Ik krijg sinds kort om het kwartier een melding van AVG dat er een bedreiging is gedetecteerd: Trojaans paard Vundo.JB dat is gevonden in C:\Temp\xxxx.tmp\svchost.exe (waarbij xxxx random letters zijn).
AVG zelf verwijderd dit wel, maar het wordt telkens opnieuw aangemaakt door het virus. Een scan met AVG bracht niets op. Een scan met Spybot S&D bracht ook niets op. Zelf heb ik heel Google afgezocht naar informatie, maar enkel gevonden dat het Vundo-virus bekend staat als het virus dat pop-ups opent op het scherm (wat hier niet het geval is).
K'ben er ook al redelijk zeker van dat het virus in mijn PC is gekomen via mijn USB-stick, die ik ook gebruikt op de computers van mijn school (die weliswaar veel virussen hebben). Een scan van AVG op mijn USB-stick resulteerde in het ontdekken van de Trojaanse paarden PSW.Generic7.XMO, PSW.Generic.XPN en PSW.OnlineGames.BKCA.
Bij een scan met HijackThis krijg ik twee merkwaardige processen te zien, maar ik ben niet zeker of dit het daadwerkelijk is sinds het virus de naam svchost.exe gebruikt (met sterretje aangeduid).
Iemand die kan helpen?
(Misschien nog even vermelden dat ik gebruik maak van Windows 7, wat HijackThis nog niet weergeeft
)
Nog een afbeelding van AVG.
Malwarebyte's Anti-Malware Log
AVG zelf verwijderd dit wel, maar het wordt telkens opnieuw aangemaakt door het virus. Een scan met AVG bracht niets op. Een scan met Spybot S&D bracht ook niets op. Zelf heb ik heel Google afgezocht naar informatie, maar enkel gevonden dat het Vundo-virus bekend staat als het virus dat pop-ups opent op het scherm (wat hier niet het geval is).
K'ben er ook al redelijk zeker van dat het virus in mijn PC is gekomen via mijn USB-stick, die ik ook gebruikt op de computers van mijn school (die weliswaar veel virussen hebben). Een scan van AVG op mijn USB-stick resulteerde in het ontdekken van de Trojaanse paarden PSW.Generic7.XMO, PSW.Generic.XPN en PSW.OnlineGames.BKCA.
Bij een scan met HijackThis krijg ik twee merkwaardige processen te zien, maar ik ben niet zeker of dit het daadwerkelijk is sinds het virus de naam svchost.exe gebruikt (met sterretje aangeduid).
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
| Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:28:20, on 7/12/2009
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal
Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Silvercrest MTS2118 driver\StartAutorun.exe
C:\Program Files\Mouse Driver\MouseDriver.exe
C:\Program Files\AVG\AVG9\avgtray.exe
C:\Program Files\WhatPulse\WhatPulse.exe
C:\Program Files\Netlog Music Tool\NetlogMusicTool.exe
C:\Program Files\Silvercrest MTS2118 driver\KMConfig.exe
C:\Program Files\Silvercrest MTS2118 driver\KMProcess.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [KMCONFIG] C:\Program Files\Silvercrest MTS2118 driver\StartAutorun.exe KMConfig.exe
O4 - HKLM\..\Run: [SANSUNMouse ] C:\PROGRA~1\MOUSED~1\mousedriver.exe
O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe
O4 - HKCU\..\Run: [WhatPulse] C:\Program Files\WhatPulse\WhatPulse.exe
O4 - HKCU\..\Run: [Netlog Music Tool] "C:\Program Files\Netlog Music Tool\NetlogMusicTool.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
* O4 - HKUS\S-1-5-18\..\Run: [cbssreg] C:\Windows\TEMP\oqsk.tmp\svchost.exe (User 'SYSTEM')
* O4 - HKUS\.DEFAULT\..\Run: [cbssreg] C:\Windows\TEMP\oqsk.tmp\svchost.exe (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office14\EXCEL.EXE/3000
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O13 - Gopher Prefix:
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.5.0.cab
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://express.foto.com/ImageUploader5.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: Mobiel Apple apparaat (Apple Mobile Device) - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: AVG Free E-mail Scanner (avg9emc) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgemc.exe
O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgwdsvc.exe
O23 - Service: Bonjour-service (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: LogMeIn Hamachi 2.0 Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - C:\Program Files\LogMeIn Hamachi\hamachi-2.exe
O23 - Service: iPod-service (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Keyboard And Mouse Communication Service (KMWDSERVICE) - UASSOFT.COM - C:\Program Files\Silvercrest MTS2118 driver\KMWDSrv.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\Windows\system32\GameMon.des.exe (file missing)
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
--
End of file - 5839 bytes |
Iemand die kan helpen?
(Misschien nog even vermelden dat ik gebruik maak van Windows 7, wat HijackThis nog niet weergeeft
)Nog een afbeelding van AVG.
Malwarebyte's Anti-Malware Log
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
| Malwarebytes' Anti-Malware 1.42 Database version: 3317 Windows 6.1.7600 Internet Explorer 8.0.7600.16385 8/12/2009 10:16:13 mbam-log-2009-12-08 (10-16-12).txt Scan type: Full Scan (C:\|) Objects scanned: 244578 Time elapsed: 40 minute(s), 55 second(s) Memory Processes Infected: 0 Memory Modules Infected: 0 Registry Keys Infected: 0 Registry Values Infected: 0 Registry Data Items Infected: 0 Folders Infected: 0 Files Infected: 0 Memory Processes Infected: (No malicious items detected) Memory Modules Infected: (No malicious items detected) Registry Keys Infected: (No malicious items detected) Registry Values Infected: (No malicious items detected) Registry Data Items Infected: (No malicious items detected) Folders Infected: (No malicious items detected) Files Infected: (No malicious items detected) |
[ Voor 5% gewijzigd door SnowPhoenix op 08-12-2009 11:41 ]
:strip_exif()/u/47664/afx_hax.gif?f=community)
/u/37590/koffie.PNG?f=community)
:strip_icc():strip_exif()/u/149636/imagesCADH1FG8.jpg?f=community)
:strip_icc():strip_exif()/u/32915/dungeon_master.jpg?f=community)
/u/87784/USM60.png?f=community)
