security center 7.1 ernstig virus

6 augustus 2007

hoe kom ik eraan? ik kreeg een filmpje toegestuurd van een vriend, opzich niets mis mee maar hij zij dat ik iets moest downloaden om hem te bekijken *geen idee meer hoe het heet, dat maakt ook niet uit* en toen gebeurde het,, de drama begon

een quote van een site:

Information - Security Toolbar 7.1
Security Toolbar 7.1 is a dangerous spyware toolbar and it comes from a very dangerous trojan, called Trojan.Zlob. Once the Security Toolbar 7.1 installed, you start receiving warning messages claming that your system is infected and recommends buying various type of fake & dangerous antispyware application.

Security Toolbar 7.1 may displays warning messages such as, "Critical System Error", "Your computer is infected", "System Alert", "Security Alert", Trojan-Spy.win32@mx", "Virus Alert", "W32.Myzor.fk@yf" or "Spyware.Cyberlog-X".

Not only this, Security Toolbar 7.1 has ability to hijacked your homepage with any obscure website (such as, asafehomepage.com) and so on. Security Toolbar 7.1 also displays blinking icons on your System Tray (It is near of your system clock at the right side of bottom). These Icon generate a fake balloon warning message to download the rogue applications.

If your computer is infected by Security Toolbar 7.1 and hijacked by the unfamiliar webpage then your computer in trouble because it does transfer back and forth information from the infected computer which makes it a potential for application/data theft.

Alias - Security Toolbar 7.1', hijacker Security Toolbar 7.1', virus Security Toolbar 7.1, homepage hijacker Security Toolbar 7.1, trojan Security Toolbar 7.1

Danger Level -

Risk Level - Very High Risk - Extremely dangerous Spyware. Security Toolbar 7.1 Uses stealth installation, randomly named entries and has the capability to self update or Restore after incomplete removal. Very hard to remove manually. Removing by free software or Re-Name the Dll file of Security Toolbar 7.1 cannot decrease the Privacy Risk, because it uses stealth installation method.

Systems Affected - Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

qoute van iemand met hetzelfde probleem op een ander forum:

Ik heb precies hetzelfde probleem. Boven in het scherm staat "Security Toolbar 7.1". Daarnaast staat een balkje met daarboven "Security Level" die net niet voor de helft is gevuld met een rode kleur. Daarnaast staat “4|10”, waarvan de 4 rood is, en ongetwijfeld slaat dat terug op dat balkje. Daarnaast staan twee groene link balkjes, waarin bij de ene staat "Block adware / popups" en in die andere staat "Remove spyware".
Ook zit er naast het klokje rechts onderin een schildje dat knippert van blauw met een vraagteken erin naar rood met een kruis erin. Om de zoveel tijd komt er een ballonetje waarin staat: "System Alert! System has detected a number of active spyware applications that may impact the performance of your computer. Click the icon to get rid of unwanted spyware by downloading an up-to-date antispyware solution.".

Ik heb het ook niet kunnen vinden in software bij het configuratie scherm, wel heb ik "Internet Explorer Secure Bar" gevonden, wat ik ook niet helemaal vertrouw.

Ik heb zelf McAfee op de computer, en ik heb er een virus scan mee gedaan, maar hij heeft niks gevonden. Dit kan natuurlijk komen doordat de links en de sites zelf niet schadelijk zijn, alleen dat wat ze bieden om te downloaden. Bij McAfee zit ook een SiteAdvisor, - een programma die zegt of de sites betrouwbaar zijn, en zo nee, waarom niet - en die zegt bij de sites dat die nog niet zijn getest door McAfee ( wat ik raar vind want ELKE site waar ik tot nu toe ben geweest is getest) hetgeen ik niet helemaal vertrouw.

Ook krijg ik elke keer dat ik een site wegklik een klein pop-up schermpje met als titel “asD”, een witte achtergrond en de tekst erin is “release” daaronder een “OK” knop en als ik daar op klik, of op het kruisje in het scherm, dan verdwijnt de pop-up en de site die ik weg wou klikken.

