Hoe een Smitfraud/Virtumonde/IEAntivirus trojan te verwijderen

Opgelet, een vernieuwde en verbeterde versie kan je hier vinden, wel in het engels.

Allereerst om zeker te zijn van je infectie, kom je een van deze beelden tegen of iets soortgelijks ?
Als dit zo is, geen paniek. Gewoon volgende regels volgen.

Allereerst, zet systeemherstel uit. Als je niet weet hoe je dit moet doen kijk dan Hier voor XP en voor vista : Start → bij zoekopdracht typ je systeemherstel → open systeemeigenschappen → haal het vinkje weg uit alle stations. (komt niet voor in oudere versies)

Dan gaan we over tot het verwijderen

Download Superantispyware, installeer het en update
Download Malwarebytes antimalware, installeer het en update
Download Vundofix en sla het op je bureaublad op
Download Combofix en sla het op je bureaublad op

Als je dit gedaan hebt herstart je in veilige modus (= heropstarten en intussentijd op F8 blijven duwen, er zou dan een nieuw scherm tevoorschijn moeten komen en selecteer je veilige modus en enter je)

Start en scan (en vernietig de malware natuurlijk :)) in deze volgorde :

  1. Combofix
  2. Vundofix
  3. Superantispyware
  4. Malwarebytes antimalware

Als je dit gedaan hebt, herstart je terug in normale modus en zou het weg moeten zijn. Om dit te controleren moet je een Hijackthis logje plaatsen in een nieuw, of in dit topic (vermeld ook of je nog enige meldingen krijgt van het virus) . Je kan Hijackthis hiervandaan halen.

Als het logje in orde is kan je best systeemherstel terug aanzetten
Xp : Start → rechtermuisknop op Deze Computer → Eigenschappen → Systeemherstel terug aanzetten
Vista : Start → bij zoekopdracht typ je systeemherstel → open systeemeigenschappen → vink je C: (en mss andere) station terug aan

Ik hoop dat dit helpt en dat je het nooit nodig (meer) zal moeten hebben

Xan

Hallo, heb net deze methode geprobeert. Hier is mijn hijackthis log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 6:14:25 PM, on 6/16/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\EPSON\ESM2\eEBSVC.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
c:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
c:\program files\common files\mcafee\mna\mcnasvc.exe
c:\PROGRA~1\COMMON~1\mcafee\mcproxy\mcproxy.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
C:\Program Files\McAfee\MPF\MPFSrv.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\Program Files\HijackThis\HijackThis.exe
C:\PROGRA~1\McAfee.com\Agent\mcagent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Viewpoint\Common\ViewpointService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: HP View - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\HP\Digital Imaging\bin\HPDTLK02.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM..\Run: [ISTray] “C:\Program Files\Spyware Doctor\pctsTray.exe”
O4 - HKCU..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Lokale service’)
O4 - HKUS\S-1-5-20..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Netwerkservice’)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/en-us/4,0,0,84/mcinsctl.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1213553688296
O16 - DPF: {A0D8CBD7-1223-4A64-B603-D6680A055A08} (FRSActiveX) - https://secured.payvisionbilling.com/DownloadManager/FRSActiveX.ocx
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/software/win/ActiveXPlugin.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab34246.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/en-us/1,0,0,21/mcgdmgr.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\EPSON\ESM2\eEBSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - c:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\program files\common files\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\COMMON~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Program Files\McAfee\MPF\MPFSrv.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: Viewpoint Manager Service - Viewpoint Corporation - C:\Program Files\Viewpoint\Common\ViewpointService.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe


End of file - 7397 bytes

Ik hoop dat alles nu in orde is…in ieder geval alvast bedankt voor het advies.

Hallo en welkom op het forum

:slight_smile: Je Hijackthis logje ziet er keurig uit, krijg je nog enige meldingen van de malware ?

Xan

nee, spydoctor geeft verder niets meer aan. heb ook geen last meer van al die popups of zo, dus volgens mij is het gelukt. bedankt!!

;D Graag gedaan :slight_smile:

Xan

Ik heb alles gedaan, hier is mn Hijackthis log.
Ik hoop dat het heeft gewerkt, ik ben er nu 2 dagen mee bezig geweest maar ik heb het idee dat dit advies toch het beste heeft geholpen.
Bedankt!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:40:18, on 20-7-2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\NinjaVideo\NinjaVideo Helper\NinjaVideo Helper.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Aanmelden - Help - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O4 - HKLM..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKCU..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU..\Run: [DAEMON Tools Lite] “C:\Program Files\DAEMON Tools Lite\daemon.exe” -autorun
O4 - HKCU..\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background
O4 - HKUS\S-1-5-19..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Lokale service’)
O4 - HKUS\S-1-5-20..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Netwerkservice’)
O4 - HKUS\S-1-5-18..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’)
O4 - HKUS.DEFAULT..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1842B0EE-B597-11D4-8997-00104BD12D94} (iCC Class) - http://www.pcpitstop.com/internet/pcpConnCheck.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (CDownloadCtrl Object) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.3.6.108.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/NL-NL/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1148728750437
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} (IPSUploader4 Control) - http://as.photoprintit.de/ips-opdata/74914090/activex/IPSUploader4.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab47946.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game10.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {C45B1500-7B63-47C2-AB25-C28CB46AFDEE} (Music Manager) - http://img.od2.com/installation/pluginname/music%20manager/MusicManagerPlugin.CAB
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://a532.g.akamai.net/f/532/6712/5m/virtools.download.akamai.com/6712/player/install3.5/installer.exe
O16 - DPF: {D821DC4A-0814-435E-9820-661C543A4679} (CRLDownloadWrapper Class) - http://drmlicense.one.microsoft.com/crlupdate/en/crlocx.ocx
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://as.photoprintit.de/ips-opdata/74914090/activex/IPSUploader.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/RACtrl.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP Port Resolver - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBPRO.EXE
O23 - Service: HP Status Server - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBOID.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-service (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NinjaVideo Helper (NinjaVideo Helper.exe) - NinjaVideo - C:\Program Files\NinjaVideo\NinjaVideo Helper\NinjaVideo Helper.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe


End of file - 8494 bytes

Hey Sixkiller (welkom in het forum)

Ik heb je logje vluchtig bekeken (ik heb niet al te veel tijd nu :)) maar ik kan niets ongewoon vinden . Krijg je nog enige meldingen ofzo ?

Xan

Misschien java upgraden ? er staat nog een jre1.5.0_06 (de 1.5 zit ondertussen op _15) maar misschien kun je ook wel probleemloos over naar versie 6 (1.6.x).

Om te scannen of je nog meer “oude” versies hebt zou ik Secunia PSI aanraden, die scant je systeem op oude en kwetsbare versie’s van software. (https://psi.secunia.com/). (hier werken ze aan de CVA zelfde idee alleen nog meer BETA).

Voor de rest zie ik ook geen opvallende zaken.
Ronny

Hallo ik ben nieuw op dit Forum

Ik heb extreme last van virtumonde
Sinds een week of twee heb ik last van dit virus hij is tijdens een windows update meegeslopen en meegeinstalleerd denk ik .
Sinds de eerste dag spelen Normen en Webroot als gekken op maar krijgen virtumonde niet weg.
Beide al laten draaien in veilige modus (systeemherstel uit) maar hielp niet.
Op het Net gezocht en deze site gevonden de handleiding gevolgd en uitgevoerd maar ook deze programma’s hielpen niet.
Webroot heeft nog niet gereageerd op mijn klacht (waarschijnlijk de Feestdagen) en ik ben ten einde raad.
Zelfs mijn modem router begon kuren te krijgen tijdens een tweedepoging met de oplossing van deze site en nade scans kreeg ik windows na zes pogingen en vier pogingen in veilige modus pas weer aan de praat.
Ik durf nu bijna niets meer te doen omdat ik ■■■■ ben dat mijn hele systeem dan definitief plat gaat.

Wie kan mij verder helpen

Hoi Kai,

Welkom op het forum,

Kun je deze post eens volgen en kijken of dat helpt ?

Het lijkt me trouwens sterk dat ie bij een Windows update mee is gekomen, dit soort dingen komen via “besmette” websites of USB Sticks binnen.

Groeten,
Ronny

Hoi Ronny

Dank je voor je support (:HUG) :THNK :THNK

Ik wil niet zeggen dat hij bij een update zat maar waarschijnlijk dat hij zich insloop tijdens de afronding van een update toen waren er wat invoegingen in de IE brouser en Webroot gaf aan dat als ik aan het updaten was dan moest toestaan.
Ik wist dat er beveiligingsupdates voor de IE brouser bij zoten door de Norman site.
Daarom vond ik het niet zo vreemd dat deze melding en advies samenvielen het is dus lauter pech dat de aanval samenviel met het afsluiten van de update denk ik.
Vanaf toen werd namenlijk mijn systeem hevig te vertragen popups van fake scanners ed te vertonen.
Webroot haalde ze er wel uit maar toen de volgende dagelijkse scan weer virumonde liet zien en de popups bleven komen zelfs na het sluiten van IE wist ik dat het serieus mis was.

