hardnekkig virus

[wimmeke]

hallo Pieter ik hoop dat je me kan helpen want ik weet het niet meer
gisteren verschillende virussen binnengehaald,
ik heb al een hoop kunnen verwijderen met avg, bitdefender, crshredder, adaware, spybot, a-squared.
maar wat er nu nog opstaat dat lukt me niet.
alle scanners vinden niks meer, en toch nog rare dingen.
zoals pop-ups zonder dat iexplorer openstaat.
en de emailscanner van avg die slaat tilt, er komt telkens op connecting to en dan telkens een servernr, later komen er dan soms 500 mails in Outlook binnen van de scanner met de melding cannot open smtp ...
overal zit er er een reclame-email gainup in de bijlage, dus die hij proberen rond te sturen heeft.
ik heb de scanner afgezet, maar aan de groene pijltjes zie ik dat er toch nog een ander gebeurt.
ik heb die host file van jou erop gezet, nu komt dikwijls erop bij die popupsdat hij de site niet kan bereiken, maar ze blijven komen.
maar als ik eerst de originele host hernoemde dan kwam er automatisch telkens een nieuwe op, dat is ook niet normaal dacht ik.
ik heb ook gezien dat er drie dll files staan met rare namen in de system32 map, die kan ik alleen verwijderen in veilige modus, maar als ik dan gewoon opstart dan staan er telkens weer drie andere met andere rare namen.
zegt het bestand teller2.chk je iets, dit stond daar ook maar heb het voorlopig in een andere map gezet, ik weet niet of dat wegmag.
het rare is dat hijack ook niet echt problemen laat zien.
de log zit hierbij.
hopelijk kan je me verderhelpen.

Logfile of HijackThis v1.99.0
Scan saved at 20:36:40, on 19/01/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\WINDOWS\System32\GSICON.EXE
C:\WINDOWS\System32\dslagent.exe
C:\Program Files\Softwin\BitDefender8\bdnagent.exe
C:\Program Files\Microsoft Encarