Toon posts:

Zeer Hardnekkige Spyware, krijg niet weg...

Pagina: 1
Acties:

zaterdag 4 april 2009 00:24

Acties:
  • 0 Henk 'm!
  • Ross
  • Registratie: Oktober 2003
  • Laatst online: 15-05 12:26

Ross

Live Life

Topicstarter
Op de computer van een goede vriend zit zeer hardnekkige spyware.
Het blokkeert internet. als ik onder processen, logon.exe uitzet, doet internet het weer wel.
Maar ik krijg de nodige software niet geinstalleerd om de spyware te verwijderen.

Dat wil zeggen, spyware doctor lukt niet.
malwarebytes, lukt niet
hijackthis lukt niet
combofix gaat niet.

Ik heb alleen adaware kunnen installeren. Deze vindt spyware, verwijdert ze, maar na opstarten gelijk weer.

Ook usb stick of externe hd, wordt geinstalleerd, maar wordt niet gezien in verkenner.

Iets blokkeerd dus bepaalde programma´s van installatie.

Er zit inder andere volgende spyware op de computer,win32 trojan olmarik
winpc defender, gedeeltelijk verwijderd.
Ook onder veilige modus, kan bovenstaande programma´s niet installeren. Zegt alleen weet je zeker of je wilt installeren, daarna zie je niets meer terug van installatie of zo.
Ik heb nog wel Gmer kunnen draaien. Daar heb ik een logje van

EDIT, na veranderen van naam hijackthis naar fumble, is het wel gelukt om deze te installeren, dit is de log, daaronder zie je nog de log van Gmer

fuLogfile of Trend Micro HijackThis v2.0.2
Scan saved at 0:27:06, on 4-4-2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\M.M. Nohut\Bureaublad\ulg1dzhe.exe
C:\Program Files\Internet Explorer\Iexplore.exe
C:\Program Files\Lavasoft\Ad-Aware\Ad-Aware.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.nl/0SENLNL/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.nl/0SENLNL/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.abnamro.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.nl/0SENLNL/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.planet.nl
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: IEocx Class - {06ec6572-7280-485a-a712-c380526bc048} - C:\WINDOWS\ieocx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: (no name) - {EA0D26BD-9029-431A-86E0-83152D67828A} - (no file)
O3 - Toolbar: (no name) - {53E0B6E8-A51D-448B-B692-40B67B285543} - (no file)
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [M] C:\Documents and Settings\M.M. Nohut\M.M. Nohut.exe /i
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Lokale service')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Netwerkservice')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Snelle start.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Post-it® Digital Notes.lnk = ?
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobiele favorieten maken... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\M.M. Nohut\Menu Start\Programma's\IMVU\Run IMVU.lnk
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/...sengerSetupDownloader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macrom...ve/cabs/flash/swflash.cab
O16 - DPF: {E6ACF817-0A85-4EBE-9F0A-096C6488CFEA} (NTR ActiveX 1.1.8) - http://www.inquiero.com/i...etup/ntractivex118_28.cab
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InterBase 7.5 Guardian gds_db (IBG_gds_db) - Borland Software Corporation - C:\Program Files\Borland\InterBase\bin\ibguard.exe
O23 - Service: InterBase 7.5 Server gds_db (IBS_gds_db) - Borland Software Corporation - C:\Program Files\Borland\InterBase\bin\ibserver.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe

--
End of file - 7601 bytes


vanaf hier Gmer


GMER 1.0.15.14966 - http://www.gmer.net
Rootkit scan 2009-04-04 00:13:46
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

Code 850DD450 ZwEnumerateKey
Code 850DD418 ZwFlushInstructionCache
Code 850DD00E IofCallDriver
Code 850E21C6 IofCompleteRequest

---- Kernel code sections - GMER 1.0.15 ----

.text ntoskrnl.exe!IofCallDriver 804E37C5 5 Bytes JMP 850DD013
.text ntoskrnl.exe!IofCompleteRequest 804E3BF6 5 Bytes JMP 850E21CB
PAGE ntoskrnl.exe!ZwEnumerateKey 80570D64 5 Bytes JMP 850DD454
PAGE ntoskrnl.exe!ZwFlushInstructionCache 80577693 5 Bytes JMP 850DD41C

---- User code sections - GMER 1.0.15 ----

.text C:\WINDOWS\Explorer.EXE[360] ntdll.dll!LdrLoadDll 7C9163A3 5 Bytes JMP 00C0000A
.text C:\WINDOWS\Explorer.EXE[360] ntdll.dll!LdrUnloadDll 7C91736B 5 Bytes JMP 00C1000A
.text C:\WINDOWS\system32\winlogon.exe[564] ntdll.dll!LdrLoadDll 7C9163A3 5 Bytes JMP 0064000A
.text C:\WINDOWS\system32\winlogon.exe[564] ntdll.dll!LdrUnloadDll 7C91736B 5 Bytes JMP 0065000A
.text C:\WINDOWS\system32\services.exe[612] ntdll.dll!LdrLoadDll 7C9163A3 5 Bytes JMP 0064000A
.text C:\WINDOWS\system32\services.exe[612] ntdll.dll!LdrUnloadDll 7C91736B 5 Bytes JMP 0065000A
.text C:\WINDOWS\system32\lsass.exe[624] ntdll.dll!LdrLoadDll 7C9163A3 5 Bytes JMP 006F000A
.text C:\WINDOWS\system32\lsass.exe[624] ntdll.dll!LdrUnloadDll 7C91736B 5 Bytes JMP 0072000A
.text C:\WINDOWS\system32\ctfmon.exe[812] ntdll.dll!LdrLoadDll 7C9163A3 5 Bytes JMP 0098000A
.text C:\WINDOWS\system32\ctfmon.exe[812] ntdll.dll!LdrUnloadDll 7C91736B 5 Bytes JMP 0099000A
.text C:\Program Files\Internet Explorer\Iexplore.exe[1616] USER32.dll!DialogBoxParamW 7E3A47AB 5 Bytes JMP 448CF341 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\Iexplore.exe[1616] USER32.dll!DialogBoxIndirectParamW 7E3B2072 5 Bytes JMP 44A6187F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\Iexplore.exe[1616] USER32.dll!MessageBoxIndirectA 7E3BA082 5 Bytes JMP 44A61800 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\Iexplore.exe[1616] USER32.dll!DialogBoxParamA 7E3BB144 5 Bytes JMP 44A61844 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\Iexplore.exe[1616] USER32.dll!MessageBoxExW 7E3D0838 5 Bytes JMP 44A6178C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\Iexplore.exe[1616] USER32.dll!MessageBoxExA 7E3D085C 5 Bytes JMP 44A617C6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\Iexplore.exe[1616] USER32.dll!DialogBoxIndirectParamA 7E3D6D7D 5 Bytes JMP 44A618BA C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\Iexplore.exe[1616] USER32.dll!MessageBoxIndirectW 7E3E64D5 5 Bytes JMP 448F16F6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[2000] USER32.dll!DialogBoxParamW 7E3A47AB 5 Bytes JMP 448CF341 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[2000] USER32.dll!DialogBoxIndirectParamW 7E3B2072 5 Bytes JMP 44A6187F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[2000] USER32.dll!MessageBoxIndirectA 7E3BA082 5 Bytes JMP 44A61800 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[2000] USER32.dll!DialogBoxParamA 7E3BB144 5 Bytes JMP 44A61844 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[2000] USER32.dll!MessageBoxExW 7E3D0838 5 Bytes JMP 44A6178C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[2000] USER32.dll!MessageBoxExA 7E3D085C 5 Bytes JMP 44A617C6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[2000] USER32.dll!DialogBoxIndirectParamA 7E3D6D7D 5 Bytes JMP 44A618BA C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[2000] USER32.dll!MessageBoxIndirectW 7E3E64D5 5 Bytes JMP 448F16F6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

---- Modules - GMER 1.0.15 ----

Module \systemroot\system32\drivers\UAClrrxfuwp.sys (*** hidden *** ) F7969000-F7978000 (61440 bytes)
---- Processes - GMER 1.0.15 ----

