Antimalware doctor

[tomvanmaris]

Hoihoi,

Sinds gisteren heb ik een probleem met de pc op mijn werk.
Er is perongeluk een of ander nep programma geinstalleerd en krijg nu ook allemaal foutmelding vna Norman binnen.

Hoe verwijder ik dit allemaal?

Groetjes Tom



p.s.
zie plaatjes voor verduidelijking

Zoals je bij 2e plaatje ziet wordt je gehele scherm grijs en kan je niks meer aanklikken etc.

 

[frankwannet]

Hoi...

zou je eerst eens dit stappenplan willen volgen?

 

[tomvanmaris]

Heb de scanners hun werk laten doen, maar programma is nog steeds actief op mijn pc.

Log van het eerste programma in de lijst:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Databaseversie: 4162

Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

2-6-2010 10:33:38
mbam-log-2010-06-02 (10-33-38).txt

Scantype: Volledige scan (C:\|D:\|)
Objecten gescand: 227884
Verstreken tijd: 44 minuut/minuten, 7 seconde(n)

Geheugenprocessen geïnfecteerd: 1
Geheugenmodulen geïnfecteerd: 1
Registersleutels geïnfecteerd: 14
Registerwaarden geïnfecteerd: 4
Registerdata geïnfecteerd: 1
Mappen geïnfecteerd: 0
Bestanden geïnfecteerd: 67

Geheugenprocessen geïnfecteerd:
C:\RECYCLER\S-1-5-21-0376385188-0264731563-759001930-9206\mgrls32.exe (Worm.Autorun.B) -> Unloaded process successfully.

Geheugenmodulen geïnfecteerd:
C:\WINDOWS\system32\rbxmmjlh.dll (Adware.EZlife) -> Delete on reboot.

Registersleutels geïnfecteerd:
HKEY_CLASSES_ROOT\cscrptxt.cscrptxt (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{5140009b-b613-4d1c-847c-7fc77cf6e970} (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{5140009b-b613-4d1c-847c-7fc77cf6e970} (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{5140009b-b613-4d1c-847c-7fc77cf6e970} (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5140009b-b613-4d1c-847c-7fc77cf6e970} (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{e0ec6fba-f009-3535-95d6-b6390db27da1} (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\cscrptxt.cscrptxt.1.0 (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{38061edc-40bb-4618-a8da-e56353347e6d} (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{7b6a2552-e65b-4a9e-add4-c45577ffd8fd} (Adware.EZLife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\adshothlpr.adshothlpr (Adware.Adrotator) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\adshothlpr.adshothlpr.1.0 (Adware.Adrotator) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.

Registerwaarden geïnfecteerd:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\vxxajolv• (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\vxxajolv• (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\dkbkummeomfu (Trojan.Agent) -> Quarantined and deleted successfully.

Registerdata geïnfecteerd:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (Explorer.exe rundll32.exe ngts.vao uvibls) Good: (Explorer.exe) -> Quarantined and deleted successfully.

Mappen geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)

