Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

Na herstart alles weer terug bij het oude.

Pagina: 1
Acties:

woensdag 30 juni 2010 09:38

Acties:
  • Bignose
  • Registratie: Mei 2004
  • Laatst online: 11-12-2024

Bignose

Topicstarter
Beste mensen,

Ik heb een zeer hardnekkig virus op mijn PC zitten. Sterker nog, ik denk dat het om een rootkit gaat die in mijn MBR zit. Waarom? Nou heel simpel.

Alle programma's en updates die ik tijdens een sessie heb geïnstalleerd zijn na een herstart verdwenen. Het lijkt dus net alsof hij bij de afsluiting een soort systeemherstel uitvoert naar het begin van de sessie:
Ik heb ook meerdere virussen gevonden en verwijderd met verschillende programma's maar ook na de herstart staan die er weer net zo vrolijk op.

Welke programma's heb ik gebruikt?
In volgorde in 1 sessie:
  1. Malwarebytes (update en volledige scan)
  2. Combofix
  3. McAfee Rootkit Detective 1.0.
Wat is er in ieder geval gevonden:
  1. Stinger
  2. Artemis trojan
Iemand enig idee wat ik nog kan doen voordat ik een nieuwe schijf aan ga schaffen want volgens mijn informatie heeft formatteren van de schijf geen zin als het in de MBR zit.

Greetz, Bignose

woensdag 30 juni 2010 09:44

Acties:
  • hellfighter87
  • Registratie: Mei 2008
  • Laatst online: 11:46

hellfighter87

je hebt speciale hardware en software om installatie te voorkomen.
Dit word vooral gebruikt in publieke plekken als (basis)scholen, bibliotheken etc.

Als je er vanuit gaat dat het daadwerkelijk een virus is dan zou je windows een keer opnieuw kunnen installeren en dan kijken of alles terug komt. meestal is toch de snelste manier om van een virus af te komen een reïnstall

woensdag 30 juni 2010 09:46

Acties:
  • Death1ord
  • Registratie: Mei 2007
  • Laatst online: 28-11 16:16

Death1ord

Of je hangt de schijf aan een andere PC en laat die PC de schijf scannen?

woensdag 30 juni 2010 09:49

Acties:
  • HotFix
  • Registratie: April 2009
  • Laatst online: 28-09 20:05

HotFix

1: wat bedoel je precies met je MBR?

2: een geinfecteerde harde schijf nooit aan een andere computer hangen. Wat je kan doen, als het echt nodig is, is je schijf formatteren door een Linux Live CD in je pc te stoppen en vanaf daar de rest te doen.

woensdag 30 juni 2010 09:55

Acties:
  • Bignose
  • Registratie: Mei 2004
  • Laatst online: 11-12-2024

Bignose

Topicstarter
hellfighter87 schreef op woensdag 30 juni 2010 @ 09:44:
je hebt speciale hardware en software om installatie te voorkomen.
Dit word vooral gebruikt in publieke plekken als (basis)scholen, bibliotheken etc.
Ja die ken ik maar hier gaat het om een gewone thuis PC. Dus er is geen WOL waarna eventueel een image wordt teruggezet. Dus dat is zeker het probleem niet.

[ Voor 0% gewijzigd door Bignose op 30-06-2010 09:58 . Reden: typefoutje verwijderd ]

Greetz, Bignose

woensdag 30 juni 2010 10:03

Acties:
  • Bignose
  • Registratie: Mei 2004
  • Laatst online: 11-12-2024

Bignose

Topicstarter
HotFix schreef op woensdag 30 juni 2010 @ 09:49:
1: wat bedoel je precies met je MBR?
MBR = Master Boot Record
2: een geinfecteerde harde schijf nooit aan een andere computer hangen. Wat je kan doen, als het echt nodig is, is je schijf formatteren door een Linux Live CD in je pc te stoppen en vanaf daar de rest te doen.
Wat bedoel je overigens met 'de rest'?

Overigens heb ik in diezelfde sessie ook nog eens een map 'WildTangent, 1.3Gb groot' waarin de virussen zaten compleet verwijderd en direct de prullenbak leeggemaakt maar na de herstart stond ook die weer compleet terug op de normale plaats.

Het gaat trouwens om een PC met Windows Vista

Tot zover iedereen bedankt voor de reacties.

Greetz, Bignose

woensdag 30 juni 2010 10:13

Acties:

Verwijderd

Download MBR.exe onderaan deze pagina. Bestand ergens opslaan en uitvoeren. Er wordt een mbr.log gemaakt en als die er zo uitziet als hieronder is 't goed;

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK


Zie je wat anders, dan heb je zeer waarschijnlijk een probleem dat je simpel kunt verhelpen met fixmbr.
(post het logje voor de zekerheid)

Scan ook eens met Prevx. Het programma verwijdert gratis MBR rootkits. Andere malware die wordt gedetecteerd kun je handmatig verwijderen. Lukt dat niet, dan kun je hardnekkige bestanden/drivers verwijderen met BlitzBlank.

woensdag 30 juni 2010 10:14

Acties:
  • Bitage
  • Registratie: April 2006
  • Laatst online: 25-11 12:33

Bitage

Kloppen verder de MD5 hashes enzo wel? Met andere woorden: is de inhoud van die bestanden nog wel zoals die was voordat je het weggooide? Het zou wellicht een fout kunnen zijn die ervoor zorgt dat wijzigingen naar het cache gaan, maar niet worden doorgevoert op de schijf (soort van sandbox idee).

woensdag 30 juni 2010 11:00

Acties:
  • deadlock2k
  • Registratie: Januari 2003
  • Laatst online: 10-08 20:26

deadlock2k

-

[ Voor 100% gewijzigd door deadlock2k op 06-08-2021 16:19 ]

woensdag 30 juni 2010 19:38

Acties:
  • Bignose
  • Registratie: Mei 2004
  • Laatst online: 11-12-2024

Bignose

Topicstarter
Verwijderd schreef op woensdag 30 juni 2010 @ 10:13:
Download MBR.exe onderaan deze pagina. Bestand ergens opslaan en uitvoeren. Er wordt een mbr.log gemaakt en als die er zo uitziet als hieronder is 't goed

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
Die van mij is identiek dus wat is het dan?
Zie je wat anders, dan heb je zeer waarschijnlijk een probleem dat je simpel kunt verhelpen met fixmbr.
(post het logje voor de zekerheid)

Scan ook eens met Prevx. Het programma verwijdert gratis MBR rootkits. Andere malware die wordt gedetecteerd kun je handmatig verwijderen.
Helaas heeft deze niets gevonden.
Lukt dat niet, dan kun je hardnekkige bestanden/drivers verwijderen met
BlitzBlank.
Deze heb ik gebruikt en de folder 'Wildtangent' waarin het Artemisvirus zit laten verwijderen maar na de reboot was deze ook weer net zo hard terug.

Het geldt dus niet alleen voor programma's maar ook voor registrysettings die weer worden teruggezet na de herstart.
Zo staat 'verborgen mappen en bestanden weergeven' iedere keer weer uit terwijl ik deze elke sessie weer aan zet.

Greetz, Bignose

woensdag 30 juni 2010 19:42

Acties:
  • PilatuS
  • Registratie: September 2002
  • Niet online

PilatuS

Probeer eens een proggie zoals Boot And Nuke. Die op een CD/DVD zetten en laten draaien. Als je van CD boot vernietigd dat programma alle data op alle HDD's die ie kan vinden.

woensdag 30 juni 2010 21:22

Acties:
  • dutch_camel
  • Registratie: September 2002
  • Laatst online: 23-09 13:29

dutch_camel

It's Orange!

Misschien klinkt dit heel stom, maar je hebt niet toevallig een WindowsXPE CD/DVD er in zitten, waar je elke keer van boot? Kan er uitzien als Windows, maar dingen wijzigen op een CD/DVD is lastig (mits die niet finalized is).

A long shot, I know ... }:O

Anders loopt er misschien een scheduled task, die alles weer terug zet/restored? Misschien kan je eens al je restore-points weggooien, al heb je dan echt niets meer om een roll-back te doen. maar dan zou er niets meer moeten zijn om van te restoren, en zou je probleem weg moeten zijn ...

Oh, en duurt het starten/afsluiten van Vista erg lang (minuten)?
Nog een optie: Run anders is HijackThis, en zet de logging hier neer? Mss ziet iemand hier iets staan dat eea kan verklaren.