Library \\?\globalroot\systemroot\system32\UACpcktlisk.dll (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [360] 0x00D00000
Library \\?\globalroot\systemroot\system32\UACpcktlisk.dll (*** hidden *** ) @ C:\WINDOWS\system32\winlogon.exe [564] 0x00870000
Library \\?\globalroot\systemroot\system32\UACpcktlisk.dll (*** hidden *** ) @ C:\WINDOWS\system32\services.exe [612] 0x00970000
Library \\?\globalroot\systemroot\system32\UACpcktlisk.dll (*** hidden *** ) @ C:\WINDOWS\system32\lsass.exe [624] 0x00A30000
Library \\?\globalroot\systemroot\system32\UACpcktlisk.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [780] 0x00A00000
Library \\?\globalroot\systemroot\system32\UACpcktlisk.dll (*** hidden *** ) @ C:\WINDOWS\system32\ctfmon.exe [812] 0x00CA0000
Library \\?\globalroot\systemroot\system32\UACpcktlisk.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [852] 0x00A00000
Library \\?\globalroot\systemroot\system32\UACpcktlisk.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [984] 0x00A00000
Library \\?\globalroot\systemroot\system32\UACpcktlisk.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1052] 0x00A00000
Library \\?\globalroot\systemroot\system32\UACpcktlisk.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1172] 0x00A00000

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@imagepath \systemroot\system32\drivers\UACfwhyrvhgwkiwijm.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@UACd \\?\globalroot\systemroot\system32\drivers\UACfwhyrvhgwkiwijm.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@UACc \\?\globalroot\systemroot\system32\UACfjxidmeicrqygym.dll
Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys
Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys@start 1
Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys@type 1
Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys@imagepath \systemroot\system32\drivers\UAClrrxfuwp.sys
Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys@group file system
Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys\modules
Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys\modules@UACd \\?\globalroot\systemroot\system32\drivers\UAClrrxfuwp.sys
Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys\modules@UACc \\?\globalroot\systemroot\system32\UACdmtktqoe.dll
Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys\modules@uacsr \\?\globalroot\systemroot\system32\UACwciyxvdl.dat
Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys\modules@uaclog \\?\globalroot\systemroot\system32\UACvmtiwmun.dll
Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys\modules@uacmask \\?\globalroot\systemroot\system32\UACqaivaswu.dll
Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys\modules@uacserf \\?\globalroot\systemroot\system32\UAClhtiqjda.dll
Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys\modules@uacbbr \\?\globalroot\systemroot\system32\UACpcktlisk.dll
Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys\modules@UACproc \\?\globalroot\systemroot\system32\UACrqqvrwop.log
Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys\modules@uacurls \\?\globalroot\systemroot\system32\UACapkpvmob.log
Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys\modules@uacerrors \\?\globalroot\systemroot\system32\UACiqdorbbp.log

---- Files - GMER 1.0.15 ----

File C:\Documents and Settings\M.M. Nohut\Local Settings\Temp\UACada3.tmp 343040 bytes executable
File C:\WINDOWS\system32\UACdmtktqoe.dll 23552 bytes executable
File C:\WINDOWS\system32\uacinit.dll 5525 bytes
File C:\WINDOWS\system32\UAClhtiqjda.dll 18944 bytes executable
File C:\WINDOWS\system32\UACpcktlisk.dll 66048 bytes
File C:\WINDOWS\system32\UACqaivaswu.dll 17408 bytes executable
File C:\WINDOWS\system32\UACrqqvrwop.log 2650 bytes
File C:\WINDOWS\system32\UACvmtiwmun.dll 19968 bytes executable
File C:\WINDOWS\system32\UACwciyxvdl.dat 127 bytes

---- EOF - GMER 1.0.15 ----


Wie weet wat ik nog kan proberen

[ Voor 33% gewijzigd door Ross op 04-04-2009 00:29 ]

ola

zaterdag 4 april 2009 00:36

Acties:
  • 0 Henk 'm!
  • Burner NL
  • Registratie: November 2002
  • Laatst online: 16-06 20:57

Burner NL

Waarschijnlijk komt de spyware terug m.b.v. Windows systeemherstel. Schakel eerst systeemherstel uit. Draai dan ad-aware weer om de troep te verwijderen.

zaterdag 4 april 2009 22:03

Acties:
  • 0 Henk 'm!
  • Sassie
  • Registratie: November 1999
  • Laatst online: 19:46

Sassie

Ross schreef op zaterdag 04 april 2009 @ 00:24:
Op de computer van een goede vriend zit zeer hardnekkige spyware.
Het blokkeert internet. als ik onder processen, logon.exe uitzet, doet internet het weer wel.
Maar ik krijg de nodige software niet geinstalleerd om de spyware te verwijderen.
Je zou met malwarebytes hetzelfde kunnen proberen als je met hijackthis hebt gedaan, dwz de installer even van naam (en ook de extensie) veranderen. Bijv van mbam-setup.exe naar toevoegen.com.
Als het je dan wel gelukt is om het te installeren moet je hetzelfde doen met de executable (mbam.exe naar scanner.com bijv). En dan kijken of je een volledige scan kunt doen (evt eerst in de veilige modus opstarten). Het handigste is dan wel om in windows verkenner de extensies te laten tonen.

Wbt je hijackthislog, deze dingen vallen mij op het eerste gezicht al op:
C:\Documents and Settings\M.M. Nohut\Bureaublad\ulg1dzhe.exe
O2 - BHO: IEocx Class - {06ec6572-7280-485a-a712-c380526bc048} - C:\WINDOWS\ieocx.dll
O4 - HKCU\..\Run: [M] C:\Documents and Settings\M.M. Nohut\M.M. Nohut.exe /i
Als je de herkomst van deze bestanden zelf ook niet kunt achterhalen of verklaren, laat ze dan eens analyseren op http://virusscan.jotti.org/ of http://www.virustotal.com/.

Deze kunnen trouwens in ieder geval al weg:
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: (no name) - {EA0D26BD-9029-431A-86E0-83152D67828A} - (no file)
O3 - Toolbar: (no name) - {53E0B6E8-A51D-448B-B692-40B67B285543} - (no file)

zaterdag 4 april 2009 22:15

Acties:
  • 0 Henk 'm!

Anoniem: 26235

Is niet de beste oplossing gewoon een format en clean install? Je bent vaak zo veel tijd kwijt om de rotzooi goed! uit te zoeken. En als er in de toekomst iets niet helemaal lekker reageert blijft in je achterhoofd spelen van ow misschien heb ik toch nog iets vergeten te cleanen.

Ik zou een backup maken van alle belangrijke bestanden (later of op een andere pc scannen). Nog proberen uit te zoeken hoe de rotzooi op de PC terecht is gekomen (mocht je dat nog niet weten). En dan format/install.

woensdag 8 april 2009 13:29

Acties:
  • 0 Henk 'm!
  • SKiLLa
  • Registratie: Februari 2002
  • Niet online

SKiLLa

Byte or nibble a bit ?

Uit de GMER log blijkt dat die PC geinfecteerd is met de UACd.sys (aka 'windowsclick.com' ) trojan;
zie hier voor verwijder instructies ...

[ Voor 2% gewijzigd door SKiLLa op 08-04-2009 19:27 . Reden: te foute typo ;) ]

'Political Correctness is fascism pretending to be good manners.' - George Carlin

donderdag 9 april 2009 17:16

Acties:
  • 0 Henk 'm!
  • Ventieldopje
  • Registratie: December 2005
  • Laatst online: 21:17

Ventieldopje

I'm not your pal, mate!

Even in veilige modus opstarten en proberen of het dan wel lukt. Lukt dat niet dan even kijken wat er opstart met msconfig en alle onnodige dingen uitschakelen (inclusief processen).

www.maartendeboer.net
1D X | 5Ds | Zeiss Milvus 25, 50, 85 f/1.4 | Zeiss Otus 55 f/1.4 | Canon 200 f/1.8 | Canon 200 f/2 | Canon 300 f/2.8

Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq