1. Deze website gebruikt cookies. Door deze website verder te gebruiken, gaat u akkoord met ons gebruik van cookies. Leer Meer.

"Your system is infected" wallpaper

Discussie in 'Opgeloste / Inactieve HJT-logs' gestart door jens92, 27 dec 2009.

Discussie "Your system is infected" wallpaper in het Opgeloste / Inactieve HJT-logs forum op nationaalcomputerforum.nl/.

  1. jens92

    jens92 Vaak hier

    hallo,

    ik heb een virus op de pc waarbij er op mijn achtergrond een wallpaper komt te staan waar de tekst your system is infected opstaat. Ik kan de achtergrond niet veranderen ofzo? heeft iemand misschien een oplossing voor dit probleem?

    Grtz Jens
     
  2. Hakan68

    Hakan68 Gewaardeerd

    Re: your system is infected wallpaper

    maak een hjt logje, in dit gedeelte van de forum zou je boven aan kunnen zien hoe je stapsgewijs een hjt logje maakt!
     
  3. jens92

    jens92 Vaak hier

    Re: your system is infected wallpaper

    bedankt ik heb alles gedaan hier is mijn hijacklog :D


    [hjt]
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 13:55:55, on 27/12/2009
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v8.00 (8.00.6001.18702)
    Boot mode: Normal

    Running processes:
    c:\windows\system32\smss.exe
    c:\windows\system32\winlogon.exe
    c:\windows\system32\services.exe
    c:\windows\system32\lsass.exe
    c:\windows\system32\svchost.exe
    c:\windows\system32\svchost.exe
    c:\windows\system32\svchost.exe
    c:\program files\avg\avg9\avgchsvx.exe
    c:\program files\avg\avg9\avgrsx.exe
    c:\program files\avg\avg9\avgcsrvx.exe
    c:\windows\system32\spoolsv.exe
    c:\windows\system32\svchost.exe
    c:\program files\common files\apple\mobile device support\bin\applemobiledeviceservice.exe
    c:\program files\avg\avg9\avgwdsvc.exe
    c:\program files\bonjour\mdnsresponder.exe
    c:\program files\java\jre6\bin\jqs.exe
    c:\windows\system32\nvsvc32.exe
    c:\windows\system32\pnkbstra.exe
    c:\program files\microsoft\search enhancement pack\seaport\seaport.exe
    c:\windows\system32\svchost.exe
    c:\windows\explorer.exe
    c:\windows\system32\winupdate86.exe
    c:\program files\internetsecurity2010\is2010.exe
    c:\windows\rthdcpl.exe
    c:\windows\system32\spool\drivers\w32x86\3\hpztsb06.exe
    c:\program files\java\jre6\bin\jusched.exe
    c:\program files\logitech\video\logitray.exe
    c:\program files\itunes\ituneshelper.exe
    c:\progra~1\avg\avg9\avgtray.exe
    c:\windows\system32\ctfmon.exe
    c:\windows\system32\lvcoms.exe
    c:\program files\winzip\wzqkpick.exe
    c:\program files\openoffice.org 3\program\soffice.exe
    c:\program files\openoffice.org 3\program\soffice.bin
    c:\program files\ipod\bin\ipodservice.exe
    c:\program files\mozilla firefox\firefox.exe
    c:\program files\trend micro\hijackthis\hijackthis.exe

    r0 - hkcu\software\microsoft\internet explorer\main,start page = [noparse]http://www.hbvl.be/[/noparse]
    r1 - hklm\software\microsoft\internet explorer\main,default_page_url = [noparse]http://go.microsoft.com/fwlink/?linkid=69157[/noparse]
    r1 - hklm\software\microsoft\internet explorer\main,default_search_url = [noparse]http://go.microsoft.com/fwlink/?linkid=54896[/noparse]
    r1 - hklm\software\microsoft\internet explorer\main,search page = [noparse]http://go.microsoft.com/fwlink/?linkid=54896[/noparse]
    r0 - hklm\software\microsoft\internet explorer\main,start page = [noparse]http://go.microsoft.com/fwlink/?linkid=69157[/noparse]
    r1 - hkcu\software\microsoft\windows\currentversion\internet settings,proxyoverride = *.local
    r0 - hkcu\software\microsoft\internet explorer\toolbar,linksfoldername = koppelingen
    f2 - reg:system.ini: userinit=c:\windows\system32\winlogon86.exe
    o2 - bho: (no name) - {04a632a7-4bb6-49a7-8cc7-1b2dd4c43472} - c:\windows\system32\digest32.dll (file missing)
    o2 - bho: acroiehlprobj class - {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\program files\adobe\acrobat 5.0\reader\activex\acroiehelper.ocx
    o2 - bho: askbar bho - {201f27d4-3704-41d6-89c1-aa35e39143ed} - c:\program files\askbardis\bar\bin\askbar.dll
    o2 - bho: wormradar.com iesiteblocker.navfilter - {3ca2f312-6f6e-4b53-a66e-4e65e497c8c0} - c:\program files\avg\avg9\avgssie.dll
    o2 - bho: (no name) - {5c255c8a-e604-49b4-9d64-90988571cecb} - (no file)
    o2 - bho: search helper - {6ebf7485-159f-4bff-a14f-b9e3aac4465b} - c:\program files\microsoft\search enhancement pack\search helper\sepsearchhelperie.dll
    o2 - bho: java(tm) plug-in ssv helper - {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - c:\program files\java\jre6\bin\ssv.dll
    o2 - bho: windows live aanmelden - help - {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\program files\common files\microsoft shared\windows live\windowslivelogin.dll
    o2 - bho: java(tm) plug-in 2 ssv helper - {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\java\jre6\bin\jp2ssv.dll
    o2 - bho: windows live toolbar helper - {e15a8dc0-8516-42a1-81ea-dc94ec1acf10} - c:\program files\windows live\toolbar\wltcore.dll
    o2 - bho: jqsiestartdetectorimpl - {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\program files\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    o3 - toolbar: &windows live toolbar - {21fa44ef-376d-4d53-9b0f-8a89d3229068} - c:\program files\windows live\toolbar\wltcore.dll
    o3 - toolbar: ask toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - c:\program files\askbardis\bar\bin\askbar.dll
    o4 - hklm\..\run: [nvcpldaemon] rundll32.exe c:\windows\system32\nvcpl.dll,nvstartup
    o4 - hklm\..\run: [nwiz] nwiz.exe /install
    o4 - hklm\..\run: [nvmediacenter] rundll32.exe c:\windows\system32\nvmctray.dll,nvtaskbarinit
    o4 - hklm\..\run: [rthdcpl] rthdcpl.exe
    o4 - hklm\..\run: [skytel] skytel.exe
    o4 - hklm\..\run: [alcmtr] alcmtr.exe
    o4 - hklm\..\run: [nerofiltercheck] c:\windows\system32\nerocheck.exe
    o4 - hklm\..\run: [windows defender] c:\program files\windows defender\msascui.exe -hide
    o4 - hklm\..\run: [hpdj taskbar utility] c:\windows\system32\spool\drivers\w32x86\3\hpztsb06.exe
    o4 - hklm\..\run: [sunjavaupdatesched] c:\program files\java\jre6\bin\jusched.exe
    o4 - hklm\..\run: [logitechvideorepair] c:\program files\logitech\video\isstart.exe
    o4 - hklm\..\run: [logitechvideotray] c:\program files\logitech\video\logitray.exe
    o4 - hklm\..\run: [promoreg] c:\windows\temp\_ex-08.exe
    o4 - hklm\..\run: [quicktime task] c:\program files\quicktime\qttask.exe -atboottime
    o4 - hklm\..\run: [ituneshelper] c:\program files\itunes\ituneshelper.exe
    o4 - hklm\..\run: [winupdate86.exe] c:\windows\system32\winupdate86.exe
    o4 - hklm\..\run: [avg9_tray] c:\progra~1\avg\avg9\avgtray.exe
    o4 - hklm\..\runonce: [spybot - search & destroy] c:\program files\spybot - search & destroy\spybotsd.exe /autocheck
    o4 - hkcu\..\run: [msnmsgr] c:\program files\windows live\messenger\msnmsgr.exe /background
    o4 - hkcu\..\run: [ctfmon.exe] c:\windows\system32\ctfmon.exe
    o4 - hkcu\..\run: [netlog music tool] c:\program files\netlog music tool\netlogmusictool.exe
    o4 - hkcu\..\run: [msmsgs] c:\program files\messenger\msmsgs.exe /background
    o4 - hkcu\..\run: [antimalware] c:\program files\antimalware\antimalware.exe -noscan
    o4 - hkcu\..\run: [internet security 2010] c:\program files\internetsecurity2010\is2010.exe
    o4 - hkus\s-1-5-19\..\run: [ctfmon.exe] c:\windows\system32\ctfmon.exe (user 'lokale service')
    o4 - hkus\s-1-5-20\..\run: [ctfmon.exe] c:\windows\system32\ctfmon.exe (user 'netwerkservice')
    o4 - hkus\s-1-5-18\..\run: [ctfmon.exe] c:\windows\system32\ctfmon.exe (user 'system')
    o4 - hkus\.default\..\run: [ctfmon.exe] c:\windows\system32\ctfmon.exe (user 'default user')
    o4 - startup: openoffice.org 3.1 .lnk = c:\program files\openoffice.org 3\program\quickstart.exe
    o4 - global startup: microsoft office.lnk = c:\program files\microsoft office\office10\osa.exe
    o4 - global startup: winzip quick pick.lnk = c:\program files\winzip\wzqkpick.exe
    o8 - extra context menu item: add to google photos screensa&ver - res://c:\windows\system32\gphotos.scr/200
    o8 - extra context menu item: e&xporteren naar microsoft excel - res://c:\progra~1\micros~2\office10\excel.exe/3000
    o9 - extra button: in weblog opnemen - {219c3416-8cb2-491a-a3c7-d9fcddc9d600} - c:\program files\windows live\writer\writerbrowserextension.dll
    o9 - extra 'tools' menuitem: &in weblog opnemen met windows live writer - {219c3416-8cb2-491a-a3c7-d9fcddc9d600} - c:\program files\windows live\writer\writerbrowserextension.dll
    o9 - extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - c:\windows\network diagnostic\xpnetdiag.exe
    o9 - extra 'tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - c:\windows\network diagnostic\xpnetdiag.exe
    o9 - extra button: messenger - {fb5f1910-f110-11d2-bb9e-00c04f795683} - c:\program files\messenger\msmsgs.exe
    o9 - extra 'tools' menuitem: windows messenger - {fb5f1910-f110-11d2-bb9e-00c04f795683} - c:\program files\messenger\msmsgs.exe
    o14 - iereset.inf: start_page_url=[noparse]http://www.google.be[/noparse]
    o16 - dpf: cabbuilder - [noparse]http://kiw.imgag.com/imgag/kiw/toolbar/download/installercontrol.cab[/noparse]
    o16 - dpf: garmin communicator plug-in - [noparse]https://my.garmin.com/static/m/cab/2.6.3/garminaxcontrol.cab[/noparse]
    o16 - dpf: {20a60f0d-9afa-4515-a0fd-83bd84642501} (checkers class) - [noparse]http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab[/noparse]
    o16 - dpf: {4f1e5b1a-2a80-42ca-8532-2d05cb959537} (msn photo upload tool) - [noparse]http://gfx1.hotmail.com/mail/w3/pr01/resources/msnpupld.cab[/noparse]
    o16 - dpf: {5d6f45b3-9043-443d-a792-115447494d24} (unoctrl class) - [noparse]http://messenger.zone.msn.com/nl-be/a-uno1/game_uno1.cab[/noparse]
    o16 - dpf: {6414512b-b978-451d-a0d8-fcfdf33e833c} (wuwebcontrol class) - [noparse]http://www.update.microsoft.com/windowsupdate/v6/v5controls/en/x86/client/wuweb_site.cab?1223053216265[/noparse]
    o16 - dpf: {bff1950d-b1b4-4ae8-b842-b2ccf06d9a1b} (zylom games player) - [noparse]http://game13.zylom.com/activex/zylomgamesplayer.cab[/noparse]
    o16 - dpf: {c3f79a2b-b9b4-4a66-b012-3ee46475b072} (messengerstatsclient class) - [noparse]http://messenger.zone.msn.com/binary/messengerstatspaclient.cab56907.cab[/noparse]
    o16 - dpf: {e2883e8f-472f-4fb0-9522-ac9bf37916a7} - [noparse]http://platformdl.adobe.com/nos/getplusplus/1.6/gp.cab[/noparse]
    o16 - dpf: {f5a7706b-b9c0-4c89-a715-7a0c6b05dd48} (minesweeper flags class) - [noparse]http://messenger.zone.msn.com/binary/minesweeper.cab56986.cab[/noparse]
    o16 - dpf: {f8c5c0f1-d884-43eb-a5a0-9e1c4a102fa8} (gopetsweb control) - [noparse]http://secure.gopetslive.com/dev/gopetsweb.cab[/noparse]
    o18 - protocol: linkscanner - {f274614c-63f8-47d5-a4d1-fbdde494f8d1} - c:\program files\avg\avg9\avgpp.dll
    o20 - appinit_dlls: c:\windows\system32\,c:\windows\system32\dmband32.dll
    o20 - winlogon notify: 9866fac3724 - c:\windows\system32\dmband32.dll
    o20 - winlogon notify: avgrsstarter - c:\windows\system32\avgrsstx.dll
    o23 - service: adobe lm service - adobe systems - c:\program files\common files\adobe systems shared\service\adobelmsvc.exe
    o23 - service: mobiel apple apparaat (apple mobile device) - apple inc. - c:\program files\common files\apple\mobile device support\bin\applemobiledeviceservice.exe
    o23 - service: avg free watchdog (avg9wd) - avg technologies cz, s.r.o. - c:\program files\avg\avg9\avgwdsvc.exe
    o23 - service: bonjour-service (bonjour service) - apple inc. - c:\program files\bonjour\mdnsresponder.exe
    o23 - service: flexnet licensing service - acresso software inc. - c:\program files\common files\macrovision shared\flexnet publisher\fnplicensingservice.exe
    o23 - service: google updateservice (gupdate1c9cb432b90f59c) (gupdate1c9cb432b90f59c) - google inc. - c:\program files\google\update\googleupdate.exe
    o23 - service: google software updater (gusvc) - google - c:\program files\google\common\google updater\googleupdaterservice.exe
    o23 - service: ipod-service (ipod service) - apple inc. - c:\program files\ipod\bin\ipodservice.exe
    o23 - service: java quick starter (javaquickstarterservice) - sun microsystems, inc. - c:\program files\java\jre6\bin\jqs.exe
    o23 - service: nvidia display driver service (nvsvc) - nvidia corporation - c:\windows\system32\nvsvc32.exe
    o23 - service: pnkbstra - unknown owner - c:\windows\system32\pnkbstra.exe
    --
    end of file - 10921 bytes

    [/hjt]
     
  4. *Kingpin*

    *Kingpin* Moderator

    Re: your system is infected wallpaper

    Hallo jens :)


    Doe volgende stappen eens:


    Denstalleer het prgramma "Antimalware"
    Dit is een nepperd:
    http://www.bleepingcomputer.com/startups/AntiMalware-25278.html
    * ga daarvoor naar Start > config.scherm > software
    * verwijder (indien aanwezig in de lijst van genstalleerde software" het programma "antimalware" (niet te verwarren met MBAM antimalware, wat wel een goed/betrouwbaar programma is)


    Herstart de pc


    Fix met Hijackthis volgende sleutels
    * Maak een nieuwe scan met HJT.
    * Enkel onderstaande regels aanvinken, indien nog aanwezig in de nieuwe scan.
    * Even alle open sites (ook deze) sluiten.
    * Dan op het knopje "fix checked" klikken.
    * Sluit daarna HJT


    Herstart weer de pc


    Download en gebruik Malwarebytes' Anti-Malware (mbam)
    Uitgebreide uitleg voor installatie/gebruik van mbam kan je evtl. hier (klik) terugvinden.
    * download het setup bestand en sla op naar het bureaublad, sluit daarna het downloadvenstertje, dus niet meteen laten uitvoeren vanaf download
    mbam-setup.exe
    * Dubbelklik het opgeslagen mbam-setup.exe om het programma te installeren. (Vista: rechtermuisklikken > uitvoeren als admin)
    * Let er op dat er een vinkje geplaatst is voor "Update Malwarebytes' Anti-Malware" en "Start Malwarebytes' Anti-Malware" > Klik daarna op "Voltooien".
    Indien een update gevonden werd, zal die gedownload en genstalleerd worden.
    * Wanneer het programma volledig up to date is, selecteer dan in het tabblad "Scanner" de "Snelle Scan" > klik op Scan.
    * Als de scan voltooid is, klik op OK > daarna "Bekijk Resultaten" om de resultaten te zien.
    * Vink alles aan > klik op: "Verwijder geselecteerde".
    * Na het verwijderen zal een log openen en zal er mogelijk gevraagd worden om de computer opnieuw op te starten. (Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde malwarebestanden zal het enkele meldingen geven waarbij je OK moet klikken. Daarna zal het vragen om de pc opnieuw op te starten, sta dit toe.)
    * Post de inhoud van het logje mee (haal ook weer even door de kleurcodering)
    Indien je het niet automatisch kreeg of je moest herstarten, open weer mbam en neem tabje "logs". Als het daar niet staat, kijk bij c:\documents and settings\je gebruikersnaam\application data\malwarebytes\anti-malware\logs of het daar staat, in het mapje "logs"


    Herstart de pc
    (tenzij dit bij/vlak na mbam al gebeurd was)


    Maak en post ook een nieuw HJT logje


    succes :)
     
  5. jens92

    jens92 Vaak hier

    Re: your system is infected wallpaper

    mallware staat niet tussen mijn software :S
    hoe kan ik het dan verwijderen ?
    er staat ook nog InternetSecurity2010 op mijn pc maar die krijg ik ook niet verwijdert.
    ik vind het mapje van internetsecurity2010 maar als ik die wil verwijderen zegt de pc dat het programma actief is.
    het is ook internetsecurity dat de hele tijd de virussen weergeeft en zegt dat ik moet upgraden ofz..

    Grtz Jens
     
  6. style1980

    style1980 Gewaardeerd

    Re: your system is infected wallpaper

    post ook even een uninstall list.

    mvg
     
  7. *Kingpin*

    *Kingpin* Moderator

    Re: your system is infected wallpaper

    Doe dan maar gewoon verder met de stappen :)
    (MBAM gaat dat wel aanpakken dan bij de verdere stappen)
    dus vanaf het fixen met HJT dan.
    Deze regel kan je er ook nog bij fixen:
     
  8. jens92

    jens92 Vaak hier

    Re: your system is infected wallpaper

    [hjt]
    malwarebytes' anti-malware 1.42
    database versie: 3438
    windows 5.1.2600 service pack 3
    internet explorer 8.0.6001.18702
    27/12/2009 15:54:38
    mbam-log-2009-12-27 (15-54-38).txt
    scan type: snelle scan
    objecten gescand: 106996
    verstreken tijd: 5 minute(s), 58 second(s)
    geheugenprocessen genfecteerd: 1
    geheugenmodulen genfecteerd: 1
    registersleutels genfecteerd: 1
    registerwaarden genfecteerd: 2
    registerdata bestanden genfecteerd: 11
    mappen genfecteerd: 3
    bestanden genfecteerd: 27
    geheugenprocessen genfecteerd:
    c:\program files\internetsecurity2010\is2010.exe (rogue.installer) -> unloaded process successfully.
    geheugenmodulen genfecteerd:
    c:\windows\system32\dmband32.dll (trojan.agent) -> delete on reboot.
    registersleutels genfecteerd:
    hkey_local_machine\software\microsoft\windows nt\currentversion\winlogon\notify\9866fac3724 (trojan.agent) -> delete on reboot.
    registerwaarden genfecteerd:
    hkey_current_user\software\microsoft\windows\currentversion\run\internet security 2010 (rogue.installer) -> quarantined and deleted successfully.
    hkey_local_machine\software\microsoft\windows\currentversion\rlist (malware.trace) -> quarantined and deleted successfully.
    registerdata bestanden genfecteerd:
    hkey_local_machine\software\microsoft\windows nt\currentversion\windows\appinit_dlls (trojan.agent) -> data: c:\windows\system32\dmband32.dll -> delete on reboot.
    hkey_local_machine\software\microsoft\windows nt\currentversion\windows\appinit_dlls (trojan.agent) -> data: system32\dmband32.dll -> delete on reboot.
    hkey_local_machine\software\microsoft\security center\firewalldisablenotify (disabled.securitycenter) -> bad: (1) good: (0) -> quarantined and deleted successfully.
    hkey_local_machine\software\microsoft\security center\updatesdisablenotify (disabled.securitycenter) -> bad: (1) good: (0) -> quarantined and deleted successfully.
    hkey_current_user\software\microsoft\windows\currentversion\policies\activedesktop\nochangingwallpaper (hijack.displayproperties) -> bad: (1) good: (0) -> quarantined and deleted successfully.
    hkey_current_user\software\microsoft\windows\currentversion\policies\explorer\noactivedesktopchanges (hijack.displayproperties) -> bad: (1) good: (0) -> quarantined and deleted successfully.
    hkey_current_user\software\microsoft\windows\currentversion\policies\explorer\nosetactivedesktop (hijack.displayproperties) -> bad: (1) good: (0) -> quarantined and deleted successfully.
    hkey_local_machine\software\microsoft\windows\currentversion\policies\activedesktop\nochangingwallpaper (hijack.displayproperties) -> bad: (1) good: (0) -> quarantined and deleted successfully.
    hkey_local_machine\software\microsoft\windows\currentversion\policies\explorer\noactivedesktopchanges (hijack.displayproperties) -> bad: (1) good: (0) -> quarantined and deleted successfully.
    hkey_local_machine\software\microsoft\windows\currentversion\policies\explorer\nosetactivedesktop (hijack.displayproperties) -> bad: (1) good: (0) -> quarantined and deleted successfully.
    hkey_current_user\software\microsoft\windows\currentversion\policies\system\disabletaskmgr (hijack.taskmanager) -> bad: (1) good: (0) -> quarantined and deleted successfully.
    mappen genfecteerd:
    c:\documents and settings\all users\application data\03057823 (rogue.multiple) -> quarantined and deleted successfully.
    c:\windows\system32\syswow32 (worm.archive) -> quarantined and deleted successfully.
    c:\program files\internetsecurity2010 (rogue.internetsecurity2010) -> quarantined and deleted successfully.
    bestanden genfecteerd:
    c:\windows\system32\dmband32.dll (trojan.agent) -> delete on reboot.
    c:\program files\internetsecurity2010\is2010.exe (rogue.installer) -> quarantined and deleted successfully.
    c:\windows\system32\winhelper86.dll (trojan.fakealert) -> quarantined and deleted successfully.
    c:\documents and settings\etienne\local settings\temp\d.tmp (trojan.dropper) -> quarantined and deleted successfully.
    c:\documents and settings\etienne\local settings\temporary internet files\content.ie5\9re062ga\setupis2010[1].exe (rogue.installer) -> quarantined and deleted successfully.
    c:\documents and settings\etienne\local settings\temporary internet files\content.ie5\qjsnwach\dfghfghgfj[1].dll (trojan.fakealert) -> quarantined and deleted successfully.
    c:\windows\system32\syswow32\mi1111269529v4 (worm.archive) -> quarantined and deleted successfully.
    c:\windows\system32\syswow32\mi1111269529v4.kwd (worm.archive) -> quarantined and deleted successfully.
    c:\windows\system32\syswow32\mi1111269529v6 (worm.archive) -> quarantined and deleted successfully.
    c:\windows\system32\syswow32\mi1111269529v6.kwd (worm.archive) -> quarantined and deleted successfully.
    c:\windows\system32\syswow32\mi1111269529v7 (worm.archive) -> quarantined and deleted successfully.
    c:\windows\system32\syswow32\mi1111269529v7.kwd (worm.archive) -> quarantined and deleted successfully.
    c:\windows\system32\syswow32\mu1111269529v5 (worm.archive) -> quarantined and deleted successfully.
    c:\windows\system32\syswow32\mu1111269529v5.kwd (worm.archive) -> quarantined and deleted successfully.
    c:\windows\system32\syswow32\wu1111269529v0 (worm.archive) -> quarantined and deleted successfully.
    c:\windows\system32\syswow32\wu1111269529v0.kwd (worm.archive) -> quarantined and deleted successfully.
    c:\windows\system32\syswow32\wu1111269529v1 (worm.archive) -> quarantined and deleted successfully.
    c:\windows\system32\syswow32\wu1111269529v1.kwd (worm.archive) -> quarantined and deleted successfully.
    c:\windows\system32\syswow32\wu1111269529v2 (worm.archive) -> quarantined and deleted successfully.
    c:\windows\system32\syswow32\wu1111269529v2.kwd (worm.archive) -> quarantined and deleted successfully.
    c:\windows\system32\syswow32\wu1111269529v3 (worm.archive) -> quarantined and deleted successfully.
    c:\windows\system32\syswow32\wu1111269529v3.kwd (worm.archive) -> quarantined and deleted successfully.
    c:\windows\system32\critical_warning.html (trojan.fakealert) -> quarantined and deleted successfully.
    c:\windows\gnuhashes.ini (malware.trace) -> quarantined and deleted successfully.
    c:\windows\system32\winupdate86.exe (trojan.fakealert) -> quarantined and deleted successfully.
    c:\windows\system32\41.exe (trojan.fakealert) -> quarantined and deleted successfully.
    c:\windows\system32\winlogon86.exe (trojan.fakealert) -> quarantined and deleted successfully.

    [/hjt]

    ziezo :D

    mijn achtergrond kan ik nog steeds niet veranderen :s
    het is wel een andere foto maar die kan ik ook niet veranderen
     
  9. *Kingpin*

    *Kingpin* Moderator

    Re: your system is infected wallpaper

    Zo, mbam heeft er heel wat malware uitgehaald :fit: mooi zo! :)

    Kan je ook nog even een nieuw HJTlogje maken en meeposten? :)
    Bureaublad komt wel in orde, pribeer eens volgende:
    * Ga naar start > configuratiescherm > vormgeving en thema's > achtergrond van het bureaublad wijzigen
    * knopje "bureaublad aanpassen" > tabje "website" nemen ---> vink daar alles uit wat je aantreft en klik op verwijderen. (behalve bij "mijn huidige pagina": die wel uitvinken, maar niet verwijderen)
    * weet het nu nit vanuiten, maar als daar een knopje "toepassen" staat, dat klikken > ok
    Lukt het dan wel om een andere achtergrond weer in te stellen?
    Probeer ook ondertussen (mocht het op de normale manier nog niet lukken) of het bv. wel gaat als je op een afbeelding die je als achtergrond wil rechtermuisklikt en daar dan kiest op die als bureaublad in te stellen, lukt het zo evtl. (al) wel?


    succes :)
     
  10. jens92

    jens92 Vaak hier

    Re: your system is infected wallpaper

    [hjt]
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 13:55:01, on 28/12/2009
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v8.00 (8.00.6001.18702)
    Boot mode: Normal

    Running processes:
    c:\windows\system32\smss.exe
    c:\windows\system32\winlogon.exe
    c:\windows\system32\services.exe
    c:\windows\system32\lsass.exe
    c:\windows\system32\svchost.exe
    c:\windows\system32\svchost.exe
    c:\windows\system32\svchost.exe
    c:\program files\avg\avg9\avgchsvx.exe
    c:\program files\avg\avg9\avgrsx.exe
    c:\program files\avg\avg9\avgcsrvx.exe
    c:\windows\system32\spoolsv.exe
    c:\windows\explorer.exe
    c:\windows\system32\svchost.exe
    c:\program files\common files\apple\mobile device support\bin\applemobiledeviceservice.exe
    c:\program files\avg\avg9\avgwdsvc.exe
    c:\program files\bonjour\mdnsresponder.exe
    c:\program files\avg\avg9\avgnsx.exe
    c:\program files\java\jre6\bin\jqs.exe
    c:\windows\system32\nvsvc32.exe
    c:\windows\rthdcpl.exe
    c:\windows\system32\pnkbstra.exe
    c:\program files\microsoft\search enhancement pack\seaport\seaport.exe
    c:\windows\system32\spool\drivers\w32x86\3\hpztsb06.exe
    c:\windows\system32\svchost.exe
    c:\program files\java\jre6\bin\jusched.exe
    c:\program files\logitech\video\logitray.exe
    c:\program files\itunes\ituneshelper.exe
    c:\progra~1\avg\avg9\avgtray.exe
    c:\windows\system32\ctfmon.exe
    c:\program files\messenger\msmsgs.exe
    c:\program files\winzip\wzqkpick.exe
    c:\windows\system32\lvcoms.exe
    c:\program files\openoffice.org 3\program\soffice.exe
    c:\program files\openoffice.org 3\program\soffice.bin
    c:\program files\ipod\bin\ipodservice.exe
    c:\program files\mozilla firefox\firefox.exe
    c:\program files\windows live\messenger\msnmsgr.exe
    c:\program files\trend micro\hijackthis\hijackthis.exe

    r0 - hkcu\software\microsoft\internet explorer\main,start page = [noparse]http://www.hbvl.be/[/noparse]
    r1 - hklm\software\microsoft\internet explorer\main,default_page_url = [noparse]http://go.microsoft.com/fwlink/?linkid=69157[/noparse]
    r1 - hklm\software\microsoft\internet explorer\main,default_search_url = [noparse]http://go.microsoft.com/fwlink/?linkid=54896[/noparse]
    r1 - hklm\software\microsoft\internet explorer\main,search page = [noparse]http://go.microsoft.com/fwlink/?linkid=54896[/noparse]
    r0 - hklm\software\microsoft\internet explorer\main,start page = [noparse]http://go.microsoft.com/fwlink/?linkid=69157[/noparse]
    r1 - hkcu\software\microsoft\windows\currentversion\internet settings,proxyoverride = *.local
    r0 - hkcu\software\microsoft\internet explorer\toolbar,linksfoldername = koppelingen
    o2 - bho: acroiehlprobj class - {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\program files\adobe\acrobat 5.0\reader\activex\acroiehelper.ocx
    o2 - bho: wormradar.com iesiteblocker.navfilter - {3ca2f312-6f6e-4b53-a66e-4e65e497c8c0} - c:\program files\avg\avg9\avgssie.dll
    o2 - bho: (no name) - {5c255c8a-e604-49b4-9d64-90988571cecb} - (no file)
    o2 - bho: search helper - {6ebf7485-159f-4bff-a14f-b9e3aac4465b} - c:\program files\microsoft\search enhancement pack\search helper\sepsearchhelperie.dll
    o2 - bho: java(tm) plug-in ssv helper - {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - c:\program files\java\jre6\bin\ssv.dll
    o2 - bho: windows live aanmelden - help - {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\program files\common files\microsoft shared\windows live\windowslivelogin.dll
    o2 - bho: java(tm) plug-in 2 ssv helper - {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\java\jre6\bin\jp2ssv.dll
    o2 - bho: windows live toolbar helper - {e15a8dc0-8516-42a1-81ea-dc94ec1acf10} - c:\program files\windows live\toolbar\wltcore.dll
    o2 - bho: jqsiestartdetectorimpl - {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\program files\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    o3 - toolbar: &windows live toolbar - {21fa44ef-376d-4d53-9b0f-8a89d3229068} - c:\program files\windows live\toolbar\wltcore.dll
    o4 - hklm\..\run: [nvcpldaemon] rundll32.exe c:\windows\system32\nvcpl.dll,nvstartup
    o4 - hklm\..\run: [nwiz] nwiz.exe /install
    o4 - hklm\..\run: [nvmediacenter] rundll32.exe c:\windows\system32\nvmctray.dll,nvtaskbarinit
    o4 - hklm\..\run: [rthdcpl] rthdcpl.exe
    o4 - hklm\..\run: [skytel] skytel.exe
    o4 - hklm\..\run: [alcmtr] alcmtr.exe
    o4 - hklm\..\run: [nerofiltercheck] c:\windows\system32\nerocheck.exe
    o4 - hklm\..\run: [windows defender] c:\program files\windows defender\msascui.exe -hide
    o4 - hklm\..\run: [hpdj taskbar utility] c:\windows\system32\spool\drivers\w32x86\3\hpztsb06.exe
    o4 - hklm\..\run: [sunjavaupdatesched] c:\program files\java\jre6\bin\jusched.exe
    o4 - hklm\..\run: [logitechvideorepair] c:\program files\logitech\video\isstart.exe
    o4 - hklm\..\run: [logitechvideotray] c:\program files\logitech\video\logitray.exe
    o4 - hklm\..\run: [quicktime task] c:\program files\quicktime\qttask.exe -atboottime
    o4 - hklm\..\run: [ituneshelper] c:\program files\itunes\ituneshelper.exe
    o4 - hklm\..\run: [avg9_tray] c:\progra~1\avg\avg9\avgtray.exe
    o4 - hkcu\..\run: [msnmsgr] c:\program files\windows live\messenger\msnmsgr.exe /background
    o4 - hkcu\..\run: [ctfmon.exe] c:\windows\system32\ctfmon.exe
    o4 - hkcu\..\run: [netlog music tool] c:\program files\netlog music tool\netlogmusictool.exe
    o4 - hkcu\..\run: [msmsgs] c:\program files\messenger\msmsgs.exe /background
    o4 - hkus\s-1-5-19\..\run: [ctfmon.exe] c:\windows\system32\ctfmon.exe (user 'lokale service')
    o4 - hkus\s-1-5-20\..\run: [ctfmon.exe] c:\windows\system32\ctfmon.exe (user 'netwerkservice')
    o4 - hkus\s-1-5-18\..\run: [ctfmon.exe] c:\windows\system32\ctfmon.exe (user 'system')
    o4 - hkus\.default\..\run: [ctfmon.exe] c:\windows\system32\ctfmon.exe (user 'default user')
    o4 - startup: openoffice.org 3.1 .lnk = c:\program files\openoffice.org 3\program\quickstart.exe
    o4 - global startup: microsoft office.lnk = c:\program files\microsoft office\office10\osa.exe
    o4 - global startup: winzip quick pick.lnk = c:\program files\winzip\wzqkpick.exe
    o8 - extra context menu item: add to google photos screensa&ver - res://c:\windows\system32\gphotos.scr/200
    o8 - extra context menu item: e&xporteren naar microsoft excel - res://c:\progra~1\micros~2\office10\excel.exe/3000
    o9 - extra button: in weblog opnemen - {219c3416-8cb2-491a-a3c7-d9fcddc9d600} - c:\program files\windows live\writer\writerbrowserextension.dll
    o9 - extra 'tools' menuitem: &in weblog opnemen met windows live writer - {219c3416-8cb2-491a-a3c7-d9fcddc9d600} - c:\program files\windows live\writer\writerbrowserextension.dll
    o9 - extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - c:\windows\network diagnostic\xpnetdiag.exe
    o9 - extra 'tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - c:\windows\network diagnostic\xpnetdiag.exe
    o9 - extra button: messenger - {fb5f1910-f110-11d2-bb9e-00c04f795683} - c:\program files\messenger\msmsgs.exe
    o9 - extra 'tools' menuitem: windows messenger - {fb5f1910-f110-11d2-bb9e-00c04f795683} - c:\program files\messenger\msmsgs.exe
    o14 - iereset.inf: start_page_url=[noparse]http://www.google.be[/noparse]
    o16 - dpf: cabbuilder - [noparse]http://kiw.imgag.com/imgag/kiw/toolbar/download/installercontrol.cab[/noparse]
    o16 - dpf: garmin communicator plug-in - [noparse]https://my.garmin.com/static/m/cab/2.6.3/garminaxcontrol.cab[/noparse]
    o16 - dpf: {20a60f0d-9afa-4515-a0fd-83bd84642501} (checkers class) - [noparse]http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab[/noparse]
    o16 - dpf: {4f1e5b1a-2a80-42ca-8532-2d05cb959537} (msn photo upload tool) - [noparse]http://gfx1.hotmail.com/mail/w3/pr01/resources/msnpupld.cab[/noparse]
    o16 - dpf: {5d6f45b3-9043-443d-a792-115447494d24} (unoctrl class) - [noparse]http://messenger.zone.msn.com/nl-be/a-uno1/game_uno1.cab[/noparse]
    o16 - dpf: {6414512b-b978-451d-a0d8-fcfdf33e833c} (wuwebcontrol class) - [noparse]http://www.update.microsoft.com/windowsupdate/v6/v5controls/en/x86/client/wuweb_site.cab?1223053216265[/noparse]
    o16 - dpf: {bff1950d-b1b4-4ae8-b842-b2ccf06d9a1b} (zylom games player) - [noparse]http://game13.zylom.com/activex/zylomgamesplayer.cab[/noparse]
    o16 - dpf: {c3f79a2b-b9b4-4a66-b012-3ee46475b072} (messengerstatsclient class) - [noparse]http://messenger.zone.msn.com/binary/messengerstatspaclient.cab56907.cab[/noparse]
    o16 - dpf: {e2883e8f-472f-4fb0-9522-ac9bf37916a7} - [noparse]http://platformdl.adobe.com/nos/getplusplus/1.6/gp.cab[/noparse]
    o16 - dpf: {f5a7706b-b9c0-4c89-a715-7a0c6b05dd48} (minesweeper flags class) - [noparse]http://messenger.zone.msn.com/binary/minesweeper.cab56986.cab[/noparse]
    o16 - dpf: {f8c5c0f1-d884-43eb-a5a0-9e1c4a102fa8} (gopetsweb control) - [noparse]http://secure.gopetslive.com/dev/gopetsweb.cab[/noparse]
    o18 - protocol: linkscanner - {f274614c-63f8-47d5-a4d1-fbdde494f8d1} - c:\program files\avg\avg9\avgpp.dll
    o20 - winlogon notify: avgrsstarter - c:\windows\system32\avgrsstx.dll
    o23 - service: adobe lm service - adobe systems - c:\program files\common files\adobe systems shared\service\adobelmsvc.exe
    o23 - service: mobiel apple apparaat (apple mobile device) - apple inc. - c:\program files\common files\apple\mobile device support\bin\applemobiledeviceservice.exe
    o23 - service: avg free watchdog (avg9wd) - avg technologies cz, s.r.o. - c:\program files\avg\avg9\avgwdsvc.exe
    o23 - service: bonjour-service (bonjour service) - apple inc. - c:\program files\bonjour\mdnsresponder.exe
    o23 - service: flexnet licensing service - acresso software inc. - c:\program files\common files\macrovision shared\flexnet publisher\fnplicensingservice.exe
    o23 - service: google updateservice (gupdate1c9cb432b90f59c) (gupdate1c9cb432b90f59c) - google inc. - c:\program files\google\update\googleupdate.exe
    o23 - service: google software updater (gusvc) - google - c:\program files\google\common\google updater\googleupdaterservice.exe
    o23 - service: ipod-service (ipod service) - apple inc. - c:\program files\ipod\bin\ipodservice.exe
    o23 - service: java quick starter (javaquickstarterservice) - sun microsystems, inc. - c:\program files\java\jre6\bin\jqs.exe
    o23 - service: nvidia display driver service (nvsvc) - nvidia corporation - c:\windows\system32\nvsvc32.exe
    o23 - service: pnkbstra - unknown owner - c:\windows\system32\pnkbstra.exe
    --
    end of file - 9982 bytes

    [/hjt]

    het is al veel beter ! (y) mijn achtergrond kan ik ook terug veranderen maar hij geeft nog soms een virus weer. (AVG) dan moet ik die in guerantaine plaatsen ofzo.

    al heel erg bedankt !:biggrin:
     
  11. *Kingpin*

    *Kingpin* Moderator

    Re: your system is infected wallpaper

    Fijn dat het al beter gaat en je de achtergrond terug kan instellen :yahoo:

    Komt eer bij die virusmelding evtl. bij wat/waar je avg die aantreft? Want mss gaat het maar om oude herstelpunten van systeemherstel ofzo van toen de infectie nog actief was :)

    Kan je ook MBAM er nog eens over laten gaan (eerst even kijken of er updates zijn via het update tabje in het prgramma) en laten verwijderen wat hij aantreft, en het logje daarna nog even posten :)

    Het HJT logje is alvast clean :fit: maar mss dat MBAM toch nog wat achtergebleven restantjes oppikt :)
     
  12. jens92

    jens92 Vaak hier

    Re: your system is infected wallpaper

    owke en al bedankt :D
    goede services hier k wist niet dat het zo gemakkelijk zou gaan :p
    --- automatische edit ---
    geen kwaadaardige bestanden gevonden geeft hij :D
    ik denk dat hij clean is :p
     
    Laatst bewerkt: 28 dec 2009

Deel Deze Pagina