Ik denk dat ik wel aardig precies heb uitgelegd wat het probleem is en hoe het er allemaal uitziet, en ik hoop dat een van jullie hier een oplossing voor heeft.

op dit forum is ook geen antwoord gegeven.

ik heb zelf al 2 programma`s gedownload om te proberen het te verwijderen maar dat lukt niet. ik heb alle bestanden ervan verwijderd maar hij blijft toch op m`n computer staan.

weten jullie wat ik eraan kan doen?

Bewerkt: 6 augustus 2007 door .Djanick

6 augustus 2007

Dit is een Roque/zLob

Doe eventjes het volgende... en post daarna de logjes...

Download: RemoveVideoActiveXObject.exe

Sla het bestand op je bureaublad op, daarna dubbelklikken.

Mogelijk start de uninstaller van een rogue scanner op, sluit deze niet af maar laat deze zijn werk doen.

Daarna de PC herstarten en nogmaals RemoveVideoActiveXObject.exe dubbelklikken.

Post daarna het logje C:\RVAXO-results.log in je volgende bericht.

Post ook eens een HijackThis logje

Hijackthis logje maken

Download Hijackthis-setup

Dubbelklik op Hijackthis-setup

Hijackthis wordt nu op je PC geïnstalleerd, een snel koppeling wordt op je bureaublad geplaatst

Dubbelklik op het Icoontje van Hijackthis (indien je meldingen krijgt, gewoon op OK ed. drukken)

Kies de bovenste optie: "Do a systemscan and save a logfile"

De PC zal dan worden gescant door HijackThis naar informatie. Als deze scan compleet is zal er een kladblok/notepad bestand openen. Kopieer de inhoud van dit bestand en post het in je volgende reactie.

Gelieve het Hijackthis logje NIET tussen tags te plaatsen dus niet tussen CODE of QUOTE.

Bewerkt: 6 augustus 2007 door BendeBoy

6 augustus 2007

al geprobeerd en lukt niet

6 augustus 2007

Wat heb je al gedaan? Post de logjes eens..

Van RemoveVideoActiveXObject en van HijackThis.

6 augustus 2007

Wat heb je al gedaan? Post de logjes eens..
Van RemoveVideoActiveXObject en van HijackThis.

bij RemoveVideoActiveXObject.exe krijg ik alleen maar te zien dat hij de bestanden niet kan vinden en dat verdwijnt na een tijdje waarna er een 2e pagina begint die na enkele seconden vanzelf weer afsluit

en bij hijackthis krijg ik als log:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:32:08, on 6-8-2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Symantec AntiVirus\DefWatch.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\NetLimiter 2 Lite\nlsvc.exe

C:\Program Files\Eset\nod32krn.exe

C:\WINDOWS\System32\PAStiSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Symantec AntiVirus\Rtvscan.exe

C:\WINDOWS\system32\UAService7.exe

C:\Program Files\NetLimiter 2 Lite\NLClient.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Video ActiveX Access\iesmn.exe

C:\Program Files\Video ActiveX Access\imsmain.exe

C:\Program Files\Common Files\Symantec Shared\ccApp.exe

C:\Program Files\Video ActiveX Access\imsmn.exe

C:\Program Files\Video ActiveX Access\iesmin.exe

C:\PROGRA~1\SYMANT~1\VPTray.exe

C:\WINDOWS\system32\RunDll32.exe

C:\Program Files\Trust\MI-3500X WIRELESS MOUSE\Mouse32a.exe

C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe

C:\Program Files\Trust\GM-4200 Gamer Mouse Optical\Panel.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Eset\nod32kui.exe

C:\Program Files\Winamp\winampa.exe

C:\Program Files\MessengerPlus! 3\MsgPlus.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe

C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

C:\Program Files\SpyNoMore\SNM.exe

C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe

C:\Program Files\Veoh Networks\Veoh\VeohClient.exe

C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe

C:\Program Files\WinZip\WZQKPICK.EXE

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Java\jre1.5.0_09\bin\jucheck.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gtaforum.nl/index.php?showforum=129

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen

O2 - BHO: (no name) - {34E6F97C-34E0-4CE5-B92B-F83634BEDC01} - C:\Program Files\Video ActiveX Access\iesplg.dll

O2 - BHO: (no name) - {36ADA89D-2440-4DC4-820A-3A05E8630935} - C:\Program Files\Video ActiveX Access\iesplg.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll

O3 - Toolbar: Protection Bar - {29C5A3B6-9A8D-4FA0-B5AD-3E20F4AA5C00} - C:\Program Files\Video ActiveX Access\iesbpl.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Program Files\Trust\MI-3500X WIRELESS MOUSE\Mouse32a.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"

O4 - HKLM\..\Run: [Trust Gaming mouse] "C:\Program Files\Trust\GM-4200 Gamer Mouse Optical\Panel.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [CamMonitor] C:\Program Files\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe

O4 - HKLM\..\Run: [share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [sNM] C:\Program Files\SpyNoMore\SNM.exe /startup

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [Veoh] "C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" /VeohHide

O4 - HKLM\..\Policies\Explorer\Run: [user32.dll] C:\Program Files\Video ActiveX Access\iesmn.exe

O4 - HKLM\..\Policies\Explorer\Run: [rare] C:\Program Files\Video ActiveX Access\imsmain.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Lokale service')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Netwerkservice')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/NL-NL/a-UNO1/GAME_UNO1.cab

O16 - DPF: {5F5F9FB8-878E-4455-95E0-F64B2314288A} (ijjiPlugin2 Class) - http://gamedownload.ijjimax.com/gamedownlo...Plugin11USA.cab

O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.systemrequirementslab.com/sysreqlab2.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab53083.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O16 - DPF: {CD995117-98E5-4169-9920-6C12D4C0B548} (HGPlugin9USA Class) - http://gamedownload.ijjimax.com/gamedownlo...GPlugin9USA.cab

O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://a532.g.akamai.net/f/532/6712/5m/vir...l/installer.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{1CE77A8B-F18A-4845-8784-47811FF80713}: NameServer = 85.255.115.67,85.255.112.108

O17 - HKLM\System\CCS\Services\Tcpip\..\{3B1B3676-6827-4C24-912E-1C1DBEAB7CC0}: NameServer = 85.255.115.67,85.255.112.108

O17 - HKLM\System\CCS\Services\Tcpip\..\{7C1403A0-2761-40A4-8AA8-1DC730957F2A}: NameServer = 85.255.115.67,85.255.112.108

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.67 85.255.112.108

O17 - HKLM\System\CS1\Services\Tcpip\..\{1CE77A8B-F18A-4845-8784-47811FF80713}: NameServer = 85.255.115.67,85.255.112.108

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.67 85.255.112.108

O17 - HKLM\System\CS2\Services\Tcpip\..\{1CE77A8B-F18A-4845-8784-47811FF80713}: NameServer = 85.255.115.67,85.255.112.108

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.67 85.255.112.108

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NetLimiter (nlsvc) - Locktime Software - C:\Program Files\NetLimiter 2 Lite\nlsvc.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe

O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe

O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe

O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe

--

End of file - 11375 bytes

6 augustus 2007

Vreemd van RemoveVideoActiveXObject..

Heb je deze wel opgeslagen op je bureaublad?

Ik zie een Wareout infectie (lekker hardnekkig) en nog steeds de zlob, doe even het volgende

Download de WareOutfix van één van deze twee site's:

http://downloads.subratam.org/Fixwareout.exe
http://www.bleepingcomputer.com/files/lonny/Fixwareout.exe

Sla het op op je Bureaublad en laat het runnen.

Klik dan op Next, dan op Install,

wees zeker dat Run fixit is aangevinkt en klik op Finish.

De fix zal beginnen; volg de instructies die je krijgt.

Er zal gevraagd worden of je je pc wilt herstarten; doe dit ook.

Je computer zal nu wat trager opstarten, dit is normaal.

Zodra je Bureaublad geladen is, zal een tekstbestand openen (report.txt).

Bewaar deze eventjes.

Download Combofix en sla het op je bureaublad op.

Open Combofix.exe en volg de instructies, aanvaard de disclaimer door "y"of "Y"te typen.

Tijdens het runnen van de fix, NIET in het venster klikken, want dit zal je pc doen vasthangen.

Het is mogelijk dat de PC zichzelf automatisch opnieuw opstart. Wanneer de fix is gedaan en na mogelijk herstart zal een log (combofix.txt) openen. Plaats de inhoud van dit bericht in je volgende reactie samen met een nieuw logje van HijackThis en de resultaten van WareOutfix.

Bewerkt: 6 augustus 2007 door BendeBoy

6 augustus 2007

tekstbestand van wareoutfix:

Username "Gebruiker" - 2007-08-06 15:45:03 [Fixwareout edited 2007/07/05]

»»»»»Prerun check

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

"nameserver"="85.255.115.67 85.255.112.108" <Value cleared.

HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{1CE77A8B-F18A-4845-8784-47811FF80713}

"nameserver"="85.255.115.67,85.255.112.108" <Value cleared.

HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{3B1B3676-6827-4C24-912E-1C1DBEAB7CC0}

"nameserver"="85.255.115.67,85.255.112.108" <Value cleared.

HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{7C1403A0-2761-40A4-8AA8-1DC730957F2A}

"nameserver"="85.255.115.67,85.255.112.108" <Value cleared.

HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{3B1B3676-6827-4C24-912E-1C1DBEAB7CC0}

"DhcpNameServer"="85.255.115.67,85.255.112.108" <Value cleared.

HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{7C1403A0-2761-40A4-8AA8-1DC730957F2A}

"DhcpNameServer"="85.255.115.67,85.255.112.108" <Value cleared.

De DNS-omzettingscache is leeggemaakt.

System was rebooted successfully.

»»»»» Postrun check

HKLM\SOFTWARE\~\Winlogon\ "System"=""

....

»»»»» Misc files.

....

»»»»» Checking for older varients.

....

C:\Program Files\Video ActiveX Access < Found

Additional tools are recomended.

»»»»» Current runs (hklm hkcu "run" Keys Only)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NeroFilterCheck"="C:\\Program Files\\Common Files\\Ahead\\Lib\\NeroCheck.exe"

"ccApp"="\"C:\\Program Files\\Common Files\\Symantec Shared\\ccApp.exe\""

"vptray"="C:\\PROGRA~1\\SYMANT~1\\VPTray.exe"

"Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd"

"FLMOFFICE4DMOUSE"="C:\\Program Files\\Trust\\MI-3500X WIRELESS MOUSE\\Mouse32a.exe"

"SunJavaUpdateSched"="\"C:\\Program Files\\Java\\jre1.5.0_09\\bin\\jusched.exe\""

"Trust Gaming mouse"="\"C:\\Program Files\\Trust\\GM-4200 Gamer Mouse Optical\\Panel.exe\""

"QuickTime Task"="\"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime"

"nod32kui"="\"C:\\Program Files\\Eset\\nod32kui.exe\" /WAITSERVICE"

"WinampAgent"="C:\\Program Files\\Winamp\\winampa.exe"

"MessengerPlus3"="\"C:\\Program Files\\MessengerPlus! 3\\MsgPlus.exe\""

"CamMonitor"="C:\\Program Files\\Hewlett-Packard\\Digital Imaging\\\\Unload\\hpqcmon.exe"

"Share-to-Web Namespace Daemon"="C:\\Program Files\\Hewlett-Packard\\HP Share-to-Web\\hpgs2wnd.exe"

"SNM"="C:\\Program Files\\SpyNoMore\\SNM.exe /startup"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="\"C:\\Program Files\\Common Files\\Ahead\\Lib\\NMBgMonitor.exe\""

"MSMSGS"="\"C:\\Program Files\\Messenger\\msmsgs.exe\" /background"

"MsnMsgr"="\"C:\\Program Files\\MSN Messenger\\MsnMsgr.Exe\" /background"

"swg"="C:\\Program Files\\Google\\GoogleToolbarNotifier\\GoogleToolbarNotifier.exe"

"Veoh"="\"C:\\Program Files\\Veoh Networks\\Veoh\\VeohClient.exe\" /VeohHide"

....

Hosts file was reset, If you use a custom hosts file please replace it

»»»»» End report »»»»»

combofix ga ik nu even doen, ik edit mijn bericht daarna

combofix:

ComboFix 07-08-04.3 - "Gebruiker" 2007-08-06 15:56:32.2 [GMT 2:00] - NTFS

Microsoft Windows XP Professional 5.1.2600.2.1252.1.1043.18.Waar

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

C:\Program Files\SC

C:\Program Files\video activex access

C:\Program Files\video activex access\iesbpl.dll

C:\Program Files\video activex access\iesbunst.exe

C:\Program Files\video activex access\iesmin.exe

C:\Program Files\video activex access\iesmn.exe

C:\Program Files\video activex access\iesplg.dll

C:\Program Files\video activex access\iesunst.exe

C:\Program Files\video activex access\imsmain.exe

C:\Program Files\video activex access\imsmn.exe

C:\Program Files\video activex access\imsunst.exe

C:\Program Files\video activex access\ot.ico

C:\Program Files\video activex access\ts.ico

C:\Program Files\video activex access\uninst.exe

C:\Program Files\VirusProtectPro 3.6

C:\Program Files\VirusProtectPro 3.6\ignored.lst

C:\Program Files\VirusProtectPro 3.6\VirusProtectPro 3.6.exe

C:\Program Files\VirusProtectPro 3.6\vpp.ini

((((((((((((((((((((((((( Files Created from 2007-07-06 to 2007-08-06 )))))))))))))))))))))))))))))))

2007-08-06 15:54 51,200 --a------ C:\WINDOWS\nircmd.exe

2007-08-06 15:45 7,836 --a------ C:\dnsbak.reg

2007-08-06 15:30 <DIR> d-------- C:\Program Files\Trend Micro

2007-08-06 15:29 28,181 --a------ C:\WINDOWS\system32\RemoveVideoActiveXObject.reg

2007-08-06 15:29 <DIR> d-------- C:\WINDOWS\system32\RVAXO

2007-08-06 14:43 1,152 --a------ C:\WINDOWS\system32\windrv.sys

2007-08-06 14:43 <DIR> d-------- C:\Program Files\SpyNoMore

2007-08-06 14:43 <DIR> d-------- C:\Program Files\Common Files\Download Manager

2007-08-06 14:34 <DIR> d-------- C:\Program Files\XoftSpySE

2007-08-06 12:46 <DIR> d-------- C:\DOCUME~1\GEBRUI~1\APPLIC~1\Locktime

2007-08-06 12:45 <DIR> d-------- C:\Program Files\NetLimiter 2 Lite

2007-08-06 12:45 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Locktime

2007-08-05 08:53 <DIR> d-------- C:\WINDOWS\.jagex_cache_32

2007-07-08 11:34 43,520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-08-06 15:47 --------- d-------- C:\Program Files\Symantec AntiVirus

2007-08-06 14:21 --------- d--h----- C:\Program Files\InstallShield Installation Information

2007-08-06 12:45 8704 --a------ C:\WINDOWS\system32\gusur.dll

2007-08-05 22:38 --------- d-------- C:\Program Files\Omerta Script

2007-07-16 22:13 --------- d-------- C:\DOCUME~1\GEBRUI~1\APPLIC~1\Xfire

2007-07-15 11:11 --------- d-------- C:\Program Files\LimeWire

2007-07-14 17:28 --------- d-------- C:\DOCUME~1\GEBRUI~1\APPLIC~1\uTorrent

2007-07-14 12:43 --------- d---s---- C:\Program Files\Xfire

2007-07-12 03:03 82192 --a------ C:\WINDOWS\system32\perfc013.dat

2007-07-12 03:03 468568 --a------ C:\WINDOWS\system32\perfh013.dat

2007-06-25 22:46 --------- d--h----- C:\DOCUME~1\GEBRUI~1\APPLIC~1\ijjigame

2007-06-22 17:41 --------- d-------- C:\Program Files\Spyware Doctor

2007-06-22 17:35 --------- d-------- C:\DOCUME~1\GEBRUI~1\APPLIC~1\PC Tools

2007-06-22 14:30 --------- d-------- C:\Program Files\WinAce

2007-06-22 12:33 --------- d-------- C:\DOCUME~1\GEBRUI~1\APPLIC~1\Ahead

2007-06-21 21:09 552 --a------ C:\WINDOWS\system32\d3d8caps.dat

2007-06-18 14:41 --------- d-------- C:\DOCUME~1\GEBRUI~1\APPLIC~1\Hewlett-Packard

2007-06-18 14:38 82380 --a------ C:\WINDOWS\system32\drivers\AFS2K.SYS

2007-06-18 14:38 --------- d-------- C:\Program Files\Hewlett-Packard

2007-06-18 14:38 --------- d-------- C:\DOCUME~1\GEBRUI~1\APPLIC~1\Verzendmap van Share-to-Web

2007-06-11 21:41 --------- d-------- C:\Program Files\MessengerPlus! 3

2007-06-11 21:40 58952 --a------ C:\WINDOWS\system32\MsgPlusLoader.dll

2007-06-11 08:33 --------- d-------- C:\DOCUME~1\GEBRUI~1\APPLIC~1\Hamachi

2007-06-10 12:33 25544 --a------ C:\WINDOWS\system32\drivers\hamachi.sys

2007-06-10 12:33 --------- d-------- C:\Program Files\Hamachi

2007-05-16 17:31 86528 --a--c--- C:\WINDOWS\system32\dllcache\directdb.dll

2007-05-16 17:31 85504 --a--c--- C:\WINDOWS\system32\dllcache\wabimp.dll

2007-05-16 17:31 683520 --a--c--- C:\WINDOWS\system32\dllcache\inetcomm.dll

2007-05-16 17:31 683520 --a------ C:\WINDOWS\system32\inetcomm.dll

2007-05-16 17:31 510976 --a--c--- C:\WINDOWS\system32\dllcache\wab32.dll

2007-05-16 17:31 1314816 --a--c--- C:\WINDOWS\system32\dllcache\msoe.dll

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NeroFilterCheck"="C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe" [2006-01-12 17:40]

"ccApp"="C:\Program Files\Common Files\Symantec Shared\ccApp.exe" [2006-07-19 20:26]

"vptray"="C:\PROGRA~1\SYMANT~1\VPTray.exe" [2006-09-27 21:33]

"Cmaudio"="cmicnfg.cpl" []

"FLMOFFICE4DMOUSE"="C:\Program Files\Trust\MI-3500X WIRELESS MOUSE\Mouse32a.exe" [2006-12-12 16:03]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe" [2006-10-12 04:10]

"Trust Gaming mouse"="C:\Program Files\Trust\GM-4200 Gamer Mouse Optical\Panel.exe" [2005-06-13 19:17]

"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-12-22 19:00]

"nod32kui"="C:\Program Files\Eset\nod32kui.exe" [2007-04-29 22:55]

"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2007-05-15 00:22]

"MessengerPlus3"="C:\Program Files\MessengerPlus! 3\MsgPlus.exe" [2007-06-11 21:40]

"CamMonitor"="C:\Program Files\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe" [2002-10-07 00:23]

"Share-to-Web Namespace Daemon"="C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" [2002-04-17 10:42]

"SNM"="C:\Program Files\SpyNoMore\SNM.exe" [2007-01-01 15:35]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2006-10-09 12:28]

"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-08-04 02:15]

"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2006-01-24 21:28]

"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-25 10:28]

"Veoh"="C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" [2007-05-03 17:43]

