"Your system is infected" wallpaper

#1
hallo,

ik heb een virus op de pc waarbij er op mijn achtergrond een wallpaper komt te staan waar de tekst your system is infected opstaat. Ik kan de achtergrond niet veranderen ofzo? heeft iemand misschien een oplossing voor dit probleem?

Grtz Jens
 

Hakan68

Gewaardeerd
#2
Re: your system is infected wallpaper

maak een hjt logje, in dit gedeelte van de forum zou je boven aan kunnen zien hoe je stapsgewijs een hjt logje maakt!
 
#3
Re: your system is infected wallpaper

maak een hjt logje, in dit gedeelte van de forum zou je boven aan kunnen zien hoe je stapsgewijs een hjt logje maakt!
bedankt ik heb alles gedaan hier is mijn hijacklog :D


[hjt]
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:55:55, on 27/12/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
c:\windows\system32\smss.exe
c:\windows\system32\winlogon.exe
c:\windows\system32\services.exe
c:\windows\system32\lsass.exe
c:\windows\system32\svchost.exe
c:\windows\system32\svchost.exe
c:\windows\system32\svchost.exe
c:\program files\avg\avg9\avgchsvx.exe
c:\program files\avg\avg9\avgrsx.exe
c:\program files\avg\avg9\avgcsrvx.exe
c:\windows\system32\spoolsv.exe
c:\windows\system32\svchost.exe
c:\program files\common files\apple\mobile device support\bin\applemobiledeviceservice.exe
c:\program files\avg\avg9\avgwdsvc.exe
c:\program files\bonjour\mdnsresponder.exe
c:\program files\java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\pnkbstra.exe
c:\program files\microsoft\search enhancement pack\seaport\seaport.exe
c:\windows\system32\svchost.exe
c:\windows\explorer.exe
c:\windows\system32\winupdate86.exe
c:\program files\internetsecurity2010\is2010.exe
c:\windows\rthdcpl.exe
c:\windows\system32\spool\drivers\w32x86\3\hpztsb06.exe
c:\program files\java\jre6\bin\jusched.exe
c:\program files\logitech\video\logitray.exe
c:\program files\itunes\ituneshelper.exe
c:\progra~1\avg\avg9\avgtray.exe
c:\windows\system32\ctfmon.exe
c:\windows\system32\lvcoms.exe
c:\program files\winzip\wzqkpick.exe
c:\program files\openoffice.org 3\program\soffice.exe
c:\program files\openoffice.org 3\program\soffice.bin
c:\program files\ipod\bin\ipodservice.exe
c:\program files\mozilla firefox\firefox.exe
c:\program files\trend micro\hijackthis\hijackthis.exe

r0 - hkcu\software\microsoft\internet explorer\main,start page = [noparse]http://www.hbvl.be/[/noparse]
r1 - hklm\software\microsoft\internet explorer\main,default_page_url = [noparse]http://go.microsoft.com/fwlink/?linkid=69157[/noparse]
r1 - hklm\software\microsoft\internet explorer\main,default_search_url = [noparse]http://go.microsoft.com/fwlink/?linkid=54896[/noparse]
r1 - hklm\software\microsoft\internet explorer\main,search page = [noparse]http://go.microsoft.com/fwlink/?linkid=54896[/noparse]
r0 - hklm\software\microsoft\internet explorer\main,start page = [noparse]http://go.microsoft.com/fwlink/?linkid=69157[/noparse]
r1 - hkcu\software\microsoft\windows\currentversion\internet settings,proxyoverride = *.local
r0 - hkcu\software\microsoft\internet explorer\toolbar,linksfoldername = koppelingen
f2 - reg:system.ini: userinit=c:\windows\system32\winlogon86.exe
o2 - bho: (no name) - {04a632a7-4bb6-49a7-8cc7-1b2dd4c43472} - c:\windows\system32\digest32.dll (file missing)
o2 - bho: acroiehlprobj class - {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\program files\adobe\acrobat 5.0\reader\activex\acroiehelper.ocx
o2 - bho: askbar bho - {201f27d4-3704-41d6-89c1-aa35e39143ed} - c:\program files\askbardis\bar\bin\askbar.dll
o2 - bho: wormradar.com iesiteblocker.navfilter - {3ca2f312-6f6e-4b53-a66e-4e65e497c8c0} - c:\program files\avg\avg9\avgssie.dll
o2 - bho: (no name) - {5c255c8a-e604-49b4-9d64-90988571cecb} - (no file)
o2 - bho: search helper - {6ebf7485-159f-4bff-a14f-b9e3aac4465b} - c:\program files\microsoft\search enhancement pack\search helper\sepsearchhelperie.dll
o2 - bho: java(tm) plug-in ssv helper - {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - c:\program files\java\jre6\bin\ssv.dll
o2 - bho: windows live aanmelden - help - {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\program files\common files\microsoft shared\windows live\windowslivelogin.dll
o2 - bho: java(tm) plug-in 2 ssv helper - {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\java\jre6\bin\jp2ssv.dll
o2 - bho: windows live toolbar helper - {e15a8dc0-8516-42a1-81ea-dc94ec1acf10} - c:\program files\windows live\toolbar\wltcore.dll
o2 - bho: jqsiestartdetectorimpl - {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\program files\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
o3 - toolbar: &windows live toolbar - {21fa44ef-376d-4d53-9b0f-8a89d3229068} - c:\program files\windows live\toolbar\wltcore.dll
o3 - toolbar: ask toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - c:\program files\askbardis\bar\bin\askbar.dll
o4 - hklm\..\run: [nvcpldaemon] rundll32.exe c:\windows\system32\nvcpl.dll,nvstartup
o4 - hklm\..\run: [nwiz] nwiz.exe /install
o4 - hklm\..\run: [nvmediacenter] rundll32.exe c:\windows\system32\nvmctray.dll,nvtaskbarinit
o4 - hklm\..\run: [rthdcpl] rthdcpl.exe
o4 - hklm\..\run: [skytel] skytel.exe
o4 - hklm\..\run: [alcmtr] alcmtr.exe
o4 - hklm\..\run: [nerofiltercheck] c:\windows\system32\nerocheck.exe
o4 - hklm\..\run: [windows defender] c:\program files\windows defender\msascui.exe -hide
o4 - hklm\..\run: [hpdj taskbar utility] c:\windows\system32\spool\drivers\w32x86\3\hpztsb06.exe
o4 - hklm\..\run: [sunjavaupdatesched] c:\program files\java\jre6\bin\jusched.exe
o4 - hklm\..\run: [logitechvideorepair] c:\program files\logitech\video\isstart.exe
o4 - hklm\..\run: [logitechvideotray] c:\program files\logitech\video\logitray.exe
o4 - hklm\..\run: [promoreg] c:\windows\temp\_ex-08.exe
o4 - hklm\..\run: [quicktime task] c:\program files\quicktime\qttask.exe -atboottime
o4 - hklm\..\run: [ituneshelper] c:\program files\itunes\ituneshelper.exe
o4 - hklm\..\run: [winupdate86.exe] c:\windows\system32\winupdate86.exe
o4 - hklm\..\run: [avg9_tray] c:\progra~1\avg\avg9\avgtray.exe
o4 - hklm\..\runonce: [spybot - search & destroy] c:\program files\spybot - search & destroy\spybotsd.exe /autocheck
o4 - hkcu\..\run: [msnmsgr] c:\program files\windows live\messenger\msnmsgr.exe /background
o4 - hkcu\..\run: [ctfmon.exe] c:\windows\system32\ctfmon.exe
o4 - hkcu\..\run: [netlog music tool] c:\program files\netlog music tool\netlogmusictool.exe
o4 - hkcu\..\run: [msmsgs] c:\program files\messenger\msmsgs.exe /background
o4 - hkcu\..\run: [antimalware] c:\program files\antimalware\antimalware.exe -noscan
o4 - hkcu\..\run: [internet security 2010] c:\program files\internetsecurity2010\is2010.exe
o4 - hkus\s-1-5-19\..\run: [ctfmon.exe] c:\windows\system32\ctfmon.exe (user 'lokale service')
o4 - hkus\s-1-5-20\..\run: [ctfmon.exe] c:\windows\system32\ctfmon.exe (user 'netwerkservice')
o4 - hkus\s-1-5-18\..\run: [ctfmon.exe] c:\windows\system32\ctfmon.exe (user 'system')
o4 - hkus\.default\..\run: [ctfmon.exe] c:\windows\system32\ctfmon.exe (user 'default user')
o4 - startup: openoffice.org 3.1 .lnk = c:\program files\openoffice.org 3\program\quickstart.exe
o4 - global startup: microsoft office.lnk = c:\program files\microsoft office\office10\osa.exe
o4 - global startup: winzip quick pick.lnk = c:\program files\winzip\wzqkpick.exe
o8 - extra context menu item: add to google photos screensa&ver - res://c:\windows\system32\gphotos.scr/200
o8 - extra context menu item: e&xporteren naar microsoft excel - res://c:\progra~1\micros~2\office10\excel.exe/3000
o9 - extra button: in weblog opnemen - {219c3416-8cb2-491a-a3c7-d9fcddc9d600} - c:\program files\windows live\writer\writerbrowserextension.dll
o9 - extra 'tools' menuitem: &in weblog opnemen met windows live writer - {219c3416-8cb2-491a-a3c7-d9fcddc9d600} - c:\program files\windows live\writer\writerbrowserextension.dll
o9 - extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - c:\windows\network diagnostic\xpnetdiag.exe
o9 - extra 'tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - c:\windows\network diagnostic\xpnetdiag.exe
o9 - extra button: messenger - {fb5f1910-f110-11d2-bb9e-00c04f795683} - c:\program files\messenger\msmsgs.exe
o9 - extra 'tools' menuitem: windows messenger - {fb5f1910-f110-11d2-bb9e-00c04f795683} - c:\program files\messenger\msmsgs.exe
o14 - iereset.inf: start_page_url=[noparse]http://www.google.be[/noparse]
o16 - dpf: cabbuilder - [noparse]http://kiw.imgag.com/imgag/kiw/toolbar/download/installercontrol.cab[/noparse]
o16 - dpf: garmin communicator plug-in - [noparse]https://my.garmin.com/static/m/cab/2.6.3/garminaxcontrol.cab[/noparse]
o16 - dpf: {20a60f0d-9afa-4515-a0fd-83bd84642501} (checkers class) - [noparse]http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab[/noparse]
o16 - dpf: {4f1e5b1a-2a80-42ca-8532-2d05cb959537} (msn photo upload tool) - [noparse]http://gfx1.hotmail.com/mail/w3/pr01/resources/msnpupld.cab[/noparse]
o16 - dpf: {5d6f45b3-9043-443d-a792-115447494d24} (unoctrl class) - [noparse]http://messenger.zone.msn.com/nl-be/a-uno1/game_uno1.cab[/noparse]
o16 - dpf: {6414512b-b978-451d-a0d8-fcfdf33e833c} (wuwebcontrol class) - [noparse]http://www.update.microsoft.com/windowsupdate/v6/v5controls/en/x86/client/wuweb_site.cab?1223053216265[/noparse]
o16 - dpf: {bff1950d-b1b4-4ae8-b842-b2ccf06d9a1b} (zylom games player) - [noparse]http://game13.zylom.com/activex/zylomgamesplayer.cab[/noparse]
o16 - dpf: {c3f79a2b-b9b4-4a66-b012-3ee46475b072} (messengerstatsclient class) - [noparse]http://messenger.zone.msn.com/binary/messengerstatspaclient.cab56907.cab[/noparse]
o16 - dpf: {e2883e8f-472f-4fb0-9522-ac9bf37916a7} - [noparse]http://platformdl.adobe.com/nos/getplusplus/1.6/gp.cab[/noparse]
o16 - dpf: {f5a7706b-b9c0-4c89-a715-7a0c6b05dd48} (minesweeper flags class) - [noparse]http://messenger.zone.msn.com/binary/minesweeper.cab56986.cab[/noparse]
o16 - dpf: {f8c5c0f1-d884-43eb-a5a0-9e1c4a102fa8} (gopetsweb control) - [noparse]http://secure.gopetslive.com/dev/gopetsweb.cab[/noparse]
o18 - protocol: linkscanner - {f274614c-63f8-47d5-a4d1-fbdde494f8d1} - c:\program files\avg\avg9\avgpp.dll
o20 - appinit_dlls: c:\windows\system32\,c:\windows\system32\dmband32.dll
o20 - winlogon notify: 9866fac3724 - c:\windows\system32\dmband32.dll
o20 - winlogon notify: avgrsstarter - c:\windows\system32\avgrsstx.dll
o23 - service: adobe lm service - adobe systems - c:\program files\common files\adobe systems shared\service\adobelmsvc.exe
o23 - service: mobiel apple apparaat (apple mobile device) - apple inc. - c:\program files\common files\apple\mobile device support\bin\applemobiledeviceservice.exe
o23 - service: avg free watchdog (avg9wd) - avg technologies cz, s.r.o. - c:\program files\avg\avg9\avgwdsvc.exe
o23 - service: bonjour-service (bonjour service) - apple inc. - c:\program files\bonjour\mdnsresponder.exe
o23 - service: flexnet licensing service - acresso software inc. - c:\program files\common files\macrovision shared\flexnet publisher\fnplicensingservice.exe
o23 - service: google updateservice (gupdate1c9cb432b90f59c) (gupdate1c9cb432b90f59c) - google inc. - c:\program files\google\update\googleupdate.exe
o23 - service: google software updater (gusvc) - google - c:\program files\google\common\google updater\googleupdaterservice.exe
o23 - service: ipod-service (ipod service) - apple inc. - c:\program files\ipod\bin\ipodservice.exe
o23 - service: java quick starter (javaquickstarterservice) - sun microsystems, inc. - c:\program files\java\jre6\bin\jqs.exe
o23 - service: nvidia display driver service (nvsvc) - nvidia corporation - c:\windows\system32\nvsvc32.exe
o23 - service: pnkbstra - unknown owner - c:\windows\system32\pnkbstra.exe
--
end of file - 10921 bytes

