Tweet
help voor MDelk
(ook) ik heb last van MDELK.EXE, deze gemenerik is NIET uit de takenlijst te verwijderen.
Hij heet daar soms wintems.exe (bestand met die naam niet gevonden) of
drivers\hldrr.exe (ook dat bestand vind ik niet). Mdelk.exe vind ik wel
(allemaal onder Windows\system32) maar is in gebruik dus niet te wissen.
Help help help!
Ik heb naar mijn idee alles al geprobeerd, maar toe nu toe zonder succes.
Ik heb het idee dat ik 'm SOMS wel even weg heb, maar dat hij zichzelf minder
dan een seconde later opnieuw geïnstalleerd heeft.
Ik ben al drie weken aan het proberen.. :-{ (cry)
Grrr.
Het stomme progje zorgt er ook voor dat allerlei anti-virus-software niet werkt:
* AVG Free edition - kan niet gestart worden
* AVG Anti-spyware - kan niet gestart worden
* Add-aware - start en draait, vindt en hersteld, maar niet MDELK.EXE
* Spyware Docter - start en draait, wil niet MDELK wissen zonder registratie.
De resident-versie vindt soms hldrr.exe en wintems.exe en vraagt of ik die (nu of straks) wil wissen.
Ik zeg ja, maar .... geen resultaat
* Spybot Search & Destroy - Start niet
* Spyware Blaster - start en draait, maar geen oplossing
* CWS-schredder - start en draait, maar vind niets
* HiJack This (v2) - start en draait, vindt volgens mij DEZE infectie niet
* ATF-cleaner - start wel, maar is na minder dan een seconde weer weg
* combofix - cmd-venster start, maar dat is helemaal alles, hij DOET niets
* SafeBootKeyRepair.exe -doet het wel, maar geen soelaas.
* Stinger (van McAfee, v3.8.0) is nu aan het werk
* Solo antivirus doet het gelukkig wel (heb ik in elk
geval een resident scanner), maar helpt niet tegen ... je raadt het al)
Laatste logfile van HiJack This:
------------------------------------------------ BOF
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 15:39, on 2008-02-27
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
G:\SOLOSC~1.0\QUYANH~1\SOLOAN~1\SOLOSENT.EXE
G:\SOLOSC~1.0\QUYANH~1\SOLOAN~1\SOLOCFG.EXE
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\NetStat Live\nsl.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Program Files\Windows Media Player\WMPNetwk.exe
C:\Program Files\totalcmd\TOTALCMD.EXE
C:\WINDOWS\system32\ctfmon.exe
c:\A3aan\stng380.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\pchealth\helpctr\binaries\helpctr.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe
C:\Documents and Settings\Wim Meijer\Bureaublad\AntiVies\HiJackThis_v2.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\NOTEPAD.EXE
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [SoloSentry] G:\SOLOSC~1.0\QUYANH~1\SOLOAN~1\SOLOSENT.EXE
O4 - HKLM\..\Run: [SoloSchedule] G:\SOLOSC~1.0\QUYANH~1\SOLOAN~1\SOLOCFG.EXE
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NetStat Live] C:\Program Files\NetStat Live\nsl.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Lokale service')
O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: iPod-service (iPod Service) - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
--
End of file - 3664 bytes
------------------------------------------------ EOF
Stinger rapporteert dat er niks mis is (aaaaargh!)
Wie wil en kan me helpen??
Op jullie site vond ik ook nog een verwijzing naar een Spaanstalig (?) progje... Radeloos ook maar geprobeerd. Hier zijn (haar??) log:
----------------------------------------------- BOF
Wed Feb 27 16:08:08 2008
EliBagle v11.06 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acci¾n Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.
Wed Feb 27 16:08:53 2008
EliBagle v11.06 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploraci¾n):
Explorando Unidad C:\
C:\Program Files\Google\GoogleToolbarNotifier\GOOGLETOOLBARNOTIFIER.EXE --> Eliminado Bagle.dldr
C:\WINDOWS\system32\MDELK.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)
N║ Total de Directorios: 5143
N║ Total de Ficheros: 72875
N║ de Ficheros Analizados: 8894
N║ de Ficheros Infectados: 2
N║ de Ficheros Limpiados: 2
----------------------------------------------- EOF
Hij heet daar soms wintems.exe (bestand met die naam niet gevonden) of
drivers\hldrr.exe (ook dat bestand vind ik niet). Mdelk.exe vind ik wel
(allemaal onder Windows\system32) maar is in gebruik dus niet te wissen.
Help help help!
Ik heb naar mijn idee alles al geprobeerd, maar toe nu toe zonder succes.
Ik heb het idee dat ik 'm SOMS wel even weg heb, maar dat hij zichzelf minder
dan een seconde later opnieuw geïnstalleerd heeft.
Ik ben al drie weken aan het proberen.. :-{ (cry)
Grrr.
Het stomme progje zorgt er ook voor dat allerlei anti-virus-software niet werkt:
* AVG Free edition - kan niet gestart worden
* AVG Anti-spyware - kan niet gestart worden
* Add-aware - start en draait, vindt en hersteld, maar niet MDELK.EXE
* Spyware Docter - start en draait, wil niet MDELK wissen zonder registratie.
De resident-versie vindt soms hldrr.exe en wintems.exe en vraagt of ik die (nu of straks) wil wissen.
Ik zeg ja, maar .... geen resultaat
* Spybot Search & Destroy - Start niet
* Spyware Blaster - start en draait, maar geen oplossing
* CWS-schredder - start en draait, maar vind niets
* HiJack This (v2) - start en draait, vindt volgens mij DEZE infectie niet
* ATF-cleaner - start wel, maar is na minder dan een seconde weer weg
* combofix - cmd-venster start, maar dat is helemaal alles, hij DOET niets
* SafeBootKeyRepair.exe -doet het wel, maar geen soelaas.
* Stinger (van McAfee, v3.8.0) is nu aan het werk
* Solo antivirus doet het gelukkig wel (heb ik in elk
geval een resident scanner), maar helpt niet tegen ... je raadt het al)
Laatste logfile van HiJack This:
------------------------------------------------ BOF
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 15:39, on 2008-02-27
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
G:\SOLOSC~1.0\QUYANH~1\SOLOAN~1\SOLOSENT.EXE
G:\SOLOSC~1.0\QUYANH~1\SOLOAN~1\SOLOCFG.EXE
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\NetStat Live\nsl.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Program Files\Windows Media Player\WMPNetwk.exe
C:\Program Files\totalcmd\TOTALCMD.EXE
C:\WINDOWS\system32\ctfmon.exe
c:\A3aan\stng380.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\pchealth\helpctr\binaries\helpctr.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe
C:\Documents and Settings\Wim Meijer\Bureaublad\AntiVies\HiJackThis_v2.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\NOTEPAD.EXE
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [SoloSentry] G:\SOLOSC~1.0\QUYANH~1\SOLOAN~1\SOLOSENT.EXE
O4 - HKLM\..\Run: [SoloSchedule] G:\SOLOSC~1.0\QUYANH~1\SOLOAN~1\SOLOCFG.EXE
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NetStat Live] C:\Program Files\NetStat Live\nsl.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Lokale service')
O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: iPod-service (iPod Service) - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
--
End of file - 3664 bytes
------------------------------------------------ EOF
Stinger rapporteert dat er niks mis is (aaaaargh!)
Wie wil en kan me helpen??
Op jullie site vond ik ook nog een verwijzing naar een Spaanstalig (?) progje... Radeloos ook maar geprobeerd. Hier zijn (haar??) log:
----------------------------------------------- BOF
Wed Feb 27 16:08:08 2008
EliBagle v11.06 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acci¾n Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.
Wed Feb 27 16:08:53 2008
EliBagle v11.06 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploraci¾n):
Explorando Unidad C:\
C:\Program Files\Google\GoogleToolbarNotifier\GOOGLETOOLBARNOTIFIER.EXE --> Eliminado Bagle.dldr
C:\WINDOWS\system32\MDELK.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)
N║ Total de Directorios: 5143
N║ Total de Ficheros: 72875
N║ de Ficheros Analizados: 8894
N║ de Ficheros Infectados: 2
N║ de Ficheros Limpiados: 2
----------------------------------------------- EOF
Comment