C:\Documents and Settings\Gebruiker\Menu Start\Programma's\Opstarten\

Adobe Gamma.lnk - C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 20:16:50]

C:\Documents and Settings\All Users\Menu Start\Programma's\Opstarten\

WinZip Quick Pick.lnk - C:\Program Files\WinZip\WZQKPICK.EXE [2007-07-01 20:05:46]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"appinit_dlls"=MsgPlusLoader.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice"

R0 gagp30kx;Microsoft Generic AGPv3.0 Filter for K8 Processor Platforms;C:\WINDOWS\system32\DRIVERS\gagp30kx.sys

R0 speedfan;speedfan;C:\WINDOWS\system32\speedfan.sys

R1 nltdi;nltdi;\??\C:\WINDOWS\system32\drivers\nltdi.sys

R1 nod32drv;nod32drv;C:\WINDOWS\system32\drivers\nod32drv.sys

R3 cmuda;C-Media WDM Audio Interface;C:\WINDOWS\system32\drivers\cmuda.sys

R3 GMFilter Filter;GMFilter Filter;C:\WINDOWS\system32\Drivers\GMFilter.sys

S3 IKFileFlt;File Filter Driver;C:\WINDOWS\system32\drivers\ikfileflt.sys

S3 IKFileSec;File Security Driver;C:\WINDOWS\system32\drivers\ikfilesec.sys

S3 IkSysFlt;System Filter Driver;C:\WINDOWS\system32\drivers\iksysflt.sys

S3 IKSysSec;System Security Driver;C:\WINDOWS\system32\drivers\iksyssec.sys

S3 ldiskl;ldiskl;\??\C:\DOCUME~1\GEBRUI~1\LOCALS~1\Temp\ldiskl.sys

S3 PAC207;Trust WB-1400T Webcam;C:\WINDOWS\system32\DRIVERS\pfc027.sys

S3 XTrapD12;XTrapD12;\??\C:\WINDOWS\system32\XTrapD12.sys

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0c3658c2-36c0-11dc-8351-000ae6ac2fb6}]

AutoRun\command- F:\ClickMe.exe

Contents of the 'Scheduled Tasks' folder

2007-08-06 12:35:00 C:\WINDOWS\Tasks\XoftSpySE.job - C:\Program Files\XoftSpySE\XoftSpy.exe

**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-08-06 15:57:59

Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Fonts]

"\xf8\xbb\xdc\xb4\x2026\xbap\xc8 ?(?T?r?u?e?T?y?p?e?)?"="Mmj.ttf"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]

"TracesProcessed"=dword:0000068d

"TracesSuccessful"=dword:00000023

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

Completion time: 2007-08-06 15:58:48

C:\ComboFix-quarantined-files.txt ... 2007-08-06 15:58

--- E O F ---

hijackthis:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:01:19, on 6-8-2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Symantec AntiVirus\DefWatch.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\NetLimiter 2 Lite\nlsvc.exe

C:\Program Files\Eset\nod32krn.exe

C:\WINDOWS\System32\PAStiSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Symantec AntiVirus\Rtvscan.exe

C:\Program Files\NetLimiter 2 Lite\NLClient.exe

C:\WINDOWS\system32\UAService7.exe

C:\WINDOWS\system32\notepad.exe

C:\Program Files\Common Files\Symantec Shared\ccApp.exe

C:\PROGRA~1\SYMANT~1\VPTray.exe

C:\Program Files\Trust\MI-3500X WIRELESS MOUSE\Mouse32a.exe

C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe

C:\Program Files\Trust\GM-4200 Gamer Mouse Optical\Panel.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Eset\nod32kui.exe

C:\Program Files\Winamp\winampa.exe

C:\Program Files\MessengerPlus! 3\MsgPlus.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe

C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

C:\Program Files\SpyNoMore\SNM.exe

C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\Veoh Networks\Veoh\VeohClient.exe

C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\WinZip\WZQKPICK.EXE

C:\Program Files\Java\jre1.5.0_09\bin\jucheck.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\notepad.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank