobbieDee
  • Registratie: Juni 2004
  • Laatst online: 14-12-2016

RobbieDee

Buuf waar ben je

Topicstarter
Nadat ik zonder succes een MediaPlayer (o.i.d.) probeerde te installeren (de setup.exe bleek schoon dus ik waagde het erop, stom stom) zaten er twee "Virus Removal links" op mijn desktop. Die heb ik nooit aangeraakt. XP Pro (UK) SP3.

De volgende dag (na reboot dus) bleek internet verkeer (IE6 en FF3.0) niet meer mogelijk.

Inmiddels heeft AVG 8.0 Zlob gevonden en verwijderd. De symtomen bleven. Nadat ik hier bij tweakers iets over Zlob had gevonden (met name een DNS verknaller) heb ik MalwareBytes' antimalware gedraaid die inderdaad ook nog sporen van Zlob vond en verwijderde. De symtomen blijven.

Ik kan eigenlijk alleen normaal opstarten zonder ethernetkabel aan mijn PC. Dan start IE6 wel op. Zodra de netwerkstekker er in gaat wordt alles onvoorspelbaar. Ping doet ook niks. In safe mode is wel netwerkverkeer mogelijk. Inmiddels vinden de snuffelprogs die ik met USB kan overbrengen (als ik ze niet al had) niks meer. Maar de symtomen blijven.

Ik zal in de volgende posts wat logs tonen. Hijackthis.de zegt niks raars te zien. Ik ben het nu even kwijt. Vandaar deze noodkreet vanaf een laptop die het gelukkig wel doet.

  • RobbieDee
  • Registratie: Juni 2004
  • Laatst online: 14-12-2016

RobbieDee

Buuf waar ben je

Topicstarter
HijackThis

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:17:51, on 20/12/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\AVG8\avgwdsvc.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\AVG8\avgtray.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\AVG8\avgrsx.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\PROGRA~1\AVG8\avgemc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG8\avgssie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\4.1.805.1852\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG8\avgtray.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Office\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1224858938296
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1224862101453
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG8\avgwdsvc.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag (OODefrag) - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 5703 bytes



Malwarebytes' Anti-Malware

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
Malwarebytes' Anti-Malware 1.31
Database version: 1456
Windows 5.1.2600 Service Pack 3

20/12/2008 20:05:00
mbam-log-2008-12-20 (20-04-48).txt

Scan type: Full Scan (C:\|)
Objects scanned: 150753
Time elapsed: 24 minute(s), 36 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 5
Registry Values Infected: 1
Registry Data Items Infected: 0
Folders Infected: 1
Files Infected: 7

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3b8fb116-d358-48a3-a5c7-db84f15cbb04} (Trojan.Zlob) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{3b8fb116-d358-48a3-a5c7-db84f15cbb04} (Trojan.Zlob) -> No action taken.
HKEY_CLASSES_ROOT\webmedia.chl (Trojan.Zlob) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Online Alert Manager (Trojan.Zlob) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Browser Toolbar (Trojan.Zlob) -> No action taken.

Registry Values Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Extensions\CmdMapping\{3b8fb116-d358-48a3-a5c7-db84f15cbb04} (Trojan.Zlob) -> No action taken.

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
C:\Program Files\WebMediaViewer (Trojan.Zlob) -> No action taken.

Files Infected:
C:\Documents and Settings\All Users\Desktop\Online Spyware Test.url (Rogue.Link) -> No action taken.
C:\Documents and Settings\lra\Favorites\Online Security Test.url (Rogue.Link) -> No action taken.
C:\Documents and Settings\USER\My Documents\My Pictures\My Pictures.url (Trojan.Zlob) -> No action taken.
C:\Documents and Settings\USER\My Documents\My Videos\My Video.url (Trojan.Zlob) -> No action taken.
C:\Documents and Settings\USER\My Documents\My Documents.url (Trojan.Zlob) -> No action taken.
C:\Documents and Settings\USER\My Documents\My Music\My Music.url (Trojan.Zlob) -> No action taken.
C:\Documents and Settings\All Users\Start Menu\Online Spyware Test.url (Trojan.Zlob) -> No action taken.


RootkitReveal

code:
1
2
3
4
HKLM\SECURITY\Policy\Secrets\SAC*   20/08/2004 19:51    0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI*   20/08/2004 19:50    0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System*  06/11/2008 21:27    0 bytes Key name contains embedded nulls (*)
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb  21/12/2008 14:51    64.00 KB    Visible in Windows API, MFT, but not in directory index.

  • Noork
  • Registratie: Juni 2001
  • Niet online
Misschien kun je even scannen op rootkits (RootkitRevealer) en spyware/mallware (met adaware/spybot)? Wellicht kun je ook scannen met een andere virusscan.

  • RobbieDee
  • Registratie: Juni 2004
  • Laatst online: 14-12-2016

RobbieDee

Buuf waar ben je

Topicstarter
Noork schreef op zondag 21 december 2008 @ 15:28:
Misschien kun je even scannen op rootkits (RootkitRevealer) en spyware/mallware (met adaware/spybot)? Wellicht kun je ook scannen met een andere virusscan.
Adaware vind ook niks. Rootkitlog staat er ook bij.

  • Noork
  • Registratie: Juni 2001
  • Niet online
Zijn die geinfecteerde folders en registry settings daadwerkelijk weg of worden ze weer opnieuw aangemaakt o.i.d.? "No action taken" betekent toch dat er geen dingen zijn verwijderd?

Zie ook b.v. hier voor verwijderings-instructies:
http://forum.kaspersky.com/index.php?showtopic=94426

  • RobbieDee
  • Registratie: Juni 2004
  • Laatst online: 14-12-2016

RobbieDee

Buuf waar ben je

Topicstarter
Noork schreef op zondag 21 december 2008 @ 15:52:
Zijn die geinfecteerde folders en registry settings daadwerkelijk weg of worden ze weer opnieuw aangemaakt o.i.d.? "No action taken" betekent toch dat er geen dingen zijn verwijderd?

Zie ook b.v. hier voor verwijderings-instructies:
http://forum.kaspersky.com/index.php?showtopic=94426
ja zijn verwijderd. zoals ik schreef: de snuffelaars vinden niks meer. maar de symtomen zijn nog aanwezig. ik ga nu kaspersky lezen. dank voor de tip.

Verwijderd

Scan eens met Prevx CSI in veilige modus met netwerkverbinding. Dit programma detecteert alle rootkits en andere actieve malware.

  • RobbieDee
  • Registratie: Juni 2004
  • Laatst online: 14-12-2016

RobbieDee

Buuf waar ben je

Topicstarter
Verwijderd schreef op zondag 21 december 2008 @ 18:51:
Scan eens met Prevx CSI in veilige modus met netwerkverbinding. Dit programma detecteert alle rootkits en andere actieve malware.
dank. want Kaspersky wil niet in Safe mode. dat wist ik al.

  • RobbieDee
  • Registratie: Juni 2004
  • Laatst online: 14-12-2016

RobbieDee

Buuf waar ben je

Topicstarter
Verwijderd schreef op zondag 21 december 2008 @ 18:51:
Scan eens met Prevx CSI in veilige modus met netwerkverbinding. Dit programma detecteert alle rootkits en andere actieve malware.
TJA. Dat ding wil zijn 'laatste threats' ophalen en beweert dat ik geen internet verbdinding heb. Zal wel in mijn DNS aan het rotzooien zijn zodat ik maar zeer beperkt het internet op kan.

Vraagt nog wel om een Proxy (om e.e.a te omzijlen) maar die weet ik niet zo gauw.

  • RobbieDee
  • Registratie: Juni 2004
  • Laatst online: 14-12-2016

RobbieDee

Buuf waar ben je

Topicstarter
Verwijderd schreef op zondag 21 december 2008 @ 18:51:
Scan eens met Prevx CSI in veilige modus met netwerkverbinding. Dit programma detecteert alle rootkits en andere actieve malware.
Met Prevx CSI stop ik weer. Ook al kun je instellen dat hij geen updates moet opvissen blijft tie met die melding komen en doet niks. Ik hoor anderen er ook over mopperen.

Verwijderd

Prevx CSI heeft een verbinding nodig om bestanden te controleren. Zonder verbinding zal het inderdaad niet werken en daarom blijft 'ie zeuren.


Doe eens het volgende;

Start apparaatbeheer.
Via configuratiescherm > systeem > apparaatbeheer.
Of, Start > Uitvoeren, en typ daar devmgmt.msc en klik op OK of druk op Enter

Klik op; Beeld > verborgen apparaten weergeven.

Kijk nu bij: Stuurprogramma's die niet Plug & Play-compatible zijn.


Staat daar iets tussen dat met tds begint?

Zo ja, rechtsklikken en kiezen voor Uitschakelen.

Kijk dan eens of je internetverbinding het weer doet.

  • RobbieDee
  • Registratie: Juni 2004
  • Laatst online: 14-12-2016

RobbieDee

Buuf waar ben je

Topicstarter
er zit een vreemde dll in mijn Windows dir
fd.dll
die is er ten tijde van de besmetting terecht gekomen.
in de registry komt tie 3x voor

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\navigator
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\navigator
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\navigator


code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
Key Name:          HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\navigator
Class Name:        <NO CLASS>
Last Write Time:   12/21/2008 - 8:19 PM
Value 0
  Name:            Type
  Type:            REG_DWORD
  Data:            0x1

Value 1
  Name:            Start
  Type:            REG_DWORD
  Data:            0x1

Value 2
  Name:            ErrorControl
  Type:            REG_DWORD
  Data:            0x0

Value 3
  Name:            ImagePath
  Type:            REG_EXPAND_SZ
  Data:            \systemroot\fd.dll


Key Name:          HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\navigator\Security
Class Name:        <NO CLASS>
Last Write Time:   12/19/2008 - 3:12 AM
Value 0
  Name:            Security
  Type:            REG_BINARY
  Data:            
00000000   01 00 14 80 90 00 00 00 - 9c 00 00 00 14 00 00 00  ................
00000010   30 00 00 00 02 00 1c 00 - 01 00 00 00 02 80 14 00  0...............
00000020   ff 01 0f 00 01 01 00 00 - 00 00 00 01 00 00 00 00  ÿ...............
00000030   02 00 60 00 04 00 00 00 - 00 00 14 00 fd 01 02 00  ..`.........ý...
00000040   01 01 00 00 00 00 00 05 - 12 00 00 00 00 00 18 00  ................
00000050   ff 01 0f 00 01 02 00 00 - 00 00 00 05 20 00 00 00  ÿ........... ...
00000060   20 02 00 00 00 00 14 00 - 8d 01 02 00 01 01 00 00   ...............
00000070   00 00 00 05 0b 00 00 00 - 00 00 18 00 fd 01 02 00  ............ý...
00000080   01 02 00 00 00 00 00 05 - 20 00 00 00 23 02 00 00  ........ ...#...
00000090   01 01 00 00 00 00 00 05 - 12 00 00 00 01 01 00 00  ................
000000a0   00 00 00 05 12 00 00 00 -                          ........


Key Name:          HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\navigator\Enum
Class Name:        <NO CLASS>
Last Write Time:   12/21/2008 - 8:19 PM
Value 0
  Name:            0
  Type:            REG_SZ
  Data:            Root\LEGACY_NAVIGATOR\0000

Value 1
  Name:            Count
  Type:            REG_DWORD
  Data:            0x1

Value 2
  Name:            NextInstance
  Type:            REG_DWORD
  Data:            0x1

  • RobbieDee
  • Registratie: Juni 2004
  • Laatst online: 14-12-2016

RobbieDee

Buuf waar ben je

Topicstarter
Verwijderd schreef op zondag 21 december 2008 @ 21:43:
knip
Kijk nu bij: Stuurprogramma's die niet Plug & Play-compatible zijn.
Staat daar iets tussen dat met tds begint?
Zo ja, rechtsklikken en kiezen voor Uitschakelen.

Kijk dan eens of je internetverbinding het weer doet.
staat er niet bij
ik zal ook nog in Safe Mode kijken

Verwijderd

test die dll eens op www.virustotal.com

  • wowi
  • Registratie: December 2000
  • Laatst online: 15:07

wowi

 

Heb je niet iets nog in internet explorer zitten?
onder de objecten?

Extra internetopties, instellingen, objecten weergeven staat daar niks raars tussen?

Anders eens je netwerkkaart in apparaat beheer er eens uitgooien en een keer rebooten.

Windows bestanden kun je nog kontroleren eventueel met.

sfc /scannow

[ Voor 35% gewijzigd door wowi op 21-12-2008 23:58 ]


  • RobbieDee
  • Registratie: Juni 2004
  • Laatst online: 14-12-2016

RobbieDee

Buuf waar ben je

Topicstarter
Je hebt me op de juiste plek in de Device Manager laten kijken. Dank daarvoor.

Daar was ik nooit geweest. Ook heb ik in de event log gekeken of er soms nog een smerige service was gaan draaien ten tijde van de besmetting. En ja die vage 'navigator' bleek te zijn gestart PLUS een service met een raar lang nummer. Die navigator kwam ik in safe mode tegen bij de verborgen 'Non-Plug and play drivers' en stond uit (stopped).

In Normal Mode stond tie aan. Uitzetten (stop) ging niet. Ook niet met "cmd net stop navigator". Toen heb ik de service maar gedisabled. Moest wel herstarten. Vervolgens stond er een service die ik niet eerder had gezien (met datzelfde rare lange nummer) in de lijst met Non PnP devices met een geel uitroepenteken. Meestal betekent dat niet veel goeds, die driehoek. Nu bleek de service uit te zijn. Ik kon niet wachten om te testen of internet het weer deed. Kabel erin en gaan met de banaan :9

PrevxCsi herkent beide dingen. Zal de fd.dll straks opsturen naar virustotaal.com.

Afbeeldingslocatie: http://img5.glowfoto.com/images/2008/12/21-1456477594T.jpg

Morgen maar eens verder puzzelen hoe ik van die Shit in mijn registry af kom. Ik zal hieronder nog wat logs posten die ik heb gevangen.

  • RobbieDee
  • Registratie: Juni 2004
  • Laatst online: 14-12-2016

RobbieDee

Buuf waar ben je

Topicstarter
www.virustotal.com kende de fd.dll al.

Is voor het eerst gezien op 19 december (klopt) en op 20 december had mijn AVG er een anti voor.

Hieronder wat logjes en registries. Graag hulp met het cleanen ervan. AVG zal dat ding morgen (na een update) wel weggooien maar ik wil graag alle referenties uit met REG. Of zal mijn registry cleaner dat voor me fixen?

EventViewer System log
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
Event Type: Information
Event Source:   Service Control Manager
Event Category: None
Event ID:   7035
Date:       19/12/2008
Time:       03:12:44
User:       HIT-SPACE\username
Computer:   HIT-SPACE
Description:
The 841901D1FC2CE388 service was successfully sent a start control.
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

===================
Event Type: Information
Event Source:   Service Control Manager
Event Category: None
Event ID:   7035
Date:       19/12/2008
Time:       03:12:44
User:       HIT-SPACE\username
Computer:   HIT-SPACE
Description:
The navigator service was successfully sent a start control.
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.


Registry 841901D1FC2CE388
code:
1
2
3
4
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{0D086A5D-67D9-470f-9168-0968FF33BFD9}]
@="841901D1FC2CE388"


Registry LEGACY_841901D1FC2CE388
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_841901D1FC2CE388]
"NextInstance"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_841901D1FC2CE388\0000]
"Service"="841901D1FC2CE388"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="841901D1FC2CE388"
"Capabilities"=dword:00000000
"Driver"="{8ECC055D-047F-11D1-A537-0000F8753ED1}\\0035"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_841901D1FC2CE388\0000\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_841901D1FC2CE388\0000\Control]

Verwijderd

Stuur me even een mailtje, ik mag als betatester wel even een trialcode voor csi aan je geven.
Daarna kun je het hele systeem scannen met csi.

  • ToFast
  • Registratie: Mei 2004
  • Laatst online: 25-01 12:49
Probeer eens superantispyware (gratis, pro heeft alleen realtime bescherming e.d.)
Eerlijk waar, werkt tegen ongelooflijke rotte malware/spyware shizze (heb het onlangs zelf meegemaakt). Stukken beter dan andere programma's, zoals spybot-search and destroy.

http://downloads.superant...oads/SUPERAntiSpyware.exe

Als updaten niet wil (doen veel trojans enzo ook) download dan deze definitie-pak:
http://www.superantispyware.com/downloads/SASDEFINITIONS.EXE

Verwijderd

RobbieDee, als je het op een andere manier gaat opruimen is ook prima, maar zou je aub in het log van CSI willen kijken (log opslaan via Tools and Settings > Save Scan Results) en de PX5 code willen posten die bij de 2 gedetecteerde bestanden hoort?

  • RobbieDee
  • Registratie: Juni 2004
  • Laatst online: 14-12-2016

RobbieDee

Buuf waar ben je

Topicstarter
Verwijderd schreef op maandag 22 december 2008 @ 01:12:
RobbieDee, als je het op een andere manier gaat opruimen is ook prima, maar zou je aub in het log van CSI willen kijken (log opslaan via Tools and Settings > Save Scan Results) en de PX5 code willen posten die bij de 2 gedetecteerde bestanden hoort?
eerste regels uit de log
code:
1
2
3
4
5
6
7
8
9
Prevx Scan Log - Version v3.0.0.199
Log Generated: 22/12/2008 17:44, Type: 0,0
Some non-malicious files are not included in this log.

Last Scan: Mon 2008-12-22 00:31:21 W. Europe Standard Time. Number of Scans: 2. Last Scan Duration: 36 seconds.
[B<R00000088>] C:\Documents and Settings\USER\Desktop\841901D1FC2CE388\841901D1FC2CE388 [PX5: A4C43890004C798F56FB0091D727F200D5F9B167] Malware Group: Malicious Software
[B] C:\WINDOWS\fd.dll   [PX5: 78A8D7AD0076F9C316270070722A21000F4283EC] Malware Group: Malicious Software
[HP] C:\wizmo.exe   [PX5: D413928C00F7FBAD98B2003404845800F5931157] Malware Group: Community.Heuristic
[U] C:\Program Files\putty.exe  [PX5: 44CEBA7A00F60DABA05908A270DAF4001BC04B31]

Verwijderd

Dank u!
Pagina: 1