Trojan Horse

[RoelofGeurts]

Hallo iedereen,

ik heb pas geleden een nieuwe laptop gekocht, maar ik vrees dat ik nu al een virus op mijn computer heb staan. Steeds als ik een webpagina probeer te openen krijg ik de volgene melding van Norton:

U probeert toegang te krijgen tot:

http://89.18.189.166/go/?cmp=vm_fee...gle.nl/ig&lid=http&affid=166351&v=1156&m=irq4


Dit is een bekende frauduleuze webpagina. Het is raadzaam deze webpagina NIET te bezoeken.

Deze webpagina is voor uw eigen veiligheid geblokkeerd. Bezoek Symantec voor meer informatie over phishing en internetbeveiliging. ​

Ik weet niet waar dit vandaan komt of hoe ik het kan stoppen. Na een virusscan van Norton gaf Norton de melding dat ik geinfecteerd ben met een Trojan Horse (risico hoog). Norton zelf kon dit niet verwijderen, maar handmatig is het me wel gelukt (stond in de map Temporary Internet Files). Daarnaast ondervind ik nog meer problemen. Het lijkt wel alsof (sinds deze meldingen komen) mijn toetsenbord niet meer goed werkt. Letters die in typ worden niet weergegeven, of de computer reageert niet op spaties en ingetikte letters (in dit stukje is het nu al minstens 40 keer voorgekomen). Nog erger: Systeemherstel werkt ook niet meer. Ik kan Systeemherstel wel openen en een Herstelpunt selecteren, maar wanneer de computer opnieuw is opgestart krijg ik de melding dat door een onbekende fout Systeemherstel het systeem niet heeft kunnen herstellen...

Ik ben niet echt een wizkid, dus hopelijk hebben jullie niet al te ingewikkelde oplossingen.

Alvast ontzettend bedankt voor jullie reacties/oplossingen! Hopelijk kan het verholpen worden!

 

[vanschagen]

scan eens met superantispyware http://www.superantispyware.com/ free versie downloaden en updaten en scannen
en scan eens met MBAM http://www.idealsoftware.nl/MBAM/ ook installeren en updaten en scannen

 

[RoelofGeurts]

scan eens met superantispyware http://www.superantispyware.com/ free versie downloaden en updaten en scannen
en scan eens met MBAM http://www.idealsoftware.nl/MBAM/ ook installeren en updaten en scannen

Malware heeft gescand en verwijderd, dit is het resultaat;

Malwarebytes' Anti-Malware 1.28
Database versie: 1239
Windows 6.0.6001 Service Pack 1

7-10-2008 15:57:05
mbam-log-2008-10-07 (15-57-05).txt

Scan type: Snelle Scan
Objecten gescand: 48419
Verstreken tijd: 14 minute(s), 56 second(s)

Geheugenprocessen geïnfecteerd: 0
Geheugenmodulen geïnfecteerd: 3
Registersleutels geïnfecteerd: 4
Registerwaarden geïnfecteerd: 5
Registerdata bestanden geïnfecteerd: 0
Mappen geïnfecteerd: 0
Bestanden geïnfecteerd: 15

Geheugenprocessen geïnfecteerd:
(Geen kwaadaardige items gevonden)

Geheugenmodulen geïnfecteerd:
C:\Users\Mart\AppData\Local\Temp\mlJDuuUO.dll (Trojan.Vundo) -> Delete on reboot.
C:\Windows\System32\khfCvuSi.dll (Trojan.Vundo) -> Delete on reboot.
C:\Users\Mart\AppData\Local\Temp\pmNgExuU.dll (Trojan.Vundo) -> Delete on reboot.

Registersleutels geïnfecteerd:
HKEY_CLASSES_ROOT\CLSID\{1cf662bf-4afd-4778-8306-1f0eb8284ebb} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1cf662bf-4afd-4778-8306-1f0eb8284ebb} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.

Registerwaarden geïnfecteerd:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msserver (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cmds (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{1cf662bf-4afd-4778-8306-1f0eb8284ebb} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msserver (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\fcb1081b (Trojan.Vundo) -> Quarantined and deleted successfully.

Registerdata bestanden geïnfecteerd:
(Geen kwaadaardige items gevonden)

Mappen geïnfecteerd:
(Geen kwaadaardige items gevonden)

Bestanden geïnfecteerd:
C:\Users\Mart\AppData\Local\Temp\pmNgExuU.dll (Trojan.Vundo) -> Delete on reboot.
C:\Users\Mart\AppData\Local\Temp\mlJDuuUO.dll (Trojan.Vundo) -> Delete on reboot.
C:\Windows\System32\khfCvuSi.dll (Trojan.Vundo) -> Delete on reboot.
C:\Windows\System32\ddcBTLee.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\Mart\AppData\Local\Temp\tmp00011623 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\Mart\AppData\Local\Temp\tmp0024e88c (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\Mart\AppData\Local\Temp\tuVpPjhE.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\Mart\AppData\Local\Temp\mwcwpmgk.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\Mart\AppData\Local\Temp\vgpgtsfh.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\Mart\AppData\Local\Temp\awtqrqqQ.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\Mart\AppData\Local\Temp\bspalkcj.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\Mart\AppData\Local\Temp\gyoicehg.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\Mart\number.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\Mart\serial.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\Mart\AppData\Local\Temp\bvkcbecf.dll (Trojan.Vundo) -> Delete on reboot.


Bij sommige bestanden staat 'Delete on reboot'. Moet ik hier nog iets mee doen? M'n toetsenbord heeft nog steeds hetzelfde euvel (dat de computer soms niet reageert op ingetypte letters...)

 

[vanschagen]

trojan vundo heb je dus last van of is het nu over?
en trojan downloader is het nu over je probleem?


plaats anders een hijackthis logje op www.hijackthis.nl hoe en wat staat allemaal uitgelegd op die site en leg hun je probllem voor

 

[JordiFCDB]

Het is waarschijnlijk pas weg als je je computer even opnieuw opstart. Als je er dan nog last van hebt, probeer dan eens VundoFix. (moet je even op Google zoeken)

 

[RoelofGeurts]

Sorry voor de late reactie. De reboot duurde nogal lang. Het typprobleem lijkt nu verholpen, daarvoor alvast grote dank! :thumb:

Na het opstarten heb ik tot op heden ook geen pagina's meer gezien over frauduleuze webpagina's (zie beginpost). Daarvoor is ook mijn dank groot! :thumb:

Het enige waar ik nog steeds last van heb is dat als ik mijn computer opstart er meldingen worden gegeven dat twee DLL-bestanden (.dll) niet kunnen worden gevonden/gestart kunnen worden. Nu kan ik wel via Systeemconfiguratie deze bestanden uitschakelen bij het opstarten, maar ik wil ze graag ook verwijderen. Kan dit, en zo ja, hoe?

 

[RoelofGeurts]

Het gaat om de volgende twee items/bestanden:

Item voor opstarten: cmds
Fabrikant: onbekend
Opdracht: rundll32.exe C:\Users\All\AppData\Local\Temp\mlJDuuUO.dll,c

Item voor opstarten: MSServer
Fabrikant: onbekend
Opdracht: rundll32.exe C:\Users\All\AppData\Local\Temp\pmNgExuU.dll,#1

Hoe kan ik ze verwijderen of zou ik ze moeten laten staan omdat het belangrijke bestanden zijn?

 

[vanschagen]

ze staan n een temp map die kun je dus verwijderen
wil het verwijderen niet dan unlocker gebruiken http://ccollomb.free.fr/unlocker/