[/hjt]
 
#4
Re: your system is infected wallpaper

Hallo jens :)


Doe volgende stappen eens:


Denstalleer het prgramma "Antimalware"
Dit is een nepperd:
http://www.bleepingcomputer.com/startups/AntiMalware-25278.html
* ga daarvoor naar Start > config.scherm > software
* verwijder (indien aanwezig in de lijst van genstalleerde software" het programma "antimalware" (niet te verwarren met MBAM antimalware, wat wel een goed/betrouwbaar programma is)


Herstart de pc


Fix met Hijackthis volgende sleutels
* Maak een nieuwe scan met HJT.
* Enkel onderstaande regels aanvinken, indien nog aanwezig in de nieuwe scan.
* Even alle open sites (ook deze) sluiten.
* Dan op het knopje "fix checked" klikken.
* Sluit daarna HJT
f2 - reg:system.ini: userinit=c:\windows\system32\winlogon86.exe

o2 - bho: (no name) - {04a632a7-4bb6-49a7-8cc7-1b2dd4c43472} - c:\windows\system32\digest32.dll (file missing)

o4 - hklm\..\run: [promoreg] c:\windows\temp\_ex-08.exe
o4 - hklm\..\run: [winupdate86.exe] c:\windows\system32\winupdate86.exe
o4 - hkcu\..\run: [antimalware] c:\program files\antimalware\antimalware.exe -noscan

o20 - appinit_dlls: c:\windows\system32\,c:\windows\system32\dmband32.dll
o20 - winlogon notify: 9866fac3724 - c:\windows\system32\dmband32.dll


Herstart weer de pc


Download en gebruik Malwarebytes' Anti-Malware (mbam)
Uitgebreide uitleg voor installatie/gebruik van mbam kan je evtl. hier (klik) terugvinden.
* download het setup bestand en sla op naar het bureaublad, sluit daarna het downloadvenstertje, dus niet meteen laten uitvoeren vanaf download
mbam-setup.exe
* Dubbelklik het opgeslagen mbam-setup.exe om het programma te installeren. (Vista: rechtermuisklikken > uitvoeren als admin)
* Let er op dat er een vinkje geplaatst is voor "Update Malwarebytes' Anti-Malware" en "Start Malwarebytes' Anti-Malware" > Klik daarna op "Voltooien".
Indien een update gevonden werd, zal die gedownload en genstalleerd worden.
* Wanneer het programma volledig up to date is, selecteer dan in het tabblad "Scanner" de "Snelle Scan" > klik op Scan.
* Als de scan voltooid is, klik op OK > daarna "Bekijk Resultaten" om de resultaten te zien.
* Vink alles aan > klik op: "Verwijder geselecteerde".
* Na het verwijderen zal een log openen en zal er mogelijk gevraagd worden om de computer opnieuw op te starten. (Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde malwarebestanden zal het enkele meldingen geven waarbij je OK moet klikken. Daarna zal het vragen om de pc opnieuw op te starten, sta dit toe.)
* Post de inhoud van het logje mee (haal ook weer even door de kleurcodering)
Indien je het niet automatisch kreeg of je moest herstarten, open weer mbam en neem tabje "logs". Als het daar niet staat, kijk bij c:\documents and settings\je gebruikersnaam\application data\malwarebytes\anti-malware\logs of het daar staat, in het mapje "logs"


Herstart de pc
(tenzij dit bij/vlak na mbam al gebeurd was)


Maak en post ook een nieuw HJT logje


succes :)
 
#5
Re: your system is infected wallpaper

mallware staat niet tussen mijn software :S
hoe kan ik het dan verwijderen ?
er staat ook nog InternetSecurity2010 op mijn pc maar die krijg ik ook niet verwijdert.
ik vind het mapje van internetsecurity2010 maar als ik die wil verwijderen zegt de pc dat het programma actief is.
het is ook internetsecurity dat de hele tijd de virussen weergeeft en zegt dat ik moet upgraden ofz..

Grtz Jens
 
#7
Re: your system is infected wallpaper

Doe dan maar gewoon verder met de stappen :)
(MBAM gaat dat wel aanpakken dan bij de verdere stappen)
dus vanaf het fixen met HJT dan.
Deze regel kan je er ook nog bij fixen:
o4 - hkcu\..\run: [internet security 2010] c:\program files\internetsecurity2010\is2010.exe
 
#8
Re: your system is infected wallpaper

[hjt]
malwarebytes' anti-malware 1.42
database versie: 3438
windows 5.1.2600 service pack 3
internet explorer 8.0.6001.18702
27/12/2009 15:54:38
mbam-log-2009-12-27 (15-54-38).txt
scan type: snelle scan
objecten gescand: 106996
verstreken tijd: 5 minute(s), 58 second(s)
geheugenprocessen genfecteerd: 1
geheugenmodulen genfecteerd: 1
registersleutels genfecteerd: 1
registerwaarden genfecteerd: 2
registerdata bestanden genfecteerd: 11
mappen genfecteerd: 3
bestanden genfecteerd: 27
geheugenprocessen genfecteerd:
c:\program files\internetsecurity2010\is2010.exe (rogue.installer) -> unloaded process successfully.
geheugenmodulen genfecteerd:
c:\windows\system32\dmband32.dll (trojan.agent) -> delete on reboot.
registersleutels genfecteerd:
hkey_local_machine\software\microsoft\windows nt\currentversion\winlogon\notify\9866fac3724 (trojan.agent) -> delete on reboot.
registerwaarden genfecteerd:
hkey_current_user\software\microsoft\windows\currentversion\run\internet security 2010 (rogue.installer) -> quarantined and deleted successfully.
hkey_local_machine\software\microsoft\windows\currentversion\rlist (malware.trace) -> quarantined and deleted successfully.
registerdata bestanden genfecteerd:
hkey_local_machine\software\microsoft\windows nt\currentversion\windows\appinit_dlls (trojan.agent) -> data: c:\windows\system32\dmband32.dll -> delete on reboot.
hkey_local_machine\software\microsoft\windows nt\currentversion\windows\appinit_dlls (trojan.agent) -> data: system32\dmband32.dll -> delete on reboot.
hkey_local_machine\software\microsoft\security center\firewalldisablenotify (disabled.securitycenter) -> bad: (1) good: (0) -> quarantined and deleted successfully.
hkey_local_machine\software\microsoft\security center\updatesdisablenotify (disabled.securitycenter) -> bad: (1) good: (0) -> quarantined and deleted successfully.
hkey_current_user\software\microsoft\windows\currentversion\policies\activedesktop\nochangingwallpaper (hijack.displayproperties) -> bad: (1) good: (0) -> quarantined and deleted successfully.
hkey_current_user\software\microsoft\windows\currentversion\policies\explorer\noactivedesktopchanges (hijack.displayproperties) -> bad: (1) good: (0) -> quarantined and deleted successfully.
hkey_current_user\software\microsoft\windows\currentversion\policies\explorer\nosetactivedesktop (hijack.displayproperties) -> bad: (1) good: (0) -> quarantined and deleted successfully.
hkey_local_machine\software\microsoft\windows\currentversion\policies\activedesktop\nochangingwallpaper (hijack.displayproperties) -> bad: (1) good: (0) -> quarantined and deleted successfully.
hkey_local_machine\software\microsoft\windows\currentversion\policies\explorer\noactivedesktopchanges (hijack.displayproperties) -> bad: (1) good: (0) -> quarantined and deleted successfully.
hkey_local_machine\software\microsoft\windows\currentversion\policies\explorer\nosetactivedesktop (hijack.displayproperties) -> bad: (1) good: (0) -> quarantined and deleted successfully.
hkey_current_user\software\microsoft\windows\currentversion\policies\system\disabletaskmgr (hijack.taskmanager) -> bad: (1) good: (0) -> quarantined and deleted successfully.
mappen genfecteerd:
c:\documents and settings\all users\application data\03057823 (rogue.multiple) -> quarantined and deleted successfully.
c:\windows\system32\syswow32 (worm.archive) -> quarantined and deleted successfully.
c:\program files\internetsecurity2010 (rogue.internetsecurity2010) -> quarantined and deleted successfully.
bestanden genfecteerd:
c:\windows\system32\dmband32.dll (trojan.agent) -> delete on reboot.
c:\program files\internetsecurity2010\is2010.exe (rogue.installer) -> quarantined and deleted successfully.
c:\windows\system32\winhelper86.dll (trojan.fakealert) -> quarantined and deleted successfully.
c:\documents and settings\etienne\local settings\temp\d.tmp (trojan.dropper) -> quarantined and deleted successfully.
c:\documents and settings\etienne\local settings\temporary internet files\content.ie5\9re062ga\setupis2010[1].exe (rogue.installer) -> quarantined and deleted successfully.
c:\documents and settings\etienne\local settings\temporary internet files\content.ie5\qjsnwach\dfghfghgfj[1].dll (trojan.fakealert) -> quarantined and deleted successfully.
c:\windows\system32\syswow32\mi1111269529v4 (worm.archive) -> quarantined and deleted successfully.
c:\windows\system32\syswow32\mi1111269529v4.kwd (worm.archive) -> quarantined and deleted successfully.
c:\windows\system32\syswow32\mi1111269529v6 (worm.archive) -> quarantined and deleted successfully.
c:\windows\system32\syswow32\mi1111269529v6.kwd (worm.archive) -> quarantined and deleted successfully.
c:\windows\system32\syswow32\mi1111269529v7 (worm.archive) -> quarantined and deleted successfully.
c:\windows\system32\syswow32\mi1111269529v7.kwd (worm.archive) -> quarantined and deleted successfully.
c:\windows\system32\syswow32\mu1111269529v5 (worm.archive) -> quarantined and deleted successfully.
c:\windows\system32\syswow32\mu1111269529v5.kwd (worm.archive) -> quarantined and deleted successfully.
c:\windows\system32\syswow32\wu1111269529v0 (worm.archive) -> quarantined and deleted successfully.
c:\windows\system32\syswow32\wu1111269529v0.kwd (worm.archive) -> quarantined and deleted successfully.
c:\windows\system32\syswow32\wu1111269529v1 (worm.archive) -> quarantined and deleted successfully.
c:\windows\system32\syswow32\wu1111269529v1.kwd (worm.archive) -> quarantined and deleted successfully.
c:\windows\system32\syswow32\wu1111269529v2 (worm.archive) -> quarantined and deleted successfully.
c:\windows\system32\syswow32\wu1111269529v2.kwd (worm.archive) -> quarantined and deleted successfully.
c:\windows\system32\syswow32\wu1111269529v3 (worm.archive) -> quarantined and deleted successfully.
c:\windows\system32\syswow32\wu1111269529v3.kwd (worm.archive) -> quarantined and deleted successfully.
c:\windows\system32\critical_warning.html (trojan.fakealert) -> quarantined and deleted successfully.
c:\windows\gnuhashes.ini (malware.trace) -> quarantined and deleted successfully.
c:\windows\system32\winupdate86.exe (trojan.fakealert) -> quarantined and deleted successfully.
c:\windows\system32\41.exe (trojan.fakealert) -> quarantined and deleted successfully.
c:\windows\system32\winlogon86.exe (trojan.fakealert) -> quarantined and deleted successfully.

[/hjt]

ziezo :D

mijn achtergrond kan ik nog steeds niet veranderen :s
het is wel een andere foto maar die kan ik ook niet veranderen
 
#9
Re: your system is infected wallpaper

Zo, mbam heeft er heel wat malware uitgehaald :fit: mooi zo! :)

Kan je ook nog even een nieuw HJTlogje maken en meeposten? :)
Bureaublad komt wel in orde, pribeer eens volgende:
* Ga naar start > configuratiescherm > vormgeving en thema's > achtergrond van het bureaublad wijzigen
* knopje "bureaublad aanpassen" > tabje "website" nemen ---> vink daar alles uit wat je aantreft en klik op verwijderen. (behalve bij "mijn huidige pagina": die wel uitvinken, maar niet verwijderen)
* weet het nu nit vanuiten, maar als daar een knopje "toepassen" staat, dat klikken > ok
Lukt het dan wel om een andere achtergrond weer in te stellen?
Probeer ook ondertussen (mocht het op de normale manier nog niet lukken) of het bv. wel gaat als je op een afbeelding die je als achtergrond wil rechtermuisklikt en daar dan kiest op die als bureaublad in te stellen, lukt het zo evtl. (al) wel?


succes :)
 