Ik heb met acronis al een full immage gemaakt gehad en deze geprobeerd er overheen te zetten maar dat hielp niet.
Volgens de winkel hadden alle tussentijdse veranderingen teniet moeten gaan dus ook mijn E-mails, Contacten enz.
Maar dat gebeurde niet deze immage had ik op een fysiek andere interne en externe schijf opgeslagen.
Ik vraag me nu alleen af of dit het soort backup is als omschreven in de post of moet ik iets anders hebben.

Met dank Kai

Wat vaak het snelste helpt is eerst Superantispyware downloaden. www.superantispyware.com. je kunt gewoon de gratis optie kiezen.
Update deze en draai een volle scan.

vervolgens Malwarebytes downloaden. Free Antivirus 2023 | 100% Free & Easy Install | Malware Removal
Ook deze updaten en een volle scan draaien.

ik verwacht dat je dan wel verlost bent

Kai,

Van Acronis heb ik geen kennis, maar normaal gesproken zou je een volledig image terug moeten kunnen zetten en dan gaat je computer inderdaad terug in de tijd en is alles zoals het tijdens het maken van het image was.

Ik ga er vanuit dat er iets mis gegaan is tijdens het restoren van het image.

Maar zoals SecurityManiac al zei, probeer die scanners eens ze staan ook vermeld in het verwezen linkje.

Ronny

Ik vraag me alleen af of dit helpt want zoals eerder geschreven heb ik de bovenstaande combo ook al geprobeerd.
DWZ;combofix,vundofix,superantispyware en malwarebytes,en een tweede keer zelfs gevolgd door webroot.
Bijde oplossingen hielpen niet, virtumonde schijnt zich goed ingegraven te hebben of ergens regenerende backups die niet worden gedetcteerd.
In tune up utillities vond ik in de startupmanager geen virtumonde tegen maar wel virtumonde gerelateerde aplicaties te weten; jibanehi, sprt cmd exe, gezezide.
De eerste twee kon ik uischakelen in de manager maar gezezide bleef bij controle te herstellen en liet zich dus niet uitschakelen.
De eerste is inmiddels vedwenen maar gegezide blijft bestaan.
Kunnen deze elkaar aansturen?
Of moet eerst gezezide worde verwijderd, en hoe krijg ik dat voor elkaar.
Persoonlijk denk ik intussen dat gezezide achter virtumonde schuilt en hersteld.

Kai

Kun je eens een hijack this draaien en de logfile hier posten, via Additional options hier onder ?

http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis

Tevens is het wel aardig om te weten of er ook rootkit’s in het spel zijn, probeer ook eens GMER

http://www.gmer.net/gmer.zip

Als je deze opstart komt er standaard een scan, als er wat mis is is de kans groot dat je gelijk een melding krijgt van verdachte dingen en dat je een extra scan moet draaien, ook zul je dan regels in het rood gaan zien.

Ronny

Heb beide scans gedaan maar krijg ze niet gepost elk meer dan 4000characters, hoe kan ik dit oplossen.

Kai

Gewoon de file attachen aan de post, dus een reactie maken dan heb je links onder “Additional Options” die klik je aan dan krijg je “Attach”, klik op browse, selecteer het bestand, kies voor more attachements and selecteer het tweede bestand. Nu druk je op Post en de post inclusief de 2 bestanden worden geupload.

Ronny

Ik krijg de volgende melding als ik ze probeer te laden.

Gem.txt.log.
You cannot upload that type of file. The only allowed extensions are txt,doc,pdf,jpg,gif,mpg,png,zip,mp3,rar,jpeg,xls,sdb,md5.

De files had ik op het bureaublad opgeslagen en heten;Gem.txt en hijackthis.txt
Doe ik iets verkeerd?

Kai

Kai,

Je windows laat de bestands extensie’s niet zien.
Kijk ff hier om dat aan te passen; http://www.virushelp.nl/verborgen_bestanden_faq.htm

Dan kun je de gmer.txt.log aanpassen zodat het alle 2 .txt bestanden worden en die kun je dan uploaden.

Ronny

Deze link hielp ook niet want het kladblok liet alleen de extensie log toe.
Heb het in word geplakt en extensie naar txt gebracht (text zonder opmaak),
en nu zou het moeten lukken.

Kai

[attachment deleted by admin]