Mededeling

Collapse
No announcement yet.

help voor MDelk

Collapse
X
  •  
  • Filter
  • Tijd
  • Show
Clear All
new posts

  • help voor MDelk

    (ook) ik heb last van MDELK.EXE, deze gemenerik is NIET uit de takenlijst te verwijderen.
    Hij heet daar soms wintems.exe (bestand met die naam niet gevonden) of
    drivers\hldrr.exe (ook dat bestand vind ik niet). Mdelk.exe vind ik wel
    (allemaal onder Windows\system32) maar is in gebruik dus niet te wissen.

    Help help help!
    Ik heb naar mijn idee alles al geprobeerd, maar toe nu toe zonder succes.
    Ik heb het idee dat ik 'm SOMS wel even weg heb, maar dat hij zichzelf minder
    dan een seconde later opnieuw geïnstalleerd heeft.
    Ik ben al drie weken aan het proberen.. :-{ (cry)
    Grrr.

    Het stomme progje zorgt er ook voor dat allerlei anti-virus-software niet werkt:
    * AVG Free edition - kan niet gestart worden
    * AVG Anti-spyware - kan niet gestart worden
    * Add-aware - start en draait, vindt en hersteld, maar niet MDELK.EXE
    * Spyware Docter - start en draait, wil niet MDELK wissen zonder registratie.
    De resident-versie vindt soms hldrr.exe en wintems.exe en vraagt of ik die (nu of straks) wil wissen.
    Ik zeg ja, maar .... geen resultaat
    * Spybot Search & Destroy - Start niet
    * Spyware Blaster - start en draait, maar geen oplossing
    * CWS-schredder - start en draait, maar vind niets
    * HiJack This (v2) - start en draait, vindt volgens mij DEZE infectie niet
    * ATF-cleaner - start wel, maar is na minder dan een seconde weer weg
    * combofix - cmd-venster start, maar dat is helemaal alles, hij DOET niets
    * SafeBootKeyRepair.exe -doet het wel, maar geen soelaas.
    * Stinger (van McAfee, v3.8.0) is nu aan het werk
    * Solo antivirus doet het gelukkig wel (heb ik in elk
    geval een resident scanner), maar helpt niet tegen ... je raadt het al)

    Laatste logfile van HiJack This:
    ------------------------------------------------ BOF
    Logfile of Trend Micro HijackThis v2.0.0 (BETA)
    Scan saved at 15:39, on 2008-02-27
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Ahead\InCD\InCDsrv.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    G:\SOLOSC~1.0\QUYANH~1\SOLOAN~1\SOLOSENT.EXE
    G:\SOLOSC~1.0\QUYANH~1\SOLOAN~1\SOLOCFG.EXE
    C:\Program Files\Spyware Doctor\pctsTray.exe
    C:\Program Files\Ahead\InCD\InCD.exe
    C:\Program Files\NetStat Live\nsl.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Spyware Doctor\pctsAuxs.exe
    C:\Program Files\Spyware Doctor\pctsSvc.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
    C:\Program Files\Windows Media Player\WMPNetwk.exe
    C:\Program Files\totalcmd\TOTALCMD.EXE
    C:\WINDOWS\system32\ctfmon.exe
    c:\A3aan\stng380.exe
    C:\WINDOWS\system32\taskmgr.exe
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\WINDOWS\pchealth\helpctr\binaries\helpctr.exe
    C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe
    C:\Documents and Settings\Wim Meijer\Bureaublad\AntiVies\HiJackThis_v2.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe
    C:\WINDOWS\system32\NOTEPAD.EXE

    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O4 - HKLM\..\Run: [SoloSentry] G:\SOLOSC~1.0\QUYANH~1\SOLOAN~1\SOLOSENT.EXE
    O4 - HKLM\..\Run: [SoloSchedule] G:\SOLOSC~1.0\QUYANH~1\SOLOAN~1\SOLOCFG.EXE
    O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
    O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [NetStat Live] C:\Program Files\NetStat Live\nsl.exe
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Lokale service')
    O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
    O23 - Service: iPod-service (iPod Service) - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)
    O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
    O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
    O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
    --
    End of file - 3664 bytes

    ------------------------------------------------ EOF
    Stinger rapporteert dat er niks mis is (aaaaargh!)

    Wie wil en kan me helpen??

    Op jullie site vond ik ook nog een verwijzing naar een Spaanstalig (?) progje... Radeloos ook maar geprobeerd. Hier zijn (haar??) log:

    ----------------------------------------------- BOF

    Wed Feb 27 16:08:08 2008
    EliBagle v11.06 (c)2008 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Acci¾n Directa):
    C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
    C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
    C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
    C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
    Restaurada Clave: "SafeBoot\Minimal y Network"
    Reinicie para Completar la Limpieza.

    Wed Feb 27 16:08:53 2008
    EliBagle v11.06 (c)2008 S.G.H. / Satinfo S.L.
    ----------------------------------------------
    Lista de Acciones (por Exploraci¾n):
    Explorando Unidad C:\
    C:\Program Files\Google\GoogleToolbarNotifier\GOOGLETOOLBARNOTIFIER.EXE --> Eliminado Bagle.dldr
    C:\WINDOWS\system32\MDELK.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)

    N║ Total de Directorios: 5143
    N║ Total de Ficheros: 72875
    N║ de Ficheros Analizados: 8894
    N║ de Ficheros Infectados: 2
    N║ de Ficheros Limpiados: 2

    ----------------------------------------------- EOF

  • #2
    Je wordt hier toch al geholpen door Thor:


    Hulp hier lijkt me dan ook niet echt nodig

    Comment


    • #3
      Oorspronkelijk geplaatst door smeenk Bekijk Berichten
      Je wordt hier toch al geholpen door Thor:
      http://hijackthis.nl/forum/viewtopic.php?t=14935

      Hulp hier lijkt me dan ook niet echt nodig
      je hebt gelijk. Door onze wanhoop (onze, want de "ik" was feitelijk mijn broer, ik ben zijn helpdesk) probeerden we zoveel mogelijk hulp te vinden.

      Ondertussen is het probleem opgelost.
      Oorspronkelijk geplaatst door ik op dat andere forum
      ...
      We kwamen er niet uit, ondermeer omdat F8 drukken bij opstarten wel de keuzemogelijkheden 'veilige modus' bood, maar dat tijdens dat opstarten, na ongeveer een beeldscherm aan geladen drivers, de machine steevast rebootte.
      Ondertussen heb ik het wel opgelost:
      :arrow: Door in MSCONFIG niet alleen in het eerste tabblad 'selectief opstarten' (alles uitgevinkt, behalve Originele Boot.ini) te gebruiken, maar :idea: óók bij tabblad 'boot.ini' te kiezen voor "Safeboot minimal" werd mdelk NIET geladen en kon hij gewist worden.

      Vanaf dat moment konden we verder: antivirus-programma's konden gestart worden, Combofix en de beide AVG-programma's hebben een heleboel rommel op kunnen ruimen (zowel bestanden als registry-enties) en handmatig hebben we een dikke 450 genummerde EXE's kunnen wissen uit Windows\system32\drivers\down.

      Ik denk dus dat dit probleem (eindelijk) is opgelost. De thread kan dus op slot, maar het benoemen van de oplossing leek me prettig voor eventuele volgende slachtoffers.
      Vooreerst laten we maar een overload aan antivirusprogramma's draaien en scannen we wat vaker dan eens per week. Je weet maar nooit.

      Bedankt voor je/jullie hulp!
      Deze thread kan dus dicht.

      Dank!

      Comment


      • #4
        Hmmm, interessant wat je daar schrijft
        Die infectie is vaak moeilijk te verwijderen, vooral veel geduld moet je hebben.
        Als ik hem nog eens tegenkom zal ik hier nog eens terug gaan kijken.

        Groeten smeenk

        Comment

        Sorry, you are not authorized to view this page
        Working...
        X