• Hulpvragenden in dit forumonderdeel worden enkel geholpen door daartoe bevoegde teamleden.
    Dit is belangrijk, zodat de hulpvragende goed geholpen kan worden zonder (goedbedoelde) aanvullende berichten van andere leden.
    Reageren op andermans discussie is daarom uitgeschakeld.
  • De afgelopen dagen zijn er meerdere fora waarop bestaande accounts worden overgenomen door spammers. De gebruikersnamen en wachtwoorden zijn via een hack of een lek via andere sites buitgemaakt. Via have i been pwned? kan je controleren of jouw gegeven ook zijn buitgemaakt. Wijzig bij twijfel jouw wachtwoord of schakel de twee-staps-verificatie in.

Trojan Backdoor Spabot

Status
Niet open voor verdere reacties.
P

PoLLe BV

Gast
Beste lezers,

Mijn laptop (windows 2000 service pack 4) is geinfecteerd met een backdoor spabot. Deze trojan.backdoor.spabot probeert constant (spam) e-mails te verzenden via mijn computer.

Ik heb outbound email geblockt via spysweeper, daarnaast mijn computer gescand (in normale start up en in veilige modus) met spysweeper en deze vindt de backdoor spabot.

Als ik deze in quarantaine zet en verwijder, blijven de waarschuwingen dat een application emails probeert te verzenden doorgaan / terugkomen.

De locatie van de spabot:
HKLM\software\microsoft\nvchost\||test

Daarnaast heb ik gezocht via 'search' (startmenu) op "Trojan.Spabot" en hier wordt de volgende file gevonden:
C:\documents and settings\administrator\local settings\application data\
mozilla\firefox\profiles\691mxuhc.default\cache

Nu is mijn vraag:
hoe kan ik deze spabot verwijderen uit het register?
en hoe maak ik een kopie van het register als ik dit ga doen?

bij voorbaat hartelijk dank!

hieronder mijn logfile:
------------------------------------------------------------------------------

[hjt]
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:48:54 PM, on 9/30/2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300)
Boot mode: Normal

Running processes:
c:\winnt\system32\smss.exe
c:\winnt\system32\winlogon.exe
c:\winnt\system32\services.exe
c:\winnt\system32\lsass.exe
c:\winnt\system32\s24evmon.exe
c:\winnt\system32\svchost.exe
c:\winnt\system32\svchost.exe
c:\winnt\system32\spoolsv.exe
c:\program files\lavasoft\ad-aware\aawservice.exe
c:\program files\network associates\virusscan\avsynmgr.exe
c:\winnt\system32\hidserv.exe
c:\winnt\system32\nalntsrv.exe
c:\winnt\system32\regsrvc.exe
c:\winnt\system32\roammgr.exe
c:\winnt\system32\mstask.exe
c:\program files\network associates\virusscan\vsstat.exe
c:\winnt\system32\slserv.exe
c:\program files\webroot\desktop firewall\wdfsvc.exe
c:\program files\webroot\spy sweeper\spysweeper.exe
c:\program files\network associates\virusscan\avconsol.exe
c:\winnt\system32\wbem\winmgmt.exe
c:\program files\network associates\virusscan\webscanx.exe
c:\winnt\system32\svchost.exe
c:\program files\webroot\washer\washersvc.exe
c:\winnt\system32\wm.exe
c:\winnt\system32\zcfgsvc.exe
c:\winnt\explorer.exe
c:\winnt\system32\naldesk.exe
c:\winnt\system32\nwtray.exe
c:\winnt\system32\sistray.exe
c:\winnt\system32\4mtcsb.exe
c:\program files\java\jre1.6.0_07\bin\jusched.exe
c:\winnt\system32\iprntlgn.exe
c:\program files\webroot\desktop firewall\wdf.exe
c:\winnt\system32\hkcmd.exe
c:\winnt\system32\igfxpers.exe
c:\program files\common files\pcsuite\services\servicelayer.exe
c:\program files\trend micro\hijackthis\hijackthis.exe

