Mededeling

**smeenk** · 09-04-08, 16:45

Download Malwarebytes' Anti-Malware op je bureaublad.
Dubbelklik mbam-setup.exe en kies voor "Next" om de tool te installeren.
Als de installatie voltooid is zet je vinkjes bij "Update MalwareBytes' Anti-Malware" en bij "Launch MalwareBytes' Anti-Malware".
Druk daarna op "Finish".
Kies in het hoofdscherm voor de tab "Scanner" en selecteer het keuzerondje "Perform full scan".
Druk op de knop "Scan" en zorg dat al je harde schijven/partities aangevinkt staan.
Druk dan op de knop "Start Scan".
Wanneer de scan voltooid is klik je op OK, daarna op "Show Results" om de resultaten te zien.
Zorg ervoor dat alles aangevinkt is, klik daarna op "Remove Selected".
Als het programma je computer wil laten herstarten, sta je dit toe.
Daarna opent een logje(mbam-log-XX-XX-XXXX(xx-xx-xx).txt)
Post deze log in je volgende bericht tesamen met een nieuw logje van Hijackthis

**NICK^^** · 09-04-08, 17:31

Ik keek net even mee bij me zus op de computer en ondekte een waarschuwing van ESET nod32: found threat in memorydump, of zoiets dergelijks

ik start de computer opnieuw op en log-in op mijn account en krijg twee keer dezelfde foutmelding:
er is een fout opgetreden tijdens het laden van C:\\WINDOWS\system32\pcwqmmlj.dll
kan de opgegeven module niet vinden.

ik ben nu een scan aan het draaien van nod32 en Ad-aware.

hoop dat ik daarna weer verder kan met de scan die u gaf
(of is het verstandig om gelijk MalwareBytes' Anti-Malware te starten) aangezien deze foutmelding mischien met het probleem te maken heefd?

**smeenk** · 09-04-08, 18:04

Draai de scans maar gewoon na elkaar

Die foutmeldingen hebben inderdaad met de infectie te maken, dat lossen we later wel op

**NICK^^** · 09-04-08, 19:20

Oke Nod32 heefd zijn werk gedaan en heefd 26 infections gevonden, Ad-ware is nog bezig en heefd tot nu 13 infections gevonden. ik heb het log nog als je die wilt kan ik die sturen.

als Ad-aware klaar is ga ik gelijk gebinnen met Malwarebytes' Anti-Malware

nadere info volgt

**smeenk** · 09-04-08, 20:20

Mooi dat ze allemaal wat vinden, post alleen het logje van MalwareBytes en Hijackthis maar(anders wordt het wat veel

)

**NICK^^** · 09-04-08, 22:30

Sorry maar Malwarebytes duurt er zo lang over dat ik de computer vannacht maar aanlaat en morgen ochtend de logs post

dan ga ik nu maar naar bed

**smeenk** · 09-04-08, 22:39

OK, vergeet niet dat de computer na de scan mogelijk herstart moet worden om gevonden infecties te verwijderen.

**NICK^^** · 10-04-08, 07:56

Oke ik heb de logs, Alleen ik kon niet meer het op internet na ik de scan van Malwarebytes' Anti-Malware heb gedaan. Dus heb ik de logs op een stickie gezet en op de andere computer geplaatst die nog wel internet had.

Malwarebytes' Anti-Malware:

Malwarebytes' Anti-Malware 1.11
Database versie: 604

Scan type: Volledige Scan (C:\|)
Objecten gescand: 93102
Verstreken tijd: 1 hour(s), 19 minute(s), 23 second(s)

Geheugenprocessen geïnfecteerd: 0
Geheugenmodulen geïnfecteerd: 1
Registersleutels geïnfecteerd: 15
Registerwaarden geïnfecteerd: 2
Registerdata bestanden geïnfecteerd: 1
Mappen geïnfecteerd: 0
Bestanden geïnfecteerd: 4

Geheugenprocessen geïnfecteerd:
(Geen kwaadaardige items gevonden)

Geheugenmodulen geïnfecteerd:
C:\WINDOWS\system32\nnnLbAQG.dll (Trojan.Vundo) -> Unloaded module successfully.

Registersleutels geïnfecteerd:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1e1766d5-49dd-49f1-9a4c-f305ff74260e} (Trojan.Vundo) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{1e1766d5-49dd-49f1-9a4c-f305ff74260e} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\jkwslist (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\aldd (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\affltid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affltid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Juan (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Registerwaarden geïnfecteerd:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BMd38e5f5e (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BMd38e5f5e (Trojan.Agent) -> Quarantined and deleted successfully.

Registerdata bestanden geïnfecteerd:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\nnnlbaqg -> Quarantined and deleted successfully.

Mappen geïnfecteerd:
(Geen kwaadaardige items gevonden)

Bestanden geïnfecteerd:
C:\WINDOWS\system32\nnnLbAQG.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\GQAbLnnn.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\GQAbLnnn.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\explorer.backup (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 7:47:41, on 10-4-2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20733)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Documents and Settings\Nick\Bureaublad\Mijn Documenten\Programma's\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://login.live.com/ppsecure/sha1auth.srf?lc=1043
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: Adobe PDF Reader Help bij koppelingen - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: {bd1ee7a9-f4d6-5eaa-c584-1dcef657ef13} - {31fe756f-ecd1-485c-aae5-6d4f9a7ee1db} - (no file)
O2 - BHO: (no name) - {616FE834-0CC4-41E7-844F-7A9F05B4A96D} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Aanmelden - Help - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {D976B84B-808C-4357-9CBB-55BF1F7CEBE7} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Netwerkservice')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Netwerkservice')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game09.zylom.com/activex/zylomgamesplayer.cab
O20 - Winlogon Notify: jkkIYoNf - C:\WINDOWS\
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-service (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5215 bytes

moet zeggen dat me pc wel weer een stuk sneller is

en ik kan weer op de site's waar ik eerst niet op kon. Thanks

**smeenk** · 10-04-08, 08:04

Download dit bestand: zoek.exe
Dubbelklik het, na een tijdje opent er een logje.
Post de inhoud van dit logje in je volgende bericht

**NICK^^** · 10-04-08, 08:11

======C:\WINDOWS====
----a-w 0 2008-04-10 05:46:10 C:\WINDOWS\0.log
----a-w 103,731 2008-04-07 15:53:49 C:\WINDOWS\BMd38e5f5e.txt
----a-w 140,329 2008-04-09 14:12:34 C:\WINDOWS\BMd38e5f5e.xml
--s-a-w 2,048 2008-04-10 06:10:29 C:\WINDOWS\bootstat.dat
----a-w 477 2008-03-25 16:46:38 C:\WINDOWS\BRWMARK.INI
----a-w 73 2008-04-06 19:11:32 C:\WINDOWS\EurekaLog.ini
----a-w 287 2008-03-21 10:10:13 C:\WINDOWS\game.ini
----a-w 1,892 2008-04-06 10:07:13 C:\WINDOWS\ModemLog_SoftV92 Data Fax Modem.txt
----a-w 2,361 2008-03-17 18:11:29 C:\WINDOWS\mozver.dat
----a-w 69 2008-04-09 14:38:44 C:\WINDOWS\NeroDigital.ini
----a-w 22 2008-04-09 13:45:57 C:\WINDOWS\pskt.ini
----a-w 246 2008-03-21 16:36:14 C:\WINDOWS\ReplacerUndo.txt
----a-w 32,572 2008-04-10 05:57:37 C:\WINDOWS\SchedLgU.Txt
---ha-w 0 2008-04-05 18:50:26 C:\WINDOWS\SwSys1.bmp
---ha-w 0 2008-04-05 18:50:26 C:\WINDOWS\SwSys2.bmp
----a-w 227 2008-04-09 15:51:50 C:\WINDOWS\system.ini
----a-w 633 2008-04-09 15:51:50 C:\WINDOWS\win.ini
----a-w 11,238 2008-04-10 05:57:36 C:\WINDOWS\WindowsUpdate.log

Entries: 18 (15)
Directories: 0 Files: 18
Bytes: 296,205 Blocks: 586
======C:\WINDOWS\system32=====
--sh--w 706,257 2008-04-08 09:40:46 C:\WINDOWS\System32\advttlyh.ini
--sha-w 167,534 2008-04-08 09:04:35 C:\WINDOWS\System32\badLonnn.ini
--sha-w 166,911 2008-04-08 09:02:13 C:\WINDOWS\System32\badLonnn.ini2
----a-w 15,360 2008-03-21 10:19:33 C:\WINDOWS\System32\BASSMOD.dll
--sh--w 723,315 2008-04-07 15:02:14 C:\WINDOWS\System32\bdfxfjgw.ini
----a-w 552 2008-04-09 14:37:39 C:\WINDOWS\System32\d3d8caps.dat
----a-w 664 2008-04-09 14:37:40 C:\WINDOWS\System32\d3d9caps.dat
----a-w 90,176 2008-04-07 16:35:48 C:\WINDOWS\System32\dcbosaue.dll
--sh--w 744,696 2008-04-09 12:56:08 C:\WINDOWS\System32\dishcmnu.ini
--sh--w 737,737 2008-04-08 15:16:05 C:\WINDOWS\System32\dlhhucxw.ini
----a-w 88,128 2008-04-07 16:33:28 C:\WINDOWS\System32\dstlqfeq.dll
--sh--w 1,428,885 2008-04-07 16:39:30 C:\WINDOWS\System32\eqhekott.ini
--sha-w 183,131 2008-04-08 12:08:30 C:\WINDOWS\System32\GPYFLnnn.ini
--sha-w 345 2008-04-08 12:07:31 C:\WINDOWS\System32\GPYFLnnn.ini2
----a-w 88,128 2008-04-07 13:27:47 C:\WINDOWS\System32\gsiduasg.dll
----a-w 90,176 2008-04-07 13:32:39 C:\WINDOWS\System32\ieoxmkmx.dll
--sha-w 183,759 2008-04-09 12:48:54 C:\WINDOWS\System32\iPpYaccf.ini
--sha-w 183,759 2008-04-09 12:48:02 C:\WINDOWS\System32\iPpYaccf.ini2
----a-w 91,712 2008-04-08 09:56:29 C:\WINDOWS\System32\iqkchsnk.dll
----a-w 88,128 2008-04-07 15:07:47 C:\WINDOWS\System32\kkthxjtb.dll
----a-w 0 2008-04-07 14:33:32 C:\WINDOWS\System32\mapisvc.inf
----a-w 0 2008-04-08 18:16:48 C:\WINDOWS\System32\mcrh.tmp
--sha-w 181,463 2008-04-07 15:00:46 C:\WINDOWS\System32\MTtAcMoq.ini
--sha-w 181,463 2008-04-07 15:00:30 C:\WINDOWS\System32\MTtAcMoq.ini2
----a-w 91,712 2008-04-08 12:08:22 C:\WINDOWS\System32\nhouyeiq.dll
----a-w 91,712 2008-04-08 08:56:52 C:\WINDOWS\System32\nlmorlam.dll
----a-w 163,350 2008-04-05 18:22:41 C:\WINDOWS\System32\nvapps.xml
----a-w 9,046,950 2008-04-01 19:35:12 C:\WINDOWS\System32\Obsoletenod32.000
----a-w 547 2008-04-06 10:04:09 C:\WINDOWS\System32\Oeminfo.ini
----a-w 61,614 2008-04-06 10:04:09 C:\WINDOWS\System32\Oemlogo.bmp
----a-w 76,670 2008-04-07 18:27:34 C:\WINDOWS\System32\perfc009.dat
----a-w 97,102 2008-04-07 18:27:35 C:\WINDOWS\System32\perfc013.dat
----a-w 451,896 2008-04-07 18:27:34 C:\WINDOWS\System32\perfh009.dat
----a-w 519,480 2008-04-07 18:27:35 C:\WINDOWS\System32\perfh013.dat
----a-w 1,160,996 2008-04-06 12:16:59 C:\WINDOWS\System32\PerfStringBackup.INI
----a-w 91,712 2008-04-08 15:15:44 C:\WINDOWS\System32\pjedrnly.dll
----a-w 1,285 2008-03-22 13:49:12 C:\WINDOWS\System32\Preview Playboy Screensaver.lnk
----a-w 97,102 2008-04-06 09:53:05 C:\WINDOWS\System32\prfc0413.dat
----a-w 519,480 2008-04-06 09:53:05 C:\WINDOWS\System32\prfh0413.dat
----a-w 90,176 2008-04-07 15:13:05 C:\WINDOWS\System32\qpupelfa.dll
--sha-w 172,657 2008-04-08 12:01:56 C:\WINDOWS\System32\SBbHRqru.ini
--sha-w 172,657 2008-04-08 11:59:22 C:\WINDOWS\System32\SBbHRqru.ini2
--sh--w 1,428,825 2008-04-07 15:28:09 C:\WINDOWS\System32\ssyaroad.ini
--sh--w 1,428,825 2008-04-07 16:38:55 C:\WINDOWS\System32\ssyaroad.tmp
----a-w 21,806 2008-04-05 18:50:22 C:\WINDOWS\System32\tcpipbak.reg
----a-w 2,326,144 2008-04-01 12:46:33 C:\WINDOWS\System32\TUKernel.exe
--sha-w 165,024 2008-04-07 17:32:48 C:\WINDOWS\System32\UCJSDJlm.ini
--sha-w 165,024 2008-04-07 17:30:18 C:\WINDOWS\System32\UCJSDJlm.ini2
--sh--w 743,587 2008-04-09 12:15:50 C:\WINDOWS\System32\vhfqxoys.ini
------w 90,688 2008-04-09 12:29:48 C:\WINDOWS\System32\vxtrrmji.dll
----a-w 2,206 2008-04-06 09:55:27 C:\WINDOWS\System32\wpa.dbl
----a-w 41,296 2008-04-02 23:26:06 C:\WINDOWS\System32\xfcodec.dll
--sh--w 722,766 2008-04-07 13:27:24 C:\WINDOWS\System32\yhixhgpd.ini
--sha-w 166,598 2008-04-07 19:57:27 C:\WINDOWS\System32\yyaGjRqr.ini2

Entries: 54 (32)
Directories: 0 Files: 54
Bytes: 26,352,166 Blocks: 51,498
======C:\WINDOWS\system32\drivers=====
----a-w 22,328 2008-03-18 19:36:43 C:\WINDOWS\System32\drivers\PnkBstrK.sys
----a-w 717,296 2008-03-27 13:00:11 C:\WINDOWS\System32\drivers\sptd.sys

Entries: 2 (2)
Directories: 0 Files: 2
Bytes: 739,624 Blocks: 1,445
=======C:\Program Files=====
Entries: 0 (0)
Directories: 0 Files: 0
Bytes: 0 Blocks: 0
=======C:=====
--sh--r 225 2008-04-09 15:51:50 C:\boot.ini
--sha-w 402,653,184 2008-04-10 06:10:25 C:\pagefile.sys
---ha-w 268 2008-03-29 11:28:31 C:\sqmdata02.sqm
---ha-w 268 2008-03-29 16:23:10 C:\sqmdata03.sqm
---ha-w 244 2008-03-29 11:28:31 C:\sqmnoopt02.sqm
---ha-w 244 2008-03-29 16:23:10 C:\sqmnoopt03.sqm

Entries: 6 (0)
Directories: 0 Files: 6
Bytes: 402,654,433 Blocks: 786,437
======C:\Documents and Settings\Nick\Application Data======
----a-w 22,328 2008-03-18 19:36:43 C:\Documents and Settings\Nick\Application Data\PnkBstrK.sys

Entries: 1 (1)
Directories: 0 Files: 1
Bytes: 22,328 Blocks: 44
======C:\Temp======
Entries: 0 (0)
Directories: 0 Files: 0
Bytes: 0 Blocks: 0
======C:\Documents and Settings\Nick======
----a-w 5,242,880 2008-04-10 06:11:17 C:\Documents and Settings\Nick\ntuser.dat
---ha-w 69,632 2008-04-10 06:11:17 C:\Documents and Settings\Nick\ntuser.dat.LOG
--sh--w 188 2008-04-10 05:57:36 C:\Documents and Settings\Nick\ntuser.ini
----a-w 4,173,824 2008-04-03 20:16:25 C:\Documents and Settings\Nick\s-1-5-21-515967899-776561741-725345543-1005.rrr

Entries: 4 (2)
Directories: 0 Files: 4
Bytes: 9,486,524 Blocks: 18,529
======C:\WINDOWS\Downloaded Program Files====
Entries: 0 (0)
Directories: 0 Files: 0
Bytes: 0 Blocks: 0
=============

**smeenk** · 10-04-08, 08:39

Open een kladblokbestand.
Kopieer onderstaande (alles wat vetgedrukt is) in dit kladblokbestand.

@ECHO OFF
IF EXIST log.txt DEL log.txt
ECHO Deleting files>>log.txt
FOR %%g in (
C:\WINDOWS\BMd38e5f5e.txt
C:\WINDOWS\BMd38e5f5e.xml
C:\WINDOWS\pskt.ini
C:\WINDOWS\SwSys1.bmp
C:\WINDOWS\SwSys2.bmp
C:\WINDOWS\System32\advttlyh.ini
C:\WINDOWS\System32\badLonnn.ini
C:\WINDOWS\System32\badLonnn.ini2
C:\WINDOWS\System32\bdfxfjgw.ini
C:\WINDOWS\System32\dcbosaue.dll
C:\WINDOWS\System32\dishcmnu.ini
C:\WINDOWS\System32\dlhhucxw.ini
C:\WINDOWS\System32\dstlqfeq.dll
C:\WINDOWS\System32\eqhekott.ini
C:\WINDOWS\System32\GPYFLnnn.ini
C:\WINDOWS\System32\GPYFLnnn.ini2
C:\WINDOWS\System32\gsiduasg.dll
C:\WINDOWS\System32\ieoxmkmx.dll
C:\WINDOWS\System32\iPpYaccf.ini
C:\WINDOWS\System32\iPpYaccf.ini2
C:\WINDOWS\System32\iqkchsnk.dll
C:\WINDOWS\System32\kkthxjtb.dll
C:\WINDOWS\System32\mcrh.tmp
C:\WINDOWS\System32\MTtAcMoq.ini
C:\WINDOWS\System32\MTtAcMoq.ini2
C:\WINDOWS\System32\nhouyeiq.dll
C:\WINDOWS\System32\nlmorlam.dll
C:\WINDOWS\System32\pjedrnly.dll
C:\WINDOWS\System32\qpupelfa.dll
C:\WINDOWS\System32\SBbHRqru.ini
C:\WINDOWS\System32\SBbHRqru.ini2
C:\WINDOWS\System32\ssyaroad.ini
C:\WINDOWS\System32\ssyaroad.tmp
C:\WINDOWS\System32\tcpipbak.reg
C:\WINDOWS\System32\UCJSDJlm.ini
C:\WINDOWS\System32\UCJSDJlm.ini2
C:\WINDOWS\System32\vhfqxoys.ini
C:\WINDOWS\System32\vxtrrmji.dll
C:\WINDOWS\System32\yhixhgpd.ini
C:\WINDOWS\System32\yyaGjRqr.ini2
C:\sqmdata02.sqm
C:\sqmdata03.sqm
C:\sqmnoopt02.sqm
C:\sqmnoopt03.sqm) DO (
DEL /Q %%gNUCIA
IF EXIST %%g (
ATTRIB -r -s -h %%g
DEL %%g
REN %%g *NUCIA
IF EXIST %%gNUCIA (
ECHO renamed to %%gNUCIA>>log.txt)
IF EXIST %%g (
ECHO %%g not deleted>>log.txt
) ELSE (
ECHO %%g deleted>>log.txt)
) ELSE (
ECHO %%g not found>>log.txt))
START NOTEPAD.EXE log.txt

Ga naar Bestand - Opslaan als.
Bij "Opslaan in" kies je: Bureaublad
Bij "Bestandsnaam" zet je: del.bat
Bij "Opslaan als type" selecteer je: Alle bestanden (*.*).
Klik op de knop Opslaan.

Dubbelklik op del.bat en post de inhoud van de logfile die opent.

**NICK^^** · 10-04-08, 16:43

Ik heb nog steeds geen internet verbinding na die scan dus heb ik het weer via een usb stick gedaan, kan het komen dat mijn internet het niet meer doet door het verwijderde malware?

Deleting files
C:\WINDOWS\BMd38e5f5e.txt deleted
C:\WINDOWS\BMd38e5f5e.xml deleted
C:\WINDOWS\pskt.ini deleted
C:\WINDOWS\SwSys1.bmp deleted
C:\WINDOWS\SwSys2.bmp deleted
C:\WINDOWS\System32\advttlyh.ini deleted
C:\WINDOWS\System32\badLonnn.ini deleted
C:\WINDOWS\System32\badLonnn.ini2 deleted
C:\WINDOWS\System32\bdfxfjgw.ini deleted
C:\WINDOWS\System32\dcbosaue.dll deleted
C:\WINDOWS\System32\dishcmnu.ini deleted
C:\WINDOWS\System32\dlhhucxw.ini deleted
C:\WINDOWS\System32\dstlqfeq.dll deleted
C:\WINDOWS\System32\eqhekott.ini deleted
C:\WINDOWS\System32\GPYFLnnn.ini deleted
C:\WINDOWS\System32\GPYFLnnn.ini2 deleted
C:\WINDOWS\System32\gsiduasg.dll deleted
C:\WINDOWS\System32\ieoxmkmx.dll deleted
C:\WINDOWS\System32\iPpYaccf.ini deleted
C:\WINDOWS\System32\iPpYaccf.ini2 deleted
C:\WINDOWS\System32\iqkchsnk.dll deleted
C:\WINDOWS\System32\kkthxjtb.dll deleted
C:\WINDOWS\System32\mcrh.tmp deleted
C:\WINDOWS\System32\MTtAcMoq.ini deleted
C:\WINDOWS\System32\MTtAcMoq.ini2 deleted
C:\WINDOWS\System32\nhouyeiq.dll deleted
C:\WINDOWS\System32\nlmorlam.dll deleted
C:\WINDOWS\System32\pjedrnly.dll deleted
C:\WINDOWS\System32\qpupelfa.dll deleted
C:\WINDOWS\System32\SBbHRqru.ini deleted
C:\WINDOWS\System32\SBbHRqru.ini2 deleted
C:\WINDOWS\System32\ssyaroad.ini deleted
C:\WINDOWS\System32\ssyaroad.tmp deleted
C:\WINDOWS\System32\tcpipbak.reg deleted
C:\WINDOWS\System32\UCJSDJlm.ini deleted
C:\WINDOWS\System32\UCJSDJlm.ini2 deleted
C:\WINDOWS\System32\vhfqxoys.ini deleted
C:\WINDOWS\System32\vxtrrmji.dll deleted
C:\WINDOWS\System32\yhixhgpd.ini deleted
C:\WINDOWS\System32\yyaGjRqr.ini2 deleted
C:\sqmdata02.sqm deleted
C:\sqmdata03.sqm deleted
C:\sqmnoopt02.sqm deleted
C:\sqmnoopt03.sqm deleted

zo dat was hem dan

**smeenk** · 10-04-08, 16:52

Doe dit nog maar even:

Je Java software is verouderd.
Oudere versies hebben lekken die malware de kans geeft om zich te installeren op je systeem.
Doe eerst deze stappen om Java te de-installeren en de nieuwere versie te installeren:

Download Java Runtime Environment (JRE) 6u5 en bewaar het naar je Bureaublad.
Sluit alle programma's die eventueel open zijn - Zeker je web browser!
Ga dan naar Start > Configuratiescherm > Software en verwijder alle oudere versies van Java uit de Softwarelijst.
Vink alles aan met Java Runtime Environment (JRE of J2SE) in de naam.
Klik dan op Verwijderen of op de Wijzig/Verwijder knop.
Herhaal dit tot alle oudere versies verdwenen zijn.
Na het verwijderen van alle oudere versies, herstart je pc.
Dubbelklik vervolgens op jre-6u5-windows-i586-p-s.exe op je Bureaublad om de nieuwste versie van Java te installeren.

Download ATF cleaner (mirror)(gemaakt door Atribune)

Belangrijk: Sluit al je browservensters(IE en/of Firefox en/of Opera) om de tool goed te kunnen laten werken.

Dubbelklik op ATF cleaner om het programma te starten.
Op het tabblad "Main", plaats je een vinkje bij Select All.
Klik op de knop Empty Selected.

Het volgende doen als je ook FireFox als browser hebt:
Klik op tabblad "Firefox", plaats een vinkje bij Select All.
Wil je de door Firefox opgeslagen wachtwoorden behouden, dan klik je in het venster dat verschijnt op "No".
(dit haalt het vinkje weer weg bij "Firefox saved passwords")
Klik op de knop Empty Selected.

Het volgende doen als je ook Opera als browser hebt:
Klik op tabblad "Opera", plaats een vinkje bij Select All.
Wil je de door Opera opgeslagen wachtwoorden behouden, dan klik je in het venster dat verschijnt op "No".
Klik op de knop Empty Selected.
Ga naar het tabblad "Main" en klik op de knop Exit om het programma af te sluiten.

Schakel Systeemherstel uit. Herstart de computer. Schakel Systeemherstel weer in.
Kijk hier hoe je je systeemherstel moet uitschakelen.
Hiermee verwijder je eventuele restanten van de infecties uit je systeemherstel.

Post dan nog maar even een logje van Hijackthis ter controle

**NICK^^** · 10-04-08, 19:04

Nieuwste JAVA geinstalleerd
ATF-cleaner uitgevoerd
systeemherstel uitgeschakeld en opnieuw aangezet
en hijackthis nog eens gedraaid

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:59:58, on 10-4-2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20733)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Documents and Settings\Nick\Bureaublad\Mijn Documenten\Programma's\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: Adobe PDF Reader Help bij koppelingen - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: {bd1ee7a9-f4d6-5eaa-c584-1dcef657ef13} - {31fe756f-ecd1-485c-aae5-6d4f9a7ee1db} - (no file)
O2 - BHO: (no name) - {616FE834-0CC4-41E7-844F-7A9F05B4A96D} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live Aanmelden - Help - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {D976B84B-808C-4357-9CBB-55BF1F7CEBE7} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Netwerkservice')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Netwerkservice')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game09.zylom.com/activex/zylomgamesplayer.cab
O20 - Winlogon Notify: jkkIYoNf - C:\WINDOWS\
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-service (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5237 bytes

Mededeling

Internet Traag door mogelijke "spyware"

Internet Traag door mogelijke "spyware"

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment