log

Status
Niet open voor verdere reacties.
G

grenzlooz

Gebruiker
Lid geworden
31 aug 2004
Berichten
48
oke,hier nu (eindelijk) mijn goed gemaakte log.
virusscans gedaan,ad aware gedraait.
ik hoop dat u me kunt helpen.
bvd

Logfile of HijackThis v1.98.2
Scan saved at 20:19:47, on 2-9-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\updater.exe
C:\WINDOWS\System32\atiptaxx.exe
C:\WINDOWS\System32\AntiVirus.exe
C:\WINDOWS\System32\regsv.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
c:\WINDOWS\system32\userlist.exe
c:\WINDOWS\system32\runbatch.exe
C:\Program Files\HJT\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Microsoft Updiate] updater.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Local Service] runndll.exe
O4 - HKLM\..\Run: [AntiVirus Update] AntiVirus.exe
O4 - HKLM\..\Run: [microsoft Update] regsv.exe
O4 - HKLM\..\RunServices: [Microsoft Updiate] updater.exe
O4 - HKLM\..\RunServices: [Local Service] runndll.exe
O4 - HKLM\..\RunServices: [AntiVirus Update] AntiVirus.exe
O4 - HKLM\..\RunServices: [microsoft Update] regsv.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ATI Launchpad] "C:\Program Files\ATI Multimedia\main\launchpd.exe"
O4 - HKCU\..\Run: [Microsoft Updiate] updater.exe
O4 - HKCU\..\Run: [AntiVirus Update] AntiVirus.exe
O4 - HKCU\..\Run: [microsoft Update] regsv.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1093979830374
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
 
Geplaatst door grenzlooz

O4 - HKLM\..\Run: [Microsoft Updiate] updater.exe
O4 - HKLM\..\Run: [Local Service] runndll.exe
O4 - HKLM\..\Run: [AntiVirus Update] AntiVirus.exe
O4 - HKLM\..\Run: [microsoft Update] regsv.exe
O4 - HKLM\..\RunServices: [Microsoft Updiate] updater.exe
O4 - HKLM\..\RunServices: [Local Service] runndll.exe
O4 - HKLM\..\RunServices: [AntiVirus Update] AntiVirus.exe
O4 - HKLM\..\RunServices: [microsoft Update] regsv.exe
O4 - HKCU\..\Run: [Microsoft Updiate] updater.exe
O4 - HKCU\..\Run: [AntiVirus Update] AntiVirus.exe
O4 - HKCU\..\Run: [microsoft Update] regsv.exe
Klik om te vergroten...

Hoi Grenzlooz,

Doe niet zo eng met je "U" :D Ik ben gewoon "jij", en daarmee uit ;)

1. Vink bovenstaande aan in HijackThis, sluit alle andere vensters en browsers, en klik op Fix checked.

2. Start opnieuw op in veilige modus, en ga naar Start - Zoeken.

Zoek naar "runndll.exe" (zoek dus naar het bestand met DUBBEL-N, de rundll.exe is namelijk oke). Mocht je het vinden, verwijder het.

3. Start opnieuw op in normale modus, en draai:
- BitDefender
- TrendMicro

4. Start nogmaals opnieuw op, maak een nieuw logje aan met HijackThis en post dat hier.
 
ik heb het bestand: runndll.exe-up gevonden.
die verwijderen?

niet alles stond in de lijst trouwens,maar ik heb alles aangevinkt wat er wel tussen stond
 
Geplaatst door grenzlooz
ik heb het bestand: runndll.exe-up gevonden.
die verwijderen?

niet alles stond in de lijst trouwens,maar ik heb alles aangevinkt wat er wel tussen stond
Klik om te vergroten...

Inderdaad, maar ik neem aan dat je die nog niet verwijderd hebt en hebt gereboot in normale modus? Zo ja, fix dan weer even de entries die ik hierboven omschreef, voorzover ze er nog zijn. Start hierna opnieuw op en verwijder dat bestandje :)
 
Ik heb alles gedaan wat JE hebt gezegd,alleen kon de virusscanners niet alles verwijderen(wel meer dan eerst).
''Backdoor.SDBot'' wordt in alle viruswaarschuwingen gevonden.

O4 - HKLM\..\Run: [AntiVirus Update] AntiVirus.exe
O4 - HKLM\..\RunServices: [AntiVirus Update] AntiVirus.exe

deze stonden niet in het log,maar zag ik wel in de lijst van virussen staan.

verstandig om maar een format c: te doen? aangezien de bootsector nu wel virusvrij was?


hier mijn nieuwe log:


Logfile of HijackThis v1.98.2
Scan saved at 21:24:47, on 2-9-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\atiptaxx.exe
C:\WINDOWS\System32\ctfmon.exe
c:\WINDOWS\system32\userlist.exe
c:\WINDOWS\system32\runbatch.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ATI Launchpad] "C:\Program Files\ATI Multimedia\main\launchpd.exe"
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1093979830374
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
 
Laatst bewerkt:
Geplaatst door grenzlooz
Klik om te vergroten...

Kijk eens aan... :thumb:

Helemaal schoon weer :)

Ga je dit wel zo schoon houden? Ik zie geen Firewall of Anti-virus -programma draaien, hoog tijd dat je er eentje aanschaft (of je moet die rotzooi natuurlijk weer op je PC willen hebben).
 
zal ik maar een format c: doen,aangezien de bootsector nu schoon wordt gegeven?
 
:8-0: Hoezo een format als je PC schoon is? :8-0:
 
ehhm,hij kan enkele virussen niet verwijderen.

zie mijn text met laatst geplaatste log
 
Start eens opnieuw op, en draai de scan die de virussen vond opnieuw. Vindt hij nog wat? Zo ja, zou je een format kunnen overwegen, maar dat lijkt me erg onnodig, Zo nee, dan is je PCtje weer helemaal schoon van virussen, spyware en andere rotzooi :)
 
na format c blijft ad aware dit vinden:

MRU

HKEY_local_machine:sotfware\microsoft\directdraw\mostrecentapplication\


bitdefender vind dit:

C:\WINDOWS\system32\rpcxcmod.exe=>(Yoda 1.2)=>(Upx) infected: Backdoor.SDBot.Gen
C:\WINDOWS\system32\rpcxcmod.exe=>(Yoda 1.2)=>(Upx) unable to disinfect

trend vind dit:

BKDR_RBOT.M C:WINDOWS\system32\runndll.exe

virusaktie: KANNIETBENADEREN




is het toch mischien nog niet goed?
(sorry,ik weet het,ben een redelijke leek)
 
Laatst bewerkt:
Kun je de bestanden niet handmatig verwijderen.
Desnoods in Veilige modus?
 
het blijft wel vreemd dat ad aware dat stuk spyware meteen weer vind,en zeover ik weet is HKEY toch register? ik ben al 2 dagen bezig,en mijn conclusie is dat de virussen het gevolg zijn van dat stuk spy,aangezien het elke keer terugkeerd.

Ik heb nu ook direct na het klikken op c:,de map ''kk''.
zonder verdere extensies of wat dan ook.

voor het formateren stond er ook een map daar,maar die heette scet
 
Laatst bewerkt:
Hoi GrenzLooz,

Je moet die MRU's niet fixen, deze zijn oke. Maak je daar maar geen zorgen over.

Plaats nog eens een nieuw logje? Dan kan ik kijken of er toch nog iets gevaarlijks tussen staat :)
 
hier opnieuw mijn log


Logfile of HijackThis v1.98.2
Scan saved at 15:24:37, on 3-9-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\winupdate.exe
C:\WINDOWS\System32\systems.exe
C:\WINDOWS\System32\wmplayer.exe
C:\WINDOWS\System32\sysentry32.exe
C:\WINDOWS\System32\wissmsgr.exe
C:\WINDOWS\System32\AntiVirus.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\rpcxcmod.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\HJT\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Win Updater] winupdater.exe
O4 - HKLM\..\Run: [Local Service] runndll.exe
O4 - HKLM\..\Run: [Media Player] wmplayer.exe
O4 - HKLM\..\Run: [System Setup] rpcxcmod.exe
O4 - HKLM\..\Run: [Win32 USB2 Driver] winupdate.exe
O4 - HKLM\..\Run: [Services] C:\kk.exe
O4 - HKLM\..\Run: [System Service] systems.exe
O4 - HKLM\..\Run: [System Uptime Server] sysentry32.exe
O4 - HKLM\..\Run: [Microsoft service Machines] wissmsgr.exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\qxbuig.exe
O4 - HKLM\..\Run: [AntiVirus Update] AntiVirus.exe
O4 - HKLM\..\RunServices: [Win Updater] winupdater.exe
O4 - HKLM\..\RunServices: [Local Service] runndll.exe
O4 - HKLM\..\RunServices: [Media Player] wmplayer.exe
O4 - HKLM\..\RunServices: [System Setup] rpcxcmod.exe
O4 - HKLM\..\RunServices: [Win32 USB2 Driver] winupdate.exe
O4 - HKLM\..\RunServices: [System Service] systems.exe
O4 - HKLM\..\RunServices: [System Uptime Server] sysentry32.exe
O4 - HKLM\..\RunServices: [Microsoft service Machines] wissmsgr.exe
O4 - HKLM\..\RunServices: [AntiVirus Update] AntiVirus.exe
O4 - HKLM\..\RunOnce: [Win32 USB2 Driver] winupdate.exe
O4 - HKLM\..\RunOnce: [System Service] systems.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Win Updater] winupdater.exe
O4 - HKCU\..\Run: [Local Service] runndll.exe
O4 - HKCU\..\Run: [Win32 USB2 Driver] winupdate.exe
O4 - HKCU\..\Run: [System Service] systems.exe
O4 - HKCU\..\Run: [System Setup] rpcxcmod.exe
O4 - HKCU\..\Run: [Microsoft service Machines] wissmsgr.exe
O4 - HKCU\..\Run: [AntiVirus Update] AntiVirus.exe
O4 - HKCU\..\RunOnce: [Win32 USB2 Driver] winupdate.exe
O4 - HKCU\..\RunOnce: [System Service] systems.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1094157104850
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
 
Laatst bewerkt:
Ik ben een beetje ten einde raad,ik draai alleen nog maar in de veilige modus,en internet doet het nog maar af en toe.
de virusscanners kunnen dit:

Trojan.Downloader.Winupdt.A

Backdoor.SDBot.gen

niet verwijderen.

ik kan ook nergens tools vinden om die te verwijderen.
Het breidt zich ook uit(logisch waarschijnlijk),want er zijn steeds meer bestanden geinfecteerd.
 
:8-0: Zo erg geinfecteerd alweer :(

Dit zal helaas toch een format worden, vrees ik :confused:
 
Ja,en dat wordt alweer de 4e(!!!) keer in 3 dagen.

elke keer blijft backdoor.sdbot.gen weer terugkomen:confused: :(
 
Geplaatst door grenzlooz
Ja,en dat wordt alweer de 4e(!!!) keer in 3 dagen.

elke keer blijft backdoor.sdbot.gen weer terugkomen:confused: :(
Klik om te vergroten...


Installeer dan deze keer na de format en installatie een antivirusprogramma en vooral ook een firewall en doe dat vóórdat je voor de eerste keer internetverbinding maakt.

Je zou bijvoorbeeld nu een firewall kunnen downloaden (desnoods op een andere pc dan jouw geïnfecteerde pc) en op floppy of cd kunnen zetten en dan na de format vanaf die floppy of cd op je pc kunnen zetten. Je zou ook de firewall van xp kunnen aanzetten.

Zorg in ieder geval dat de firewall erop staat vóórdat je voor het eerst met je schone pc internetverbinding maakt.
 
Status
Niet open voor verdere reacties.
                    Steun ons                    

Nieuwste berichten

Terug
Bovenaan Onderaan