~... this doesn't look like Kansas to me, Toto... ~

donderdag 1 juli 2010 20:31

Acties:
  • Bignose
  • Registratie: Mei 2004
  • Laatst online: 11-12-2024

Bignose

Topicstarter
Ok, hier komen 2 logfiles. De eerste is van Hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:19:04, on 1-7-2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v7.00 (7.00.6002.18005)
Boot mode: Safe mode with network support

Running processes:
C:\Windows\Explorer.EXE
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\RegistryBooster\registrybooster.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Users\gerrit\AppData\Local\CrossLoop\CrossLoopConnect.exe
C:\Users\gerrit\AppData\Local\CrossLoop\winvnc.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com...&c=91&bd=Presario&pf=cndt
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com...&c=91&bd=Presario&pf=cndt
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Browser Defender BHO - {2A0F3D1B-0909-4FF4-B272-609CCE6054E7} - C:\Browser Defender\PCTBrowserDefender.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program Files\Norton Internet Security\Engine\16.5.0.135\coIEPlg.dll
O2 - BHO: CyberDefender Security Toolbar - {68FF9E0F-2E96-4467-87FA-1A8B9734C7E7} - (no file)
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Program Files\Norton Internet Security\Engine\16.5.0.135\IPSBHO.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - (no file)
O2 - BHO: LitmusBHO - {C6867EB7-8350-4856-877F-93CF8AE3DC9C} - C:\Program Files\F-Secure\NRS\iescript\baselitmus.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O3 - Toolbar: PC Tools Browser Guard - {472734EA-242A-422B-ADF8-83D1E48CC825} - C:\Browser Defender\PCTBrowserDefender.dll
O3 - Toolbar: (no name) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - (no file)
O3 - Toolbar: Browsing Protection Toolbar - {265EEE8E-3228-44D3-AEA5-F7FDF5860049} - C:\Program Files\F-Secure\NRS\iescript\baselitmus.dll
O4 - HKLM\..\Run: [SSDMonitor] "C:\Program Files\Common Files\PC Tools\sMonitor\SSDMonitor.exe"
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\F-Secure\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [Performance Center] C:\Program Files\Ascentive\Performance Center\ApcMain.exe -m
O4 - HKLM\..\Run: [Spyware Striker Pro] M:\SpywareStriker.exe -m
O4 - HKLM\..\Run: [ThreatFire] M:\ThreatFire\TFTray.exe
O4 - HKCU\..\Run: [AROReminder] C:\Program Files\Advanced Registry Optimizer\ARO.exe -rem
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\Windows\system32\Macromed\Flash\FlashUtil10e.exe
O4 - HKCU\..\RunOnce: [RegistryBooster] "C:\Program Files\RegistryBooster\launcher.exe" delay 20000
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETWORK SERVICE')
O4 - Global Startup: RVS 2010.lnk = C:\Program Files\Returnil\RVS3\rvsgui.exe
O8 - Extra context menu item: Add to AMV Converter... - C:\Program Files\MP3 Player Utilities 4.05\AMVConverter\grab.html
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Program Files\MP3 Player Utilities 4.05\MediaManager\grab.html
O13 - Gopher Prefix:
O16 - DPF: {34DC6011-88B5-4EA9-BA7A-DC7B4F4437FE} (JordanUploader Class) - http://ips.poi.de/ips-opdata/layout/fnac/objects/jordan.cab
O16 - DPF: {3D3B42C2-11BF-4732-A304-A01384B70D68} (UploadListView Class) - http://picasaweb.google.nl/s/v/56.12/uploader2.cab
O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) - http://www3.snapfish.nl/SnapfishActivia.cab
O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://picasaweb.google.com/s/v/50.13/uploader2.cab
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://www.extrafilm.nl/ImageUploader5.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefend...urces/en/scan8/oscan8.cab
O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab
O16 - DPF: {73ECB3AA-4717-450C-A2AB-D00DAD9EE203} (GMNRev Class) - http://h20270.www2.hp.com...l/HPProductDetection2.cab
O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {A9F8D9EC-3D0A-4A60-BD82-FBD64BAD370D} (DDRevision Class) - http://h20264.www2.hp.com...riverDiagnosticsVista.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game04.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {CAC677B6-4963-4305-9066-0BD135CD9233} (IPSUploader4 Control) - https://as.photoprintit.d.../activex/IPSUploader4.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macrom...ve/cabs/flash/swflash.cab
O16 - DPF: {DAF94F73-2AA6-44D8-A562-A28831820D34} (Pixum EasyUploadX Control) - http://www.pixum.nl/apps/EasyUploadX.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O20 - Winlogon Notify: !SASWinLogon - M:\SASWINLO.dll (file missing)
O23 - Service: Mobiel Apple apparaat (Apple Mobile Device) - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Browser Defender Update Service - Threat Expert Ltd. - C:\Browser Defender\BDTUpdateService.exe
O23 - Service: CrossLoop Service (CrossLoopService) - CrossLoop Inc - C:\Users\gerrit\AppData\Local\CrossLoop\CrossLoopService.exe
O23 - Service: ExtraFilm upload service (EFUploadSrv) - Textalk AB - C:\Program Files\ExtraFilm Designer NL\EFUploadSrv.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\F-Secure\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE
O23 - Service: F-Secure ORSP Client (FSORSPClient) - F-Secure Corporation - C:\Program Files\F-Secure\ORSP Client\fsorsp.exe
O23 - Service: GameConsoleService - WildTangent, Inc. - C:\Program Files\HP Games\My HP Game Console\GameConsoleService.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PC Tools Startup and Shutdown Monitor service (PCToolsSSDMonitorSvc) - PC Tools - C:\Program Files\Common Files\PC Tools\sMonitor\StartManSvc.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\Windows\system32\PSIService.exe
O23 - Service: Returnil Virtual System Core Service (RVSMONBL) - CJSC Returnil Software - C:\Windows\system32\Returnil\RVS3\rvsmon.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: ThreatFire - Unknown owner - M:\ThreatFire\TFService.exe (file missing)
O23 - Service: TomTomHOMEService - TomTom - C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe

--
End of file - 9760 bytes

De tweede is van Gridinsoft Trojankiller:

GridinSoft Trojan Killer v.2.0.7.1
Report file date: 1-7-2010 19:35:40

Scanning for 356454 virus strains and unwanted programs.

Licensed: UNREGISTERED
Windows version: Windows Vista (TM) Home Premium (version 6.0)
Username: gerrit
Computer name: PC_VAN_GERRIT

Starting the file scan:

Startup collected
BHO plugins collected
Service collected
ActiveX collected
Files collected
Scanning process...
----- ---- BHO
Threat
CyberDefender Security Toolbar


----- ---- BHO
Threat
Google Toolbar Helper


----- C:\Windows\Downloaded Program Files\SnapfishActivia1001.ocx ---- ActiveX
Suspicious
Snapfish Activia
MD5: 6DC65A5FD3C1B396FA06F4D5C4DFA415:1142784
EP: 8B FF 55 8B EC 83 7D 0C 01 75 05 E8 BE 96 00 00 FF 75 08 8B 4D 10 8B 55 0C E8 EC FE FF FF 59 5D C2 0C 00 8B FF 55 8B EC 83 3D C0 F4 10 10 00 56 8B 35 7C EF 10 10 75 04 33 C0 EB 63 57 85 F6 75 1B
SEC:
.text:9C66759E7CBC9E460038C9B9E914D476:588288
.rdata:21C357DAE20B0CC72CB246A705A3D75B:491008
.data:30F15A99E46116A434FE12A4FA3FB770:17920
.rsrc:AA41E1C15E0EC80196A0710B1D59A4A6:7680
.reloc:01109E48BD288A2262589AF27B8BBF4F:36864


----- c:\windows\system32\codejo~1.ocx ---- General
Backdoor.Rbot
ProdVer: 12, 1, 1, 0
FileVer: 12, 1, 1, 0
Name : Xtreme SkinFramework ActiveX Control Module
Company: Codejock Software
MD5: F5DC31C9F74358C3121EB3B55BC301DD:559024
EP: 55 8B EC 53 8B 5D 08 56 8B 75 0C 57 8B 7D 10 85 F6 75 09 83 3D FC 5A 07 10 00 EB 26 83 FE 01 74 05 83 FE 02 75 22 A1 48 3E 07 10 85 C0 74 09 57 56 53 FF D0 85 C0 74 0C 57 56 53 E8 15 FF FF FF 85
SEC:
.text:66E0192199F8019464720B4846E8486D:368640
.rdata:F2C58B0D1863E5DB349C88CFF7075C0A:77824
.data:1EE841C87F4CB5CFF2E6F32985058269:24576
.rsrc:C4AA98BA0D96645A719B7E102100DE0F:40960
.reloc:9FDEE5EDD70A3796E6AA881F3399E8B7:36864