#10
Re: your system is infected wallpaper

[hjt]
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:55:01, on 28/12/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
c:\windows\system32\smss.exe
c:\windows\system32\winlogon.exe
c:\windows\system32\services.exe
c:\windows\system32\lsass.exe
c:\windows\system32\svchost.exe
c:\windows\system32\svchost.exe
c:\windows\system32\svchost.exe
c:\program files\avg\avg9\avgchsvx.exe
c:\program files\avg\avg9\avgrsx.exe
c:\program files\avg\avg9\avgcsrvx.exe
c:\windows\system32\spoolsv.exe
c:\windows\explorer.exe
c:\windows\system32\svchost.exe
c:\program files\common files\apple\mobile device support\bin\applemobiledeviceservice.exe
c:\program files\avg\avg9\avgwdsvc.exe
c:\program files\bonjour\mdnsresponder.exe
c:\program files\avg\avg9\avgnsx.exe
c:\program files\java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\windows\rthdcpl.exe
c:\windows\system32\pnkbstra.exe
c:\program files\microsoft\search enhancement pack\seaport\seaport.exe
c:\windows\system32\spool\drivers\w32x86\3\hpztsb06.exe
c:\windows\system32\svchost.exe
c:\program files\java\jre6\bin\jusched.exe
c:\program files\logitech\video\logitray.exe
c:\program files\itunes\ituneshelper.exe
c:\progra~1\avg\avg9\avgtray.exe
c:\windows\system32\ctfmon.exe
c:\program files\messenger\msmsgs.exe
c:\program files\winzip\wzqkpick.exe
c:\windows\system32\lvcoms.exe
c:\program files\openoffice.org 3\program\soffice.exe
c:\program files\openoffice.org 3\program\soffice.bin
c:\program files\ipod\bin\ipodservice.exe
c:\program files\mozilla firefox\firefox.exe
c:\program files\windows live\messenger\msnmsgr.exe
c:\program files\trend micro\hijackthis\hijackthis.exe

r0 - hkcu\software\microsoft\internet explorer\main,start page = [noparse]http://www.hbvl.be/[/noparse]
r1 - hklm\software\microsoft\internet explorer\main,default_page_url = [noparse]http://go.microsoft.com/fwlink/?linkid=69157[/noparse]
r1 - hklm\software\microsoft\internet explorer\main,default_search_url = [noparse]http://go.microsoft.com/fwlink/?linkid=54896[/noparse]
r1 - hklm\software\microsoft\internet explorer\main,search page = [noparse]http://go.microsoft.com/fwlink/?linkid=54896[/noparse]
r0 - hklm\software\microsoft\internet explorer\main,start page = [noparse]http://go.microsoft.com/fwlink/?linkid=69157[/noparse]
r1 - hkcu\software\microsoft\windows\currentversion\internet settings,proxyoverride = *.local
r0 - hkcu\software\microsoft\internet explorer\toolbar,linksfoldername = koppelingen
o2 - bho: acroiehlprobj class - {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\program files\adobe\acrobat 5.0\reader\activex\acroiehelper.ocx
o2 - bho: wormradar.com iesiteblocker.navfilter - {3ca2f312-6f6e-4b53-a66e-4e65e497c8c0} - c:\program files\avg\avg9\avgssie.dll
o2 - bho: (no name) - {5c255c8a-e604-49b4-9d64-90988571cecb} - (no file)
o2 - bho: search helper - {6ebf7485-159f-4bff-a14f-b9e3aac4465b} - c:\program files\microsoft\search enhancement pack\search helper\sepsearchhelperie.dll
o2 - bho: java(tm) plug-in ssv helper - {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - c:\program files\java\jre6\bin\ssv.dll
o2 - bho: windows live aanmelden - help - {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\program files\common files\microsoft shared\windows live\windowslivelogin.dll
o2 - bho: java(tm) plug-in 2 ssv helper - {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\java\jre6\bin\jp2ssv.dll
o2 - bho: windows live toolbar helper - {e15a8dc0-8516-42a1-81ea-dc94ec1acf10} - c:\program files\windows live\toolbar\wltcore.dll
o2 - bho: jqsiestartdetectorimpl - {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\program files\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
o3 - toolbar: &windows live toolbar - {21fa44ef-376d-4d53-9b0f-8a89d3229068} - c:\program files\windows live\toolbar\wltcore.dll
o4 - hklm\..\run: [nvcpldaemon] rundll32.exe c:\windows\system32\nvcpl.dll,nvstartup
o4 - hklm\..\run: [nwiz] nwiz.exe /install
o4 - hklm\..\run: [nvmediacenter] rundll32.exe c:\windows\system32\nvmctray.dll,nvtaskbarinit
o4 - hklm\..\run: [rthdcpl] rthdcpl.exe
o4 - hklm\..\run: [skytel] skytel.exe
o4 - hklm\..\run: [alcmtr] alcmtr.exe
o4 - hklm\..\run: [nerofiltercheck] c:\windows\system32\nerocheck.exe
o4 - hklm\..\run: [windows defender] c:\program files\windows defender\msascui.exe -hide
o4 - hklm\..\run: [hpdj taskbar utility] c:\windows\system32\spool\drivers\w32x86\3\hpztsb06.exe
o4 - hklm\..\run: [sunjavaupdatesched] c:\program files\java\jre6\bin\jusched.exe
o4 - hklm\..\run: [logitechvideorepair] c:\program files\logitech\video\isstart.exe
o4 - hklm\..\run: [logitechvideotray] c:\program files\logitech\video\logitray.exe
o4 - hklm\..\run: [quicktime task] c:\program files\quicktime\qttask.exe -atboottime
o4 - hklm\..\run: [ituneshelper] c:\program files\itunes\ituneshelper.exe
o4 - hklm\..\run: [avg9_tray] c:\progra~1\avg\avg9\avgtray.exe
o4 - hkcu\..\run: [msnmsgr] c:\program files\windows live\messenger\msnmsgr.exe /background
o4 - hkcu\..\run: [ctfmon.exe] c:\windows\system32\ctfmon.exe
o4 - hkcu\..\run: [netlog music tool] c:\program files\netlog music tool\netlogmusictool.exe
o4 - hkcu\..\run: [msmsgs] c:\program files\messenger\msmsgs.exe /background
o4 - hkus\s-1-5-19\..\run: [ctfmon.exe] c:\windows\system32\ctfmon.exe (user 'lokale service')
o4 - hkus\s-1-5-20\..\run: [ctfmon.exe] c:\windows\system32\ctfmon.exe (user 'netwerkservice')
o4 - hkus\s-1-5-18\..\run: [ctfmon.exe] c:\windows\system32\ctfmon.exe (user 'system')
o4 - hkus\.default\..\run: [ctfmon.exe] c:\windows\system32\ctfmon.exe (user 'default user')
o4 - startup: openoffice.org 3.1 .lnk = c:\program files\openoffice.org 3\program\quickstart.exe
o4 - global startup: microsoft office.lnk = c:\program files\microsoft office\office10\osa.exe
o4 - global startup: winzip quick pick.lnk = c:\program files\winzip\wzqkpick.exe
o8 - extra context menu item: add to google photos screensa&ver - res://c:\windows\system32\gphotos.scr/200
o8 - extra context menu item: e&xporteren naar microsoft excel - res://c:\progra~1\micros~2\office10\excel.exe/3000
o9 - extra button: in weblog opnemen - {219c3416-8cb2-491a-a3c7-d9fcddc9d600} - c:\program files\windows live\writer\writerbrowserextension.dll
o9 - extra 'tools' menuitem: &in weblog opnemen met windows live writer - {219c3416-8cb2-491a-a3c7-d9fcddc9d600} - c:\program files\windows live\writer\writerbrowserextension.dll
o9 - extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - c:\windows\network diagnostic\xpnetdiag.exe
o9 - extra 'tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - c:\windows\network diagnostic\xpnetdiag.exe
o9 - extra button: messenger - {fb5f1910-f110-11d2-bb9e-00c04f795683} - c:\program files\messenger\msmsgs.exe
o9 - extra 'tools' menuitem: windows messenger - {fb5f1910-f110-11d2-bb9e-00c04f795683} - c:\program files\messenger\msmsgs.exe
o14 - iereset.inf: start_page_url=[noparse]http://www.google.be[/noparse]
o16 - dpf: cabbuilder - [noparse]http://kiw.imgag.com/imgag/kiw/toolbar/download/installercontrol.cab[/noparse]
o16 - dpf: garmin communicator plug-in - [noparse]https://my.garmin.com/static/m/cab/2.6.3/garminaxcontrol.cab[/noparse]
o16 - dpf: {20a60f0d-9afa-4515-a0fd-83bd84642501} (checkers class) - [noparse]http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab[/noparse]
o16 - dpf: {4f1e5b1a-2a80-42ca-8532-2d05cb959537} (msn photo upload tool) - [noparse]http://gfx1.hotmail.com/mail/w3/pr01/resources/msnpupld.cab[/noparse]
o16 - dpf: {5d6f45b3-9043-443d-a792-115447494d24} (unoctrl class) - [noparse]http://messenger.zone.msn.com/nl-be/a-uno1/game_uno1.cab[/noparse]
o16 - dpf: {6414512b-b978-451d-a0d8-fcfdf33e833c} (wuwebcontrol class) - [noparse]http://www.update.microsoft.com/windowsupdate/v6/v5controls/en/x86/client/wuweb_site.cab?1223053216265[/noparse]
o16 - dpf: {bff1950d-b1b4-4ae8-b842-b2ccf06d9a1b} (zylom games player) - [noparse]http://game13.zylom.com/activex/zylomgamesplayer.cab[/noparse]
o16 - dpf: {c3f79a2b-b9b4-4a66-b012-3ee46475b072} (messengerstatsclient class) - [noparse]http://messenger.zone.msn.com/binary/messengerstatspaclient.cab56907.cab[/noparse]
o16 - dpf: {e2883e8f-472f-4fb0-9522-ac9bf37916a7} - [noparse]http://platformdl.adobe.com/nos/getplusplus/1.6/gp.cab[/noparse]
o16 - dpf: {f5a7706b-b9c0-4c89-a715-7a0c6b05dd48} (minesweeper flags class) - [noparse]http://messenger.zone.msn.com/binary/minesweeper.cab56986.cab[/noparse]
o16 - dpf: {f8c5c0f1-d884-43eb-a5a0-9e1c4a102fa8} (gopetsweb control) - [noparse]http://secure.gopetslive.com/dev/gopetsweb.cab[/noparse]
o18 - protocol: linkscanner - {f274614c-63f8-47d5-a4d1-fbdde494f8d1} - c:\program files\avg\avg9\avgpp.dll
o20 - winlogon notify: avgrsstarter - c:\windows\system32\avgrsstx.dll
o23 - service: adobe lm service - adobe systems - c:\program files\common files\adobe systems shared\service\adobelmsvc.exe
o23 - service: mobiel apple apparaat (apple mobile device) - apple inc. - c:\program files\common files\apple\mobile device support\bin\applemobiledeviceservice.exe
o23 - service: avg free watchdog (avg9wd) - avg technologies cz, s.r.o. - c:\program files\avg\avg9\avgwdsvc.exe
o23 - service: bonjour-service (bonjour service) - apple inc. - c:\program files\bonjour\mdnsresponder.exe
o23 - service: flexnet licensing service - acresso software inc. - c:\program files\common files\macrovision shared\flexnet publisher\fnplicensingservice.exe
o23 - service: google updateservice (gupdate1c9cb432b90f59c) (gupdate1c9cb432b90f59c) - google inc. - c:\program files\google\update\googleupdate.exe
o23 - service: google software updater (gusvc) - google - c:\program files\google\common\google updater\googleupdaterservice.exe
o23 - service: ipod-service (ipod service) - apple inc. - c:\program files\ipod\bin\ipodservice.exe
o23 - service: java quick starter (javaquickstarterservice) - sun microsystems, inc. - c:\program files\java\jre6\bin\jqs.exe
o23 - service: nvidia display driver service (nvsvc) - nvidia corporation - c:\windows\system32\nvsvc32.exe
o23 - service: pnkbstra - unknown owner - c:\windows\system32\pnkbstra.exe
--
end of file - 9982 bytes

[/hjt]

het is al veel beter ! (y) mijn achtergrond kan ik ook terug veranderen maar hij geeft nog soms een virus weer. (AVG) dan moet ik die in guerantaine plaatsen ofzo.

al heel erg bedankt !:biggrin:
 
#11
Re: your system is infected wallpaper

Fijn dat het al beter gaat en je de achtergrond terug kan instellen :yahoo:

Komt eer bij die virusmelding evtl. bij wat/waar je avg die aantreft? Want mss gaat het maar om oude herstelpunten van systeemherstel ofzo van toen de infectie nog actief was :)

Kan je ook MBAM er nog eens over laten gaan (eerst even kijken of er updates zijn via het update tabje in het prgramma) en laten verwijderen wat hij aantreft, en het logje daarna nog even posten :)

Het HJT logje is alvast clean :fit: maar mss dat MBAM toch nog wat achtergebleven restantjes oppikt :)
 
#12
Re: your system is infected wallpaper

owke en al bedankt :D
goede services hier k wist niet dat het zo gemakkelijk zou gaan :p
--- automatische edit ---
geen kwaadaardige bestanden gevonden geeft hij :D
ik denk dat hij clean is :p
 
Laatst bewerkt door een moderator:
#13
Re: your system is infected wallpaper

Dat klinkt goed!! (Y)

Mocht je van AVG toch nog een alarm krijgen, post de melding dan eens (de locatie waar hij het genfecteerde/verdachte bestand aantreft), kunnen we dat nog even bekijken :)

Mocht het bv. zijn in een map "system volume information", dat is het in een oud herstelpunt, daarvoor kan je de herstelpunten even legen door systeemherstel even uit en weer in te schakelen, zie hier voor meer info:
http://www.nationaalcomputerforum.nl/showthread.php?t=2151

Mocht het in de java cache zijn, kan je de java cache legen. dat kan bv. via ATF cleaner als je dat op de pc hebt, of handmatig:
* Ga naar Start > configuratiescherm (klassieke weergave)
* klik daar java plugin icoontje aan
* neem tabje "cache" (of "general", hangt van versie ed af)
* klik knopje "clear" (of "clear temporary files", hangt ook weer van versie af)
meer info:
http://www.java.com/en/download/help/cache_virus.xml


In beide gevallen kan het geen kwaam/inactief, maar de meldingen van je antivirus zijn wel vervelend, dus zo kunnen die ook stoppen :)

Als het op een andere locatie is, laat het dan nog even weten :)
(Het kan bv. ook wel zijn dat AVG de infectie vindt in de quarantaine van MBAM (van waariit het dus ook geen kwaad meer kan), dan kan je de quarantaine van MBAM legen via MBAM of bij AVG instellen dat het niet de quanrantaines van andere anti-malware programma's doorzoekt ofzo :)

Veel malwarevrij computerplezier verder!
 
#14
Re: your system is infected wallpaper

dit kreeg ik nu

C:\System Volume Information\_restore{8211A9DE-L3BF-4534-9664-01CFC299CC70}\RP516\A0069844.dll

ik ga je link eens bekijken.
het gaat dus om een herstelpunt dat kan geen kwaad dus :D

maar weet iemand hoe ik aan dat virus kom ? :s
 

Abraham54

Administrator
Medewerker
#15
Re: your system is infected wallpaper

Dat is niet zo moeilijk, als jouw Windows genfecteerd is op het moment, dat Windows besluit een herstelpunt te maken, dan wordt die besmetting dus meegenomen!

Stel nu dat je PC daarna ontsmet is, maar je moet om redenen terugkeren naar een eerder herstelpunt, dan is je PC weer op dezelfde wijze besmet!
 
#16
Re: your system is infected wallpaper

het gaat dus om een herstelpunt dat kan geen kwaad dus
zolang je idd geen systeemherstel doet later naar dat herstelpunt (met de actieve besmetting), niet nee :)

Wil je er vanaf, dan dus gewoon even systeemherstel uitschakelen waardoor alle oude herstelpunten verwijderd worden,
en daarna opnieuw inschakelen (niet vergeten) waardoor er terug een nieuw herstelpunt aangemaakt wordt in de huidige, cleane situatie :)

Moeilijk te zeggen hoe je aan die infectie kwam, dit soort infecties zit tgw bij vanalles en nog wat :(
Meestal komt het door op sites die reclame maken voor nep scanners, of die zo'n melding geven van "malware detected, click here" maar wat dus een advertentie/nepboodschap is. (zie hier onder "blacklist voor meer info over dit soort malwaretactieken)
Tgw moet er zelf al niet meer op geklikt worden of je hebt het al te pakken. Kan bv. ook via een lek in Flash of Java enzo die malwareschrijvers weten te misbruiken.
Of evengoed zit het al bij gedownloade progjes, keygens, enz...
Hier nog wat meer over hoe malware op de pc kan komen :ph34r:
 
Bovenaan Onderaan