Bestanden geïnfecteerd:
C:\RECYCLER\S-1-5-21-0376385188-0264731563-759001930-9206\mgrls32.exe (Worm.Autorun.B) -> Delete on reboot.
C:\Documents and Settings\AndreD\vxxajolv•.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vxxajolv•.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\rbxmmjlh.dll (Adware.EZlife) -> Delete on reboot.
C:\Documents and Settings\AndreD\Local Settings\Temp\842.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\AndreD\Local Settings\Temp\877.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\AndreD\Local Settings\Temp\893.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Documents and Settings\AndreD\Local Settings\Temp\906.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\AndreD\Local Settings\Temp\944.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Documents and Settings\AndreD\Local Settings\Temp\945.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\AndreD\Local Settings\Temp\husu.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\AndreD\Local Settings\Temp\ieyih.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\AndreD\Local Settings\Temp\338.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\AndreD\Local Settings\Temp\394.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\AndreD\Local Settings\Temp\bohvby.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Documents and Settings\AndreD\Local Settings\Temp\uaufqma.exe (Trojan.Oficla) -> Quarantined and deleted successfully.
C:\Documents and Settings\AndreD\Local Settings\Temp\~TM62.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\AndreD\Local Settings\Temp\~TM68.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\AndreD\Local Settings\Temp\100.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Documents and Settings\AndreD\Local Settings\Temp\143.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\AndreD\Local Settings\Temp\183.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Documents and Settings\AndreD\Local Settings\Temp\210.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Documents and Settings\AndreD\Local Settings\Temp\237.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\AndreD\Local Settings\Temp\423.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Documents and Settings\AndreD\Local Settings\Temp\466.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\AndreD\Local Settings\Temp\477.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Documents and Settings\AndreD\Local Settings\Temp\483.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Documents and Settings\AndreD\Local Settings\Temp\492.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\AndreD\Local Settings\Temp\493.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\AndreD\Local Settings\Temp\590.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Documents and Settings\AndreD\Local Settings\Temp\607.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\AndreD\Local Settings\Temp\659.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Documents and Settings\AndreD\Local Settings\Temp\769.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\AndreD\Local Settings\Temp\780.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\AndreD\Local Settings\Temporary Internet Files\Content.IE5\0YXWYUYV\loaderadv600[1].exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\AndreD\Local Settings\Temporary Internet Files\Content.IE5\0YXWYUYV\gnemtrzxsn[1].htm (Virus.Virut) -> Quarantined and deleted successfully.
C:\Documents and Settings\AndreD\Local Settings\Temporary Internet Files\Content.IE5\1FSB55OD\rvqxfn[1].htm (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\AndreD\Local Settings\Temporary Internet Files\Content.IE5\67XP92OR\hypwhc[1].htm (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\AndreD\Local Settings\Temporary Internet Files\Content.IE5\67XP92OR\rp3131[1].exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\AndreD\Local Settings\Temporary Internet Files\Content.IE5\7QKOE6BV\yptozgozmu[1].htm (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Documents and Settings\AndreD\Local Settings\Temporary Internet Files\Content.IE5\AO0B21A8\wzdcjrp[1].htm (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\AndreD\Local Settings\Temporary Internet Files\Content.IE5\EWT344AJ\gnemtrzxsn[1].htm (Virus.Virut) -> Quarantined and deleted successfully.
C:\Documents and Settings\AndreD\Local Settings\Temporary Internet Files\Content.IE5\EWT344AJ\gnemtrzxsn[2].htm (Virus.Virut) -> Quarantined and deleted successfully.
C:\Documents and Settings\AndreD\Local Settings\Temporary Internet Files\Content.IE5\K30REAEQ\yptozgozmu[1].htm (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Documents and Settings\AndreD\Local Settings\Temporary Internet Files\Content.IE5\M2PUNT1C\rvqxfn[1].htm (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\AndreD\Local Settings\Temporary Internet Files\Content.IE5\M2PUNT1C\rvqxfn[2].htm (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\AndreD\Local Settings\Temporary Internet Files\Content.IE5\OJJP4IMS\rp3131[1].exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\AndreD\Local Settings\Temporary Internet Files\Content.IE5\OMP7KXFX\wzdcjrp[1].htm (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\AndreD\Local Settings\Temporary Internet Files\Content.IE5\T1FX7F67\rp3131[1].exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\AndreD\Local Settings\Temporary Internet Files\Content.IE5\T1FX7F67\rp3131[2].exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\AndreD\Local Settings\Temporary Internet Files\Content.IE5\T1FX7F67\loaderadv600[1].exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\AndreD\Local Settings\Temporary Internet Files\Content.IE5\TAP772SC\gnemtrzxsn[1].htm (Virus.Virut) -> Quarantined and deleted successfully.
C:\Documents and Settings\AndreD\Local Settings\Temporary Internet Files\Content.IE5\VE6YTCPT\pr3xy[1].data (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Documents and Settings\AndreD\Local Settings\Temporary Internet Files\Content.IE5\VE6YTCPT\wzdcjrp[1].htm (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\AndreD\Local Settings\Temporary Internet Files\Content.IE5\W4RJNU2P\hypwhc[1].htm (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\AndreD\Local Settings\Temporary Internet Files\Content.IE5\W4RJNU2P\hypwhc[2].htm (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\AndreD\Local Settings\Temporary Internet Files\Content.IE5\ZDQAEGOW\yptozgozmu[1].htm (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{03FC1E3F-6BED-4081-9D0A-983C1DFF58B7}\RP821\A0042355.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{03FC1E3F-6BED-4081-9D0A-983C1DFF58B7}\RP821\A0042356.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{03FC1E3F-6BED-4081-9D0A-983C1DFF58B7}\RP822\A0047756.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{03FC1E3F-6BED-4081-9D0A-983C1DFF58B7}\RP822\A0047758.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{03FC1E3F-6BED-4081-9D0A-983C1DFF58B7}\RP822\A0047968.exe (SpamTool.Rlsloup) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{03FC1E3F-6BED-4081-9D0A-983C1DFF58B7}\RP822\A0048279.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{03FC1E3F-6BED-4081-9D0A-983C1DFF58B7}\RP822\A0048281.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\ffisbkiw.sys (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\wbem\grpconv.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\qweexeyepvvsvqu.dll (Trojan.Agent) -> Delete on reboot.


Wie kan mij verder helpen?

 

[frankwannet]

UIt je overzicht:
HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.

Enne...je was behoorlijk vuil.

 

[tomvanmaris]

Ja, er staat dat het verwijderd is.
Maar als ik Pc opnieuw opstart, komt het programma wel steeds te voorschijn.

dus iemand nog een idee?

 

[mrmusic]

Handleiding om het te verwijderen, goed lezen en stap voor stap doen!

http://www.bleepingcomputer.com/virus-removal/remove-antimalware-doctor

 

[Gammo123]

Handleiding om het te verwijderen, goed lezen en stap voor stap doen!

http://www.bleepingcomputer.com/virus-removal/remove-antimalware-doctor

Een Malwarebytes' Anti-Malware-scan heeft ie al uitgevoerd en dat heeft het probleem niet opgelost. Blijkbaar detecteert het programma de variant waarmee Tom besmet is niet.

Malwarebytes' Anti-Malware (MBAM) heeft wel een aantal registersleutels verwijderd, maar niet de complete infectie. Het belangrijkste deel (de registerwaarde waardoor Antimalware Doctor wordt opgestart en het bijbehorende bestand) heeft ie niet gevonden en verwijderd.

Er zijn blijkbaar meer 'geavanceerde' programma's (zoals b.v. HijackThis) nodig. Hier op Helpmij gebruiken we dit soort programma's alleen niet. Een aantal Nederlandstalige fora die je wel verder kunnen helpen zijn:

• Nucia Security Forums
• BlueMedicine Security Forum
• HijackThis.nl

Tom, ik stel voor dat je je op één van de bovenstaande forums registreert en daar je probleem uitlegt. :thumb:

MBAM heeft ook een rootkit gevonden. Het programma is alleen vaak niet in staat om dit soort infecties succesvol te verwijderen, dus dat is nog een extra reden om je pc te laten controleren op één van de eerdergenoemde gespecialiseerde forums.

 

[tomvanmaris]

Ok bedankt voor je uitleg. En zal het resultaat nog laten weten.

Groeten Tom

 

[mrmusic]

@ Gammo123

Een Malwarebytes' Anti-Malware-scan heeft ie al uitgevoerd en dat heeft het probleem niet opgelost. Blijkbaar detecteert het programma de variant waarmee Tom besmet is niet.

Dan heb je mijn linkje niet goed gelezen!!!!!!!

Er staat daar toch echt duidelijk, dat het ook niet zomaar kan met Mbam, maar dat het op een speciale manier moet!!!!

 

[Gammo123]

Bedoel je dat je eerst Rkill moet gebruiken?

Sommige infecties verhinderen het gebruik van programma's zoals MBAM. Rkill beëindigd een aantal malwareprocessen waarvan het bekend is dat ze dit soort gedrag vertonen, zodat je daarna wel gewoon MBAM kan gebruiken om de infectie te verwijderen. Rkill verwijdert zelf niets.

De gebruiker kon wel gelijk MBAM gebruiken, dus Rkill is overbodig in dit geval.

 

[mrmusic]

Rkill is NIET overbodig, pppffff

Als je dat NIET doet, en de rest van die handleiding niet volgt, werkt Mbam wel, maar verwijdert de infectie niet!!!!!!!

Heb al talloze pc's op die manier schoon gemaakt, volg de handleiding en het werkt perfect!

 

[Gammo123]

Als je dat NIET doet, en de rest van die handleiding niet volgt, werkt Mbam wel, maar verwijdert de infectie niet!!!!!!!

Dat is volgens mij niet waar hoor. MBAM detecteert de infectie nu niet, en dat zal ie ook niet doen wanneer het proces beëindigd is. Of dat het malwareproces wel of niet actief is, zou niets uit moeten maken voor de detectie van MBAM.

 

[mrmusic]

Dus jij zegt:

- die hele handleiding van de link werkt net
- en ik zit hier te liegen
- en jij weet het beter

:evil::evil: veel plezier hier verder! pppfff

 

[Gammo123]

Dat hoor je me helemaal niet zeggen. Jij vertekent mijn standpunt. Met het-op-de-man-spelen ga je deze discussie echt niet winnen hoor.

 

[mrmusic]

@ TS:

Doe gewoon zoals in mijn gegeven link staat en je probleem is keurig opgelost!:thumb:

 

[Gammo123]

mrmusic, ik zie dat tomvanmaris al een topic op Nucia heeft geopend: http://www.nucia.eu/forum/showthread.php?t=57961

Ik stel voor dat we maar gewoon stoppen met onze discussie, oké? :thumb:

 

[huijb]

Lijkt me ook heel verstandig. Graag horen we uiteraard wel de uitkomst.

 

[Gammo123]

De uitkomst is niet zo mooi: Virut. Tom moet dus zijn harde schijf formatteren en Windows opnieuw installeren.

 

[huijb]

@RuttenM Graag een eigen vraag maken a.u.b. Het is niet netjes om in een ander zijn of haar vraag jouw probleem aan de orde te stellen. Bovendien is het verwarrend voor de helpers en de oorspronkelijke vragensteller.