----- C:\Windows\DOWNLO~1\oscan82.ocx ---- ActiveX
Suspicious
BDSCANONLINE Control
MD5: A9F9DB72CAD15E93AD756ACFF7E4C7DD:656384
EP: 8B FF 55 8B EC 83 7D 0C 01 75 05 E8 25 D8 00 00 FF 75 08 8B 4D 10 8B 55 0C E8 EC FE FF FF 59 5D C2 0C 00 8B FF 55 8B EC 57 BF E8 03 00 00 57 FF 15 5C 73 06 10 FF 75 08 FF 15 90 73 06 10 81 C7 E8
SEC:
.text:8AABAE33BCAF3AE77B46F66EB917C0AF:414720
.rdata:9F581D89B284D362E619A8E9AA431424:120320
.data:38AFA915A9DF77B261ED7F340FB5B64D:15872
.rsrc:6DEC36EA3D848090F0DD80ADD7F7BC48:53248
.reloc:9D8C05F59E0628073BF1FDF26AE7D006:51200


----- C:\Program Files\uninst.exe ---- General
toolbar.exbar.45056
ProdVer:
FileVer: 1.0.0.0
Name : Speccy
Company: Piriform Ltd
MD5: 59AD06EDBC5332209513BA8246D7B180:76183
RIC: 8FFE748A265E5D8B5AE88CED3DDB6DCC:19376
EP: 81 EC 80 01 00 00 53 55 56 33 DB 57 89 5C 24 18 C7 44 24 10 30 91 40 00 33 F6 C6 44 24 14 20 FF 15 30 70 40 00 68 01 80 00 00 FF 15 B4 70 40 00 53 FF 15 7C 72 40 00 6A 08 A3 58 3F 42 00 E8 09 2C
SEC:
.text:0BC2FFD32265A08D72B795B18265828D:23552
.rdata:F179218A059068529BDB4637EF5FA28E:4608
.data:975304D6DD6C4A4F076B15511E2BBBC0:1024
.ndata:00000000000000000000000000000000:0
.rsrc:C5AA8F8307BF186B5CAABA9499441445:23552


----- C:\Program Files\uninstall.exe ---- General
toolbar.uturnbar.131072
MD5: 4C765359AD026088738AD16BE589F027:20507
RIC: 9F07AB9252C8AF2632BE0140225F584B:2216
EP: 83 EC 58 B9 30 5B 40 00 BA 24 09 00 00 53 C7 44 24 04 01 00 00 00 56 57 55 E8 A0 E1 FF FF 6A 00 FF 15 88 82 40 00 68 00 90 40 00 A3 30 5B 40 00 FF 15 84 82 40 00 85 C0 0F 85 F6 03 00 00 BE FF 00
SEC:
.text:4D4A9874224F191F3029CB3133CED97C:10240
.rdata:39D94FFB2BF2438634FCC5ACBEFF896A:512
.data:D5C8CA4CB6E4001F68B55A64CAC6CC6D:1024
.idata:2303939840B2D0C3190F16A1073F241A:2560
.Shared:1D7D80E8B5CE8C86E7C833467964B6AE:512
.rsrc:035AE180A41108E7770A42AE239E2A3B:3072
.reloc:E46D9837D07022ED98D821E479DEB4D1:1536


----- C:\Program Files\license.txt ---- General
prog.oneclick


----- \TypeLib\{497dddb6-6eee-4561-9621-b77dc82c1f84} ---- Registry
Rogue.Ascentive


----- \Interface\{4e980492-027b-47f1-a7ab-ab086dacbb9e} ---- Registry
Rogue.Ascentive


----- \Interface\{5ead8321-fcbb-4c3f-888c-ac373d366c3f} ---- Registry
Rogue.Ascentive


----- \CLSID\{31f3cf6e-a71a-4daa-852b-39ac230940b4} ---- Registry
Rogue.Ascentive