r0 - hkcu\software\microsoft\internet explorer\main,start page = about:blank
f3 - reg:win.ini: load=naldesk.exe
o2 - bho: adobe pdf reader link helper - {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\program files\common files\adobe\acrobat\activex\acroiehelper.dll (file missing)
o2 - bho: threeships iehelper - {17fdb9f8-dcc4-4f6a-ae07-b16018a48469} - c:\program files\common files\threeships shared\dll\threeshipsiehelper.dll
o2 - bho: wormradar.com iesiteblocker.navfilter - {3ca2f312-6f6e-4b53-a66e-4e65e497c8c0} - c:\program files\avg\avg8\avgssie.dll (file missing)
o2 - bho: ssvhelper class - {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - c:\program files\java\jre1.6.0_07\bin\ssv.dll
o2 - bho: google toolbar helper - {aa58ed58-01dd-4d91-8333-cf10577473f7} - c:\program files\google\googletoolbar2.dll (file missing)
o3 - toolbar: &google - {2318c2b1-4965-11d4-9b18-009027a5cd4f} - c:\program files\google\googletoolbar2.dll (file missing)
o3 - toolbar: @msdxmlc.dll,-1@1033,&radio - {8e718888-423f-11d2-876e-00a0c9082467} - c:\winnt\system32\msdxm.ocx
o4 - hklm\..\run: [nwtray] nwtray.exe
o4 - hklm\..\run: [sis tray] c:\winnt\system32\sistray.exe
o4 - hklm\..\run: [sis khooker] c:\winnt\system32\khooker.exe
o4 - hklm\..\run: [4mtcsb] c:\winnt\system32\4mtcsb.exe
o4 - hklm\..\run: [esb] c:\winnt\system32\esb.exe
o4 - hklm\..\run: [pronomgr.exe] c:\program files\intel\ncs\proset\pronomgr.exe
o4 - hklm\..\run: [pcsuitetrayapplication] c:\progra~1\nokia\nokiap~1\launch~1.exe -startup
o4 - hklm\..\run: [sunjavaupdatesched] c:\program files\java\jre1.6.0_07\bin\jusched.exe
o4 - hklm\..\run: [iprint tray] c:\winnt\system32\iprntctl.exe tray_icon
o4 - hklm\..\run: [iprint event monitor] c:\winnt\system32\iprntlgn.exe
o4 - hklm\..\run: [webroot desktop firewall] c:\program files\webroot\desktop firewall\wdf.exe
o4 - hklm\..\run: [babylon client] c:\program files\babylon\babylon-pro\babylon.exe -autostart
o4 - hklm\..\run: [adobe reader speed launcher] c:\program files\adobe\reader 8.0\reader\reader_sl.exe
o4 - hklm\..\run: [igfxtray] c:\winnt\system32\igfxtray.exe
o4 - hklm\..\run: [igfxhkcmd] c:\winnt\system32\hkcmd.exe
o4 - hklm\..\run: [igfxpers] c:\winnt\system32\igfxpers.exe
o4 - hklm\..\run: [quicktime task] c:\program files\quicktime\qttask.exe -atboottime
o4 - hkcu\..\run: [daemon tools lite] c:\program files\daemon tools lite\daemon.exe -autorun
o4 - hkus\.default\..\run: [internat.exe] internat.exe (user 'default user')
o4 - hkus\.default\..\runonce: [^setupicwdesktop] c:\program files\internet explorer\connection wizard\icwconn1.exe /desktop (user 'default user')
o4 - global startup: intervideo wincinema manager.lnk = c:\program files\intervideo\common\bin\wincinemamgr.exe
o6 - hkcu\software\policies\microsoft\internet explorer\restrictions present
o8 - extra context menu item: translate with &babylon - res://c:\program files\babylon\babylon-pro\utils\babyloniepi.dll/translate.htm
o9 - extra button: (no name) - {08b0e5c0-4fcb-11cf-aaa5-00401c608501} - c:\program files\java\jre1.6.0_07\bin\ssv.dll
o9 - extra 'tools' menuitem: sun java console - {08b0e5c0-4fcb-11cf-aaa5-00401c608501} - c:\program files\java\jre1.6.0_07\bin\ssv.dll
o9 - extra button: related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - c:\winnt\web\related.htm
o9 - extra 'tools' menuitem: show &related links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - c:\winnt\web\related.htm
o10 - unknown file in winsock lsp: c:\winnt\system32\nwprovau.dll
o16 - dpf: {17492023-c23a-453e-a040-c7c580bbf700} (windows genuine advantage validation tool) - [noparse]http://go.microsoft.com/fwlink/?linkid=39204[/noparse]
o16 - dpf: {5c051655-fcd5-4969-9182-770ea5aa5565} (solitaire showdown class) - [noparse]http://messenger.zone.msn.com/binary/solitaireshowdown.cab56986.cab[/noparse]
o16 - dpf: {6414512b-b978-451d-a0d8-fcfdf33e833c} (wuwebcontrol class) - [noparse]http://update.microsoft.com/windowsupdate/v6/v5controls/en/x86/client/wuweb_site.cab?1178008080146[/noparse]
o16 - dpf: {6e5e167b-1566-4316-b27f-0ddab3484cf7} (image uploader control) - [noparse]http://cache.hyvz.com/statics/aurigma/imageuploader4.cab[/noparse]
o16 - dpf: {b8be5e93-a60c-4d26-a2dc-220313175592} (msn games - installer) - [noparse]http://messenger.zone.msn.com/binary/zintro.cab56649.cab[/noparse]
o16 - dpf: {bb21f850-63f4-4ec9-bf9d-565bd30c9ae9} (a-squared scanner) - [noparse]http://ax.emsisoft.com/asquared.cab[/noparse]
o16 - dpf: {c3f79a2b-b9b4-4a66-b012-3ee46475b072} (messengerstatsclient class) - [noparse]http://messenger.zone.msn.com/binary/messengerstatspaclient.cab56907.cab[/noparse]
o16 - dpf: {cebc955e-58af-11d2-a30a-00a0c903492b} -
o16 - dpf: {e6187999-9fec-46a1-a20f-f4ca977d5643} (zonechess object) - [noparse]http://messenger.zone.msn.com/binary/chess.cab57176.cab[/noparse]
o17 - hklm\system\ccs\services\tcpip\..\{b03f2007-0dd4-4eea-ac86-cfcb596699e8}: nameserver = 194.171.191.210
o17 - hklm\system\ccs\services\tcpip\..\{de7ab691-2651-451e-9a1f-a1e6c891f066}: nameserver = 194.171.191.210
o18 - protocol: linkscanner - {f274614c-63f8-47d5-a4d1-fbdde494f8d1} - c:\program files\avg\avg8\avgpp.dll (file missing)
o23 - service: lavasoft ad-aware service (aawservice) - lavasoft - c:\program files\lavasoft\ad-aware\aawservice.exe
o23 - service: avsync manager (avsynmgr) - unknown owner - c:\program files\network associates\virusscan\avsynmgr.exe
o23 - service: logical disk manager administrative service (dmadmin) - veritas software corp. - c:\winnt\system32\dmadmin.exe
o23 - service: google updater service (gusvc) - unknown owner - c:\program files\google\common\google updater\googleupdaterservice.exe (file missing)
o23 - service: mcshield - unknown owner - c:\program files\common files\network associates\mcshield\mcshield.exe
o23 - service: novell application launcher (nalntservice) - novell, inc. - c:\winnt\system32\nalntsrv.exe
o23 - service: intel ncs netservice (netsvc) - intel(r) corporation - c:\program files\intel\ncs\sync\netsvc.exe
o23 - service: regsrvc - intel corporation - c:\winnt\system32\regsrvc.exe
o23 - service: roammgr - intel corporation - c:\winnt\system32\roammgr.exe
o23 - service: spectrum24 event monitor (s24eventmonitor) - intel corporation - c:\winnt\system32\s24evmon.exe
o23 - service: servicelayer - nokia. - c:\program files\common files\pcsuite\services\servicelayer.exe
o23 - service: smartlinkservice (slservice) - - c:\winnt\system32\slserv.exe
o23 - service: webroot desktop firewall network service (wdfnet) - webroot software, inc. - c:\program files\webroot\desktop firewall\wdfsvc.exe
o23 - service: webroot spy sweeper engine (webrootspysweeperservice) - webroot software, inc. - c:\program files\webroot\spy sweeper\spysweeper.exe
o23 - service: novell workstation manager (wm) - novell, inc. - c:\winnt\system32\wm.exe
o23 - service: windows tracks washer registry service (wtwservice) - unknown owner - c:\program files\internet tracks washer\washservice.exe (file missing)
o23 - service: wusb54gcsvc - gemteks - c:\program files\compact wireless-g usb adapter wireless network monitor\wlservice.exe
o23 - service: window washer engine (wwenginesvc) - webroot software, inc. - c:\program files\webroot\washer\washersvc.exe
--
end of file - 8833 bytes

[/hjt]


-------------------------------------------------------------------------------------
en uninstall .log:

Ad-Aware
Adobe Acrobat 5.0
Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742)
Adobe Flash Player ActiveX
Adobe Flash Player Plugin
Adobe Reader 8.1.2
Adobe Shockwave Player
Alcatech BPM Studio Professional v4.9.1
AnalogX Virtual Piano
Azureus Vuze
Babylon
Borland Database Engine
CCleaner (remove only)
Compact Wireless-G USB Adapter
Easy Start Button
foobar2000 v0.9.4.3
Full Tilt Poker
Google Toolbar for Internet Explorer
HijackThis 2.0.2
HSP56 MR Drivers
Intel(R) Extreme Graphics 2 Driver
Intel(R) PROSet
InterVideo WinDVD 4
J2SE Runtime Environment 5.0 Update 3
Java(TM) 6 Update 2
Java(TM) 6 Update 5
Java(TM) 6 Update 7
LimeWire 4.16.6
Macromedia Shockwave Player
McAfee VirusScan
Microsoft Office 97, Professional Edition
Microsoft Office Live Meeting 2005
Microsoft Visual C++ 2005 Redistributable
Mozilla Firefox (3.0.3)
MSN Messenger 7.0
Nokia Connectivity Cable Driver
Nokia PC Connectivity Solution
Nokia PC Suite
Novell iPrint Client v04.26.00
PianoFX STUDIO 4.0
PokerStars
QuickTime
SiS 650
Smart Link 56K Modem
Spy Sweeper
Spybot - Search & Destroy
Three Ships Browser Plugin
TVAnts 1.0
Update Rollup 1 for Windows 2000 SP4
Webroot Desktop Firewall
Winamp
Window Washer
Windows Driver Package - Nokia Modem (06/12/2006 6.81.0.21)
Windows Installer 3.1 (KB893803)
Windows Media Player system update (9 Series)
WinRAR
WinZip 11.1

------------------------------------------------------------------------------------------
 
Laatst bewerkt:
Hallo Polle :welkom:


Doe volgende eens:


Download sdfix
(Hier (klik) een uitgebreidere uitleg met afb. te vinden, indien nodig.)
* Download sdfix van Andymanchesta : SDFix.exe
* Sla op naar een locatie waar je het makkelijk kan terugvinden, bv de map Mijn Documenten of het bureaublad.
* Dubbelklik na download het opgeslagen sdfix.exe, en klik "install".


Herstart de pc in veilige modus
* Herstart als het uitpakken gedaan is, pc in de veilige modus
(sla dus onderstaande stappen op of noteer ze ergens oid, omdat je in de veilige modus (zonder netwerkmogelijkheid) niet online kan om op deze pagina verder te kijken)


Gebruik sdfix in veilige modus
* Open in veilige modus de uitgepakte map SDfix dat zich bevindt op de c:\ locatie, dus dubbelklik "deze computer" > dubbelklik de "c:\" locatie en open de map sdfix
* Dubbelklik dan op "RunThis.bat". Je krijgt een soort dos-venstertje, typ onderin Y om verder te gaan en enter
* Wacht verder af tot het tooltje klaar is, dit kan een tijdje duren, maar mocht het blijven staan/hangen op "checking services" oid, klik dan enter. Je krijgt op een gegeven moment ook info over dat 25% scanned is, 50%, ...
* Indien het meldt om de pc heroptestarten en daarvoor op een toets te klikken, doe dat dan


Herstart de pc in gewone modus
Indien dat niet automatisch gebeurde na sdfix
Bij de heropstart gaat sdfix verder lopen nog, nog voor je taakbalk, bureaubladicoontjes enz.. er staan (terug een blauw venstertje, "stage two"), dus de opstart gaat wat trager zijn dan normaal.
* Na afloop verschijnt een rapportje, post de inhoud daarvan mee in een volgende reactie (als het niet automatisch opent, zoek het dan op in het sdmapje onder de c:\ locatie, "report.txt"). Haal ook even door de kleurcodering.


