Vbs_redlof.a-o

[tilburger]

BESTE MEDEGEBRUIKERS VAN HELPMIJ.

Ik heb mijn systeem zo maar even laten scannen op virussen via housecall.nl en trof tot mijn verbazing meer dan 1100 mogelijke besmettingen aan. Ze zijn allemaal besmet met het VBS_REDLOF.A-O....
Zie afbeelding.

Kan iemand mij in begrijpend nederlands uitleggen wat ik hieraan kan doen ? Cleanen gaat niet en verwijderen durf ik niet. Ze zitten namelijk allemaal in de restore-map.

O ja, ook de file; kernell.dll is besmet (dat is de enige buiten de restore map)

eh, hoe kan dat nou ? ik kan geen foto toevoegen...............vreemd

 

[Kleinkramer]

Als ze allemaal in de Restore map zitten, is er niets aan de hand.

Ga naar Start > Uitvoeren, type sysdm.cpl en druk op 'enter'.

Op het tabblad Prestaties klik je op de knop Bestandssysteem, die zich onder Geavanceerde instellingen bevindt.
Vervolgens selecteer je het tabblad Probleemoplossing en zet een vinkje naast de optie 'Systeem herstellen uitschakelen'.

Klik op OK en Sluiten om de wijzigingen op te slaan, en start nu opnieuw op.

Bij het opstarten worden de in de Restore map opgeslagen gegevens gewist, en je virus is weg.

Zet vervolgens desgewenst 'System Restore' weer aan.

En is het KerneLL.dll (met TWEE L's)?
In dat geval is het zélf een virus of trojan.

Doe dit:

Ga naar http://www.tomcoyote.org/hjt/ , en download daar 'Hijack This'.

Uitpakken, en vervolgens dubbelklikken op HijackThis.exe.
Klik op "Scan", en vervolgens op "Save Log File" , en post vervolgens de inhoud van die log hier.

Laat Hijack This niets fixen vóórdat je ons die log hebt laten zien, want het meeste mag absoluut niet weg!

 

[soiza]

Meer info: klikkerdeklik

Misschien heb je er wat aan. Tis wel in english.

 

[saldos]

Meer uitleg tilburger:

http://www.helpmij.nl/forum/showthread.php?s=&threadid=122213&highlight=restore

 

[tilburger]

""Klik op OK en Sluiten om de wijzigingen op te slaan, en start nu opnieuw op.

Bij het opstarten worden de in de Restore map opgeslagen gegevens gewist, en je virus is weg. ""

DIT HEB IK GEDAAN, MAAR NU WIL IK EERST KIJKEN OF HOUSECALL NOG STEEDS VIRUSSEN KAN VINDEN, MAAR IK KAN HOUSECALL NIET MEER DRAAIEN ?!?!?!?!
BLIJFT UPDATEN, KOMT GEEN EIND AAN. HEEFT DIT IETS TE MAKEN MET HET VIRUS ???



IK WILDE NAMELIJK EERST EVEN KIJKEN OF HET KERNEll.DLL WAS MET 2X EEN ''L'' MAAR AANGEZIEN HOUSECALL HET NIET MEER DOET WEET IK OOK NIET MEER WELK BESTAND DAT HET WAS.................

 

[Kleinkramer]

Dat heefts niets te maken met het virus. Het zat in je Restore map, en of je die nou leegt of niet, met het draaien van HouseCall heeft dat niets te maken.

En we zouden nog een Hijack This log van je krijgen.

Probeer anders even Panda Active Scan

 

[tilburger]

Ton,


ik heb nu een logfile ivm het kernell.dll bestandje. Maar om nu deze log file hier te plaatsen vind ik nogal wat. Kan ik hem niet ergens anders naar toe sturen ?
groetjes tilburger

 

[Kleinkramer]

Op alle forums die ik bezoek posten mensen continu logs.
Het is niet alsof je pincode erop staat...

 

[tilburger]

Ton,


het kernel.dll bestandje bevat maar 1 "L",

housecall deed het weer !!


Wat nu ?

 

[Kleinkramer]

Hier is die van mij. Hopelijk geeft dat wat vertrouwen...


Logfile of HijackThis v1.94.1
Scan saved at 8:28:00, on 12-6-2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar=http://g.msn.com/0SESA/enus?http://www.yahoo.com/search/ie.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page=E:\WINDOWS\System32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page=%SystemRoot%\system32\blank.htm
O2 - BHO: (no name) - {00C6482D-C502-44C8-8409-FCE54AD9C208} - E:\Program Files\TechSmith\SnagIt 6\SnagItBHO.dll (disabled by BHODemon)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - E:\Program Files\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - E:\Program Files\Siber Systems\AI RoboForm\RoboForm.dll
O2 - BHO: (no name) - {7559B76E-0222-4d77-9499-CCE9EB4EDC2F} - E:\PROGRA~1\AdShield\AdShield\AdShield.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - E:\PROGRA~1\FLASHGET\jccatch.dll (disabled by BHODemon)
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - E:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - e:\windows\googletoolbar_en_1.1.70-big.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - E:\Program Files\Siber Systems\AI RoboForm\RoboForm.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - E:\Program Files\TechSmith\SnagIt 6\SnagItIEAddin.dll
O4 - HKLM\..\Run: [Look 'n' Stop] E:\Program Files\Soft4Ever\looknstop\looknstop.exe -auto
O4 - HKLM\..\Run: [Amon] "E:\Program Files\Eset\amon.exe"
O4 - HKLM\..\Run: [NOD32POP3] "E:\Program Files\ESET\pop3scan.exe"
O4 - HKLM\..\Run: [Nod32CC] "E:\WINDOWS\System32\nod32cc.exe" -DONTSHOW
O4 - HKLM\..\Run: [BOCleanautostart] BOClean.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] E:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "E:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [RegProt] e:\program files\regprot\regprot.exe /start
O4 - HKCU\..\Run: [TClockEx] E:\Program Files\TClockEx\TCLOCKEX.EXE
O4 - HKCU\..\Run: [ClipMate6] E:\PROGRA~1\CLIPMA~1\CLIPMT61.EXE
O4 - Startup: SpywareGuard.lnk = E:\Program Files\SpywareGuard\sgmain.exe
O4 - Global Startup: TurboNote.lnk = E:\Program Files\TurboNote\tbnote.exe
O4 - Global Startup: SnagIt 6.lnk = E:\Program Files\TechSmith\SnagIt 6\SnagIt32.exe
O8 - Extra context menu item: &Maintain Block List... - E:\PROGRA~1\AdShield\AdShield\maintain.htm
O8 - Extra context menu item: &NeoTrace It! - E:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Add to &Block List... - E:\PROGRA~1\AdShield\AdShield\suppress.htm
O8 - Extra context menu item: Add to &Exclude List... - E:\PROGRA~1\AdShield\AdShield\restrict.htm
O8 - Extra context menu item: Add To &Restricted Sites - E:\WINDOWS\web\add-restricted.htm
O8 - Extra context menu item: Add To &Trusted Sites - E:\WINDOWS\web\add-trusted.htm
O8 - Extra context menu item: AdShield Option &Settings... - E:\PROGRA~1\AdShield\AdShield\settings.htm
O8 - Extra context menu item: Download All by FlashGet - E:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - E:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Fill Forms &] - file://E:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: Fill from Passcard &' - file://E:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillPass.html
O8 - Extra context menu item: Save Forms &^ - file://E:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: Add To Restricted Sites (HKLM)
O9 - Extra button: Add To Trusted Sites (HKLM)
O9 - Extra button: Fill Forms (HKLM)
O9 - Extra 'Tools' menuitem: Fill Forms &] (HKLM)
O9 - Extra button: Save (HKLM)
O9 - Extra 'Tools' menuitem: Save Forms &^ (HKLM)
O9 - Extra button: RoboForm (HKLM)
O9 - Extra 'Tools' menuitem: RF Toolbar &2 (HKLM)
O9 - Extra button: Wallpaper (HKLM)
O9 - Extra 'Tools' menuitem: &Toolbar Wallpaper (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: AdShield (HKCU)
O9 - Extra button: NeoTrace It! (HKCU)
O12 - Plugin for .spop: E:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {597C45C2-2D39-11D5-8D53-0050048383FE} (OPUCatalog Class) - http://office.microsoft.com/productupdates/content/opuc.cab
O16 - DPF: {8EDAD21C-3584-4E66-A8AB-EB0E5584767D} (Toolbar Reg Sniff Activate) - http://toolbar.google.com/data/GoogleActivate.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37655.7154861111
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DE22A7AB-A739-4C58-AD52-21F9CD6306B7} (CTAdjust Class) - http://download.microsoft.com/download/Typography/Utility/2.0b/WXP/EN-US/clearadj.cab

 

[Kleinkramer]

Een gigantische hoop ellende, waaronder dialers.
Heb je eigenlijk wel eens van spyware gehoord?

Vink het volgende aan in Hijack This, sluit dan alle browser vensters, en klik op "Fix Checked"

Daarna even opnieuw opstarten.

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL=http://66.40.21.68/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL=http://www.tinybar.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar=http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page=http://www.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant=http://www.tinybar.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch=http://drvvv.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page=http://drvvv.com/jf-home.phtml
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar=http://www.abcsearch.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant=http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default)=http://www.abcsearch.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina=file:///C:/Program%20Files/MS-Connect/Portal/portal.html

R3 - URLSearchHook: XTSearchHook Class - {6E6DD93E-1FC3-4F43-8AFB-1B7B90C9D3EB} - C:\PROGRAM FILES\XUPITER\XTSEARCH.DLL (file missing)
O1 - Hosts: 66.40.21.73 auto.search.msn.com

O2 - BHO: (no name) - {6085FB5B-C281-4B9C-8E5D-D2792EA30D2F} - (no file)

O2 - BHO: (no name) - {00000EF1-34E3-4633-87C6-1AA7A44296DA} - C:\WINDOWS\SYSTEM\LWZ.DLL
O2 - BHO: (no name) - {2662BDD7-05D6-408F-B241-FF98FACE6054} - C:\PROGRAM FILES\XUPITER\XTUPDATE.DLL (file missing)
O2 - BHO: (no name) - {000000F1-34E3-4633-87C6-1AA7A44296DA} - C:\WINDOWS\SYSTEM\FONE.DLL
O2 - BHO: (no name) - {53E10C2C-43B2-4657-BA29-AAE179E7D35C} - C:\WINDOWS\SYSTEM\BHO2.DLL

O3 - Toolbar: Xupiter - {57E69D5A-6539-4d7d-9637-775DE8A385B4} - C:\PROGRAM FILES\XUPITER\XUPITERTOOLBAR.DLL (file missing)
O3 - Toolbar: (no name) - {8FB0F3E2-5193-11d7-9F88-0050FC5441CB} - C:\WINDOWS\SYSTEM\shdocvw.dll

O16 - DPF: {018B7EC3-EECA-11D3-8E71-0000E82C6C0D} - http://huntfly.com/mp3search.exe
O16 - DPF: {AEFD32B6-4815-11D2-98E4-00C04FCEFE77} (SnCAX Class) - http://www.pilmo.com/clients/dialer.cab
O16 - DPF: {4E15D681-1D20-11D4-8B72-000021DA1956} - http://plugins.10er.nl/dildotienersnl763.exe
O16 - DPF: {9B4AA442-9EBF-11D5-8C11-0050DA4957F5} - http://www.cavello.com/dialxs/plugins/d/16/010/nl.exe
O16 - DPF: {A51DEDCD-20F7-11D4-98A5-00C0CA130748} (Tintel Class) - http://exe.dialer.tintel.nl/tcw.cab
O16 - DPF: {A45F39DC-3608-4237-8F0E-139F1BC49464} - http://php.offshoreclicks.com/dialup_files/99950551.cab
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Loader Class) - http://connect.online-dialer.com/MaConnect.cab
O16 - DPF: {A27CFCAE-9351-4D74-BFFC-21EB19693D8C} - http://www.xupiter.com/search2/install/XupiterToolbarLoader.cab
O16 - DPF: {53E10C2C-43B2-4657-BA29-AAE179E7D35C} (BHO.clsUrlSearch) - http://www.adsrvr.com/auth/IE_InstllC.exe
O16 - DPF: ConferenceRoom Java Client (BHO.clsUrlSearch) - http://chat.privatefeeds.com:8000/java/cr.cab
O16 - DPF: {946B0485-8F8C-4C35-A6E7-D2115E3B0B4F} (HTMLAccess Class) - http://usa-download.nocreditcard.net/download/Object/DialerHTML/DHTMLAccess1042.cab
O16 - DPF: {E3F7205F-2AE0-4BF0-816B-2D24A5F20EC7} (EGStripDownload Class) - http://usa-download.strip-player.com/download/stripplayer/bin/activestripsetup_minsize.cab
O16 - DPF: {841A9192-5690-11D4-A258-0040954A01BE} (DialXSCtl Object) - http://dialxs.nl/install/dialxs.ocx
O16 - DPF: {17D72920-7A15-11D4-921E-0080C8DA7A5E} (AimSp32 Class) - http//66.48.68.135/save/makeover.cab

En tenslotte even een geupdate Ad-Aware of SpyBot runnen.

 

[tilburger]

Ton,


ik heb gedaan wat je zegt, maar nu nog adaware runnen...maar hoe ?

 

[Kleinkramer]

Hoe bedoel je, "maar hoe"?

 

[saldos]

Geplaatst door tilburger
Ton,
ik heb gedaan wat je zegt, maar nu nog adaware runnen...maar hoe ?

Het is heel makkelijk.
Je klikt op "check for updates now", je haalt dan de nieuwe updates en daarna klik je op "scan now".

En het is ook handig om spybot te installeren en daarmee te scannen.

Die kun je hier krijgen:

http://security.kolla.de/index.php?lang=en&page=download

 

[tilburger]

quote:
--------------------------------------------------------------------------------
Geplaatst door tilburger
Ton,
ik heb gedaan wat je zegt, maar nu nog adaware runnen...maar hoe ?
--------------------------------------------------------------------------------



Het is heel makkelijk.
Je klikt op "check for updates now", je haalt dan de nieuwe updates en daarna klik je op "scan now".

===================================

en na scan now ????????????????????????

 

[saldos]

Geplaatst door tilburger
en na scan now ????????????????????????

Dan next en dan gaat hij scannen. Na de scan verwijder je de sotware en je klikt op Finish.

 

[tilburger]

alle virussen zitten in de restore map behalve de onderste...............?!?!?!
Mag die verwijdert worden ??

 

[saldos]

Die Kernel.dll moet je verwijderen. Verwijder hem wel in de veilige modus.

Maar let op: verwijder dus niet Kernel32.dll die dus ook in de system map zit.

 

[tilburger]

Beste luitjes, ik denk dat ik verlost ben van het "virus"

Allemaal bedankt en de vraag krijgt NU de staus opgelost !!!!!

 

[saldos]

Graag gedaan