----- C:\Windows\system32\sysrestore.dll ---- General
Rogue.Ascentive
ProdVer: 1.00
FileVer: 1.00
Name : prjSysRestore
Company: Ascentive LLC
MD5: 2C10B592DA12118CFD3B9DE0AED4540E:20480
EP: 5A 68 A0 33 00 11 68 A4 33 00 11 52 E9 E7 FF FF FF 00 00 00 48 00 00 00 30 00 00 00 40 00 00 00 00 00 00 00 B6 DD 7D 49 EE 6E 61 45 96 21 B7 7D C8 2C 1F 84 00 00 00 00 00 00 01 00 00 00 0A 27 2D
SEC:
.text:31DD298C3623452998314B8609F214A4:8192
.data:00000000000000000000000000000000:0
.rsrc:A3D94015E4686E1B4854C7F29C77EDEC:4096
.reloc:A2FDC4C98F53CB175BEE5C799D653192:4096


----- C:\Windows\System32\Codejock.SkinFramework.v12.1.1.ocx ---- General
Backdoor.Rbot
ProdVer: 12, 1, 1, 0
FileVer: 12, 1, 1, 0
Name : Xtreme SkinFramework ActiveX Control Module
Company: Codejock Software
MD5: F5DC31C9F74358C3121EB3B55BC301DD:559024
EP: 55 8B EC 53 8B 5D 08 56 8B 75 0C 57 8B 7D 10 85 F6 75 09 83 3D FC 5A 07 10 00 EB 26 83 FE 01 74 05 83 FE 02 75 22 A1 48 3E 07 10 85 C0 74 09 57 56 53 FF D0 85 C0 74 0C 57 56 53 E8 15 FF FF FF 85
SEC:
.text:66E0192199F8019464720B4846E8486D:368640
.rdata:F2C58B0D1863E5DB349C88CFF7075C0A:77824
.data:1EE841C87F4CB5CFF2E6F32985058269:24576
.rsrc:C4AA98BA0D96645A719B7E102100DE0F:40960
.reloc:9FDEE5EDD70A3796E6AA881F3399E8B7:36864


----- C:\Windows\System32\sqlite3.dll ---- General
Trojan.Win32
MD5: 3CB54463EA2C41B8203EB604BAF09577:223232
EP: 55 89 E5 83 EC 10 56 53 8B 5D 0C 83 FB 01 75 05 E8 E7 2C 03 00 8B 45 10 83 C4 FC 50 53 8B 45 08 50 E8 3E 2C 03 00 89 C6 83 C4 04 85 DB 75 05 E8 40 2C 03 00 8D 65 E8 89 F0 5B 5E 89 EC 5D C2 0C 00
SEC:
.text:06FBB1539DF61460BD6DAD985C7440AD:211456
.data:47F58811DF85F75A8FC8C2A401481128:512
.bss:00000000000000000000000000000000:0
.edata:C16BC76A4F8CE62F8ABCE26472C56215:3072
.idata:935107551639FC51B4E9860174A0089F:1536
.reloc:A8A8F0CCA98EC96762FED3ED7D2E8AB5:5632


----- C:\Windows\System32\Returnil\RVS3\Utils\bspatch.exe ---- General
Worm.Opnis
MD5: 3FDB459A870FA750303DB23BA4550A24:24576
EP: 60 BE 00 C0 40 00 8D BE 00 50 FF FF 57 83 CD FF EB 10 90 90 90 90 90 90 8A 06 46 88 07 47 01 DB 75 07 8B 1E 83 EE FC 11 DB 72 ED B8 01 00 00 00 01 DB 75 07 8B 1E 83 EE FC 11 DB 11 C0 01 DB 73 EF
SEC:
UPX0:00000000000000000000000000000000:0
UPX1:DE764A0E4A2F60BDF195F33897CBA1AC:23040
UPX2:4D523C9D6365199B1B3AC05C175A3700:512


----- C:\Program Files\Hewlett-Packard\HP ASL\launchAP.exe ---- General
Mal/FakeAV!se8
ProdVer: 1.0.0.0
FileVer: 1.0.0.0
Name : launchAP3
Company: Hewlett-Packard
MD5: DD7FFCCF7884C42EA58682B12EF56BDA:17152
RIC: E2F2DF00D1C73BD1B47E0A3CD17F1843:1040
EP: FF 25 00 20 40 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
SEC:
.text:9F642501C7810ABD4FE442607D4B8F08:6656
.sdata:C5A15B9EE6C16DBE5BD8388BA9FC456C:512
.rsrc:2BC4DD8628A042D9D7E556E94319E002:3072
.reloc:A18D2CB344E1F62F562E913340F6E66C:512


----- C:\Program Files\Returnil\RVS3\rvsgui.exe ---- General
Suspicious.Signature (Invalid DOS signature)


Scan completed!

Scan result: 18 detected items
Scan completed in: Scan completed in 14 minute(s) 30 sec.
Files were scanned: 16300

Ik hoop dat er mensen zijn die deze geheimtaal kunnen ontcijferen... :? :? :?

Greetz, Bignose

vrijdag 2 juli 2010 00:37

Acties:

Verwijderd

Waarom een HijackThis log gemaakt in veilige modus?

Ik zie dat je Returnil op het systeem hebt staan.
Daar zal het "probleem" waarschijnlijk mee te maken hebben.
Returnil kan precies doen wat jij als probleem omschrijft; wijzigingen ongedaan maken na een herstart van het systeem.


Detecties door de voor mij totaal onbekende Gridinsoft Trojankiller lijken False Positives te zijn.

Bijvoorbeeld;

----- C:\Windows\System32\Codejock.SkinFramework.v12.1.1.ocx ---- General
Backdoor.Rbot
ProdVer: 12, 1, 1, 0
FileVer: 12, 1, 1, 0
Name : Xtreme SkinFramework ActiveX Control Module
Company: Codejock Software
MD5: F5DC31C9F74358C3121EB3B55BC301DD:559024

Is niets mee aan de hand, zie dit resultaat van VirusTotal


Ook andere MD5's die ik controleerde via VirusTotal Hash search leverden geen verdachte bestanden op.
Advies: Gooi die Gridinsoft Trojankiller direct van je systeem en als je toch bezig bent kun je Spyware Striker Pro ook direct verwijderen.

[ Voor 5% gewijzigd door Verwijderd op 02-07-2010 00:51 ]

vrijdag 2 juli 2010 11:27

Acties:
  • dutch_camel
  • Registratie: September 2002
  • Laatst online: 23-09 13:29

dutch_camel

It's Orange!

Yup, maar bovenstaande was sneller :) Denk dat je daar maar eens mee moet beginnen. Laat even weten wat het resultaat is!

~... this doesn't look like Kansas to me, Toto... ~

vrijdag 2 juli 2010 20:48

Acties:
  • Bignose
  • Registratie: Mei 2004
  • Laatst online: 11-12-2024

Bignose

Topicstarter
Verwijderd schreef op vrijdag 02 juli 2010 @ 00:37:
Waarom een HijackThis log gemaakt in veilige modus?

Ik zie dat je Returnil op het systeem hebt staan.
Daar zal het "probleem" waarschijnlijk mee te maken hebben.
Returnil kan precies doen wat jij als probleem omschrijft; wijzigingen ongedaan maken na een herstart van het systeem.
Dag zomaar, ik denk dat daar inderdaad het probleem zit maar ik heb geen idee hoe ik in het programma kan komen. Iedere keer als ik klik op het icoontje van RVS (Returnil Virtual System) zie ik heel even een dosscherm en geeft hij aan dat het programma te groot is voor het geheugen.

Iemand enige ervaring met dit pakket en hoe je hem kan openen?

Zomaar verwijderen gaat namelijk niet omdat er eerst wat instellingen handmatig moeten worden aangepast in RVS.

Maar ik denk dat we op de goede weg zijn :9

Greetz, Bignose

vrijdag 2 juli 2010 21:05

Acties:
  • PilatuS
  • Registratie: September 2002
  • Niet online

PilatuS

Waarom format je de schijf niet gewoon ? Als het niet in de MBR zit, en die kans is best groot, dan is het opgelost.

Als je het virus weg krijgt blijft er misschien wat achter. Door een format te doen is het probleem 100% zeker opgelost als het niet in MBR zit. Het is denk ik ook nog eens makkelijker en sneller.

vrijdag 2 juli 2010 21:23

Acties:
  • Bignose
  • Registratie: Mei 2004
  • Laatst online: 11-12-2024

Bignose

Topicstarter
PilatuS schreef op vrijdag 02 juli 2010 @ 21:05:
Waarom format je de schijf niet gewoon ? Als het niet in de MBR zit, en die kans is best groot, dan is het opgelost.

Als je het virus weg krijgt blijft er misschien wat achter. Door een format te doen is het probleem 100% zeker opgelost als het niet in MBR zit. Het is denk ik ook nog eens makkelijker en sneller.
Heel simpel Pilatus, het is geen virus. Het is een programma wat niets verbergt en niet kwaadaardig is.
En ik ben iemand van de oplossingen, niet iemand van de work arounds.