En laat deze er ook nog maar even overgaan:


Download en gebruik Malwarebytes' Anti-Malware (mbam)
Uitgebreide uitleg voor installatie/gebruik van mbam kan je evtl. hier (klik) terugvinden.
* download het setup bestand en sla op naar het bureaublad, sluit daarna het downoadvenstertje, dus niet meteen laten uitvoeren vanaf download
mbam-setup.exe
* Dubbelklik het opgeslagen mbam-setup.exe om het programma te installeren.
* Let er op dat er een vinkje geplaatst is voor "Update Malwarebytes' Anti-Malware" en "Start Malwarebytes' Anti-Malware" > Klik daarna op "Voltooien".
Indien een update gevonden werd, zal die gedownload en genstalleerd worden.
* Wanneer het programma volledig up to date is, selecteer dan in het tabblad "Scanner" de "Snelle Scan" > klik op Scan.
* Als de scan voltooid is, klik op OK > daarna "Bekijk Resultaten" om de resultaten te zien.
* Vink alles aan > klik op: "Verwijder geselecteerde".
* Na het verwijderen zal een log openen en zal er mogelijk gevraagd worden om de computer opnieuw op te starten. (Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde malwarebestanden zal het enkele meldingen geven waarbij je OK moet klikken. Daarna zal het vragen om de pc opnieuw op te starten, sta dit toe.)
* Post de inhoud van het logje mee (haal ook weer even door de kleurcodering)
Indien je het niet automatisch kreeg of je moest herstarten, open weer mbam en neem tabje "logs". Als het daar niet staat, kijk bij c:\documents and settings\je gebruikersnaam\application data\malwarebytes\anti-malware\logs of het daar staat, in het mapje "logs"



succes :)
 
Beste kingpin,

bedankt voor je reactie!

Na het uitvoeren van de handelingen voor het plaatsen van mijn eerste log, werd de trojan spabot al gevonden en verwijderd. Na het runnen van sdfix en mbam werd toch nog iets gevonden.

Na het uitvoeren van sdfix kreeg ik de volgende medling / infected log:

C:\SDFix\backupreg\HKLMRun.reg\HKLMRUN.REG => HKLMRUN.REG

Hieronder de logjes, eerst sdfix:

[hjt]
sdfix: version 1.237
run by administrator on wed 10/22/2008 at 7:31p
microsoft windows 2000 [version 5.00.2195]
running from: c:\sdfix
checking services :
restoring default security values
restoring default hosts file
rebooting
checking files :
trojan files found:
c:\winnt\twain_16.dll - deleted
removing temp files
ads check :

final check :
catchme 0.3.1361.2 w2k/xp/vista - rootkit/stealth malware detector by gmer, [noparse]http://www.gmer.net[/noparse]
rootkit scan 2008-10-22 21:41:09
windows 5.0.2195 service pack 4 ntfs
scanning hidden processes ...
scanning hidden services & system hive ...
[hkey_local_machine\system\controlset001\services\sptd\cfg\19659239224e364682fa4baf72c53ea4]
"h0"=dword:00000000
"khjeh"=hex:66,a4,a8,fe,b1,97,87,b6,ad,b1,a8,55,f4,56,06,85,8e,02,64,65,45,..
"p0"="c:\program files\daemon tools lite\"
[hkey_local_machine\system\controlset001\services\sptd\cfg\19659239224e364682fa4baf72c53ea4\00000001]
"a0"=hex:20,01,00,00,be,16,00,8b,b6,90,ec,fb,62,ab,ac,e1,3e,04,ca,18,30,..
"khjeh"=hex:b9,f6,ab,5e,30,f8,89,9b,d7,6b,af,d4,d3,29,53,e5,69,88,a4,fa,54,..
[hkey_local_machine\system\controlset001\services\sptd\cfg\19659239224e364682fa4baf72c53ea4\00000001\0jf40]
"khjeh"=hex:9c,ab,ea,04,e6,cc,75,87,fc,02,10,01,c0,94,65,a1,ec,0b,1d,7a,40,..
[hkey_local_machine\system\currentcontrolset\services\sptd\cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001
[hkey_local_machine\system\currentcontrolset\services\sptd\cfg\19659239224e364682fa4baf72c53ea4]
"h0"=dword:00000000
"khjeh"=hex:66,a4,a8,fe,b1,97,87,b6,ad,b1,a8,55,f4,56,06,85,8e,02,64,65,45,..
"p0"="c:\program files\daemon tools lite\"
[hkey_local_machine\system\currentcontrolset\services\sptd\cfg\19659239224e364682fa4baf72c53ea4\00000001]
"a0"=hex:20,01,00,00,be,16,00,8b,b6,90,ec,fb,62,ab,ac,e1,3e,04,ca,18,30,..
"khjeh"=hex:b9,f6,ab,5e,30,f8,89,9b,d7,6b,af,d4,d3,29,53,e5,69,88,a4,fa,54,..
[hkey_local_machine\system\currentcontrolset\services\sptd\cfg\19659239224e364682fa4baf72c53ea4\00000001\0jf40]
"khjeh"=hex:9c,ab,ea,04,e6,cc,75,87,fc,02,10,01,c0,94,65,a1,ec,0b,1d,7a,40,..
scanning hidden registry entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
remaining services :
remaining files :
file backups: - c:\sdfix\backups\backups.zip
files with hidden attributes :
mon 7 jul 2008 1,429,840 a.shr --- c:\program files\spybot - search & destroy\sdupdate.exe
mon 7 jul 2008 4,891,472 a.shr --- c:\program files\spybot - search & destroy\spybotsd.exe
mon 7 jul 2008 2,156,368 a.shr --- c:\program files\spybot - search & destroy\teatimer.exe
fri 13 jun 2008 806,400 ...h. --- c:\documents and settings\administrator\desktop\quick save\~wrl0133.tmp
wed 4 jul 2001 10,678 a..h. --- c:\program files\microsoft office\office\shortcut bar\off2.tmp
mon 2 jul 2001 8,246 a..h. --- c:\program files\microsoft office\office\shortcut bar\off2h.tmp
mon 2 jul 2001 8,246 a..h. --- c:\program files\microsoft office\office\shortcut bar\off2s.tmp
mon 2 jul 2001 8,246 a..h. --- c:\program files\microsoft office\office\shortcut bar\officeh.tmp
mon 2 jul 2001 8,246 a..h. --- c:\program files\microsoft office\office\shortcut bar\offices.tmp
sun 12 oct 2008 38,912 ...h. --- c:\documents and settings\administrator\desktop\renault cuboom\cuboom\~wrl0005.tmp
sun 12 oct 2008 39,936 ...h. --- c:\documents and settings\administrator\desktop\renault cuboom\cuboom\~wrl0330.tmp
sun 12 oct 2008 45,568 ...h. --- c:\documents and settings\administrator\desktop\renault cuboom\cuboom\~wrl0436.tmp
sun 12 oct 2008 44,032 ...h. --- c:\documents and settings\administrator\desktop\renault cuboom\cuboom\~wrl0936.tmp
sun 12 oct 2008 39,936 ...h. --- c:\documents and settings\administrator\desktop\renault cuboom\cuboom\~wrl1131.tmp
sun 12 oct 2008 42,496 ...h. --- c:\documents and settings\administrator\desktop\renault cuboom\cuboom\~wrl1891.tmp
sun 12 oct 2008 46,080 ...h. --- c:\documents and settings\administrator\desktop\renault cuboom\cuboom\~wrl1923.tmp
sun 12 oct 2008 48,128 ...h. --- c:\documents and settings\administrator\desktop\renault cuboom\cuboom\~wrl1948.tmp
sun 12 oct 2008 34,304 ...h. --- c:\documents and settings\administrator\desktop\renault cuboom\cuboom\~wrl2427.tmp
sun 12 oct 2008 47,616 ...h. --- c:\documents and settings\administrator\desktop\renault cuboom\cuboom\~wrl2694.tmp
sun 12 oct 2008 43,520 ...h. --- c:\documents and settings\administrator\desktop\renault cuboom\cuboom\~wrl2725.tmp
sun 12 oct 2008 845,824 ...h. --- c:\documents and settings\administrator\desktop\renault cuboom\cuboom\~wrl2780.tmp
sun 12 oct 2008 41,472 ...h. --- c:\documents and settings\administrator\desktop\renault cuboom\cuboom\~wrl3298.tmp
sun 12 oct 2008 41,472 ...h. --- c:\documents and settings\administrator\desktop\renault cuboom\cuboom\~wrl3798.tmp
tue 14 oct 2008 339,456 ...h. --- c:\documents and settings\administrator\desktop\renault cuboom\cuboom\~wrl3822.tmp
sun 12 oct 2008 39,936 ...h. --- c:\documents and settings\administrator\desktop\renault cuboom\cuboom\~wrl3844.tmp
sun 12 oct 2008 41,472 ...h. --- c:\documents and settings\administrator\desktop\renault cuboom\cuboom\~wrl4004.tmp
finished!

[/hjt]

en mbam:

[hjt]
malwarebytes' anti-malware 1.29
database versie: 1306
windows 5.0.2195 service pack 4
10/23/2008 11:27:58 am
mbam-log-2008-10-23 (11-27-58).txt
scan type: volledige scan (c:\|d:\|)
objecten gescand: 68782
verstreken tijd: 20 minute(s), 59 second(s)
geheugenprocessen genfecteerd: 0
geheugenmodulen genfecteerd: 0
registersleutels genfecteerd: 1
registerwaarden genfecteerd: 0
registerdata bestanden genfecteerd: 0
mappen genfecteerd: 0
bestanden genfecteerd: 0
geheugenprocessen genfecteerd:
(geen kwaadaardige items gevonden)
geheugenmodulen genfecteerd:
(geen kwaadaardige items gevonden)
registersleutels genfecteerd:
hkey_local_machine\system\currentcontrolset\enum\root\legacy_onestep_search_service (adware.onestepsearch) -> quarantined and deleted successfully.
registerwaarden genfecteerd:
(geen kwaadaardige items gevonden)
registerdata bestanden genfecteerd:
(geen kwaadaardige items gevonden)
mappen genfecteerd:
(geen kwaadaardige items gevonden)
bestanden genfecteerd:
(geen kwaadaardige items gevonden)

[/hjt]


Met vriendelijk groet,

Polle
 
Hallo Polle :)


Na het uitvoeren van sdfix kreeg ik de volgende medling / infected log:

C:\SDFix\backupreg\HKLMRun.reg\HKLMRUN.REG => HKLMRUN.REG
Klik om te vergroten...
Hierover geen zorgen maken, is vals alarm. Veel antivirusprogr. alarmeren voor "verdachte" zaken, zoals .reg bestandjes, ook wanneer deze aangepakt worden door anti-malwareprogjes en in quarnatiane ofbackup gezet worden bv. Maar het is OK zo.

Beide tools vonden idd. nog wat kleinigheidjes.
Hoe gaat het er inmiddels mee? Heb je nog problemen gemerkt of liep alles voorbiej dagen weer helemaal naar behoren?


Leeg ook de cache enzo eens van je browsers, want daar wordt ook vaak alarm over gegeven bv. na bezoeken van een site waar wat mis mee was (malwareinstallerden of malware reclame banners enzo) en wat dus in de cache nog zit.
Dit kan via je browser zelf (in dit geval Mozilla/Firefox) via de privgegevens opruimen (buffer/cache) of de opties van FF (buffer/cache legen knopje) of via bv. ATF cleaner:


Download en gebruik ATF Cleaner van Atribune
http://www.atribune.org/ccount/click.php?id=1
Dit dient om allerlei tijdelijke, onnodige bestanden die zich opstapelen op de pc, eens goed en veilig op te schonen
* dubbelklik ATF-Cleaner.exe
* onder "main": selecteer alles
* klik dan knopje "empty selected" en Exit
Firefox:
* klik in het menu bovenin "Firefox"
* klik "select all"
(NB: als je de opgeslagen wachtwoorden gebruikt in Firefox wilt behouden, klik dan NO bij de melding)
* klik "empty selected"
Indien je Opera gebruikt kan je met dit tooltje ook daarvan de cache en cookies ed cleanen:
* klik in het menu bovein "Firefox"
* klik "select all"
(NB: als je de opgeslagen wachtwoorden gebruikt in Opera wilt behouden, klik dan NO bij de melding)
* klik "empty selected"


Succes :)
 
Status
Niet open voor verdere reacties.
Steun Ons

Nieuwste berichten

Terug
Bovenaan