Greetz, Bignose

vrijdag 2 juli 2010 23:11

Acties:
  • marti-n
  • Registratie: April 2009
  • Laatst online: 11:43

marti-n

http://www.zdnet.be/revie...virtual-system-home-2010/

dat is volgens mij (na hierboven gelezen te hebben) het programma dat actief is, het doet precies wat jouw klachten zijn.

geen idee hoe het werkt, maar lijkt me dat je het via taakbeheer oid wel af zou moeten kunnen sluiten, of anders gwn keihard de map verwijderen? misschien ergens een sneltoets waarmee je in je originele os kunt komen?

iig, Succes!

zaterdag 3 juli 2010 04:44

Acties:

Verwijderd

Bignose,

Lees (download) de handleiding van Returnil virtual system.
Daarin staat wel beschreven hoe je het kunt uitschakelen in veilige modus en andere oplossingen bij problemen met Returnil.

zaterdag 3 juli 2010 20:31

Acties:

Verwijderd

Gewoon even een vraag. Is dit programma zomaar op die pc terecht gekomen :+

zondag 4 juli 2010 23:18

Acties:
  • Craven
  • Registratie: Februari 2007
  • Laatst online: 09:05

Craven

No flame intended maar ehh als ik door je hijackthis heen kijk zie ik volgende antivirus/malware dingen staan:
- Norton internet security
- threatfire
- spybot s&d
- ad-aware
- cyberdefender security toolbar
- f-security
- mbam
- pc tools browser guard

En dan nog wat overige schoonmaakzooi
- advanced registry optimizer
- performance center
- ssdmonitor
- registrybooster

Begrijp me niet verkeerd, ik ben ook best wel van het schoon houden en beveiligen van je pc maar dit doet meer kwaad dan goed. 1 firewall en antivirus zijn voldoende. Dan kun je daar nog een registry cleaning programma bij zetten en iets zoals ccleaner. Maar daar houd het wel bij op. Wat je tussendoor nog aan anti spyware draait zoals mbam en spybot s&d maakt niet zoveel uit(maar zorg niet dat het op de achtergrond draait). Long story short houd je beveiliging kort maar krachtig, dat werkt vaak niet alleen beter maar vooral prettiger wat betreft performance.
Bignose schreef op vrijdag 02 juli 2010 @ 21:23:
[...]

Heel simpel Pilatus, het is geen virus. Het is een programma wat niets verbergt en niet kwaadaardig is.
En ik ben iemand van de oplossingen, niet iemand van de work arounds.
Overigens zou ik sowieso deze pc een format geven, dan weet je in ieder geval zeker dat hij schoon is en hij draait ook weer een stuk sneller gok ik. Dat jij dat een work around vind is leuk maar het is praktisch onmogelijk om bij dit soort pc's te controleren of hij ook echt schoon is. Zelfs de hele rits aan programma's waar jij mee scant vind niet alles.
Dus vind ik eerlijk gezegd jou oplossing geen oplossing maar meer een verbandje om een ontstoken wond. Je ziet het even niet maar het komt straks toch wel weer terug.

Maar goed dat is mijn kijk op dit probleem.

zondag 4 juli 2010 23:23

Acties:
  • heuveltje
  • Registratie: Februari 2000
  • Laatst online: 29-11 19:55

heuveltje

KoelkastFilosoof

PilatuS schreef op vrijdag 02 juli 2010 @ 21:05:
Waarom format je de schijf niet gewoon ? Als het niet in de MBR zit, en die kans is best groot, dan is het opgelost.

Als je het virus weg krijgt blijft er misschien wat achter. Door een format te doen is het probleem 100% zeker opgelost als het niet in MBR zit. Het is denk ik ook nog eens makkelijker en sneller.
Sowieso kun je een MBR zonder problemen overschrijven, dus dan nog is formateren altijd een oplossing.

Heuveltjes CPU geschiedenis door de jaren heen : AMD 486dx4 100, Cyrix PR166+, Intel P233MMX, Intel Celeron 366Mhz, AMD K6-450, AMD duron 600, AMD Thunderbird 1200mhz, AMD Athlon 64 x2 5600, AMD Phenom X3 720, Intel i5 4460, AMD Ryzen 5 3600 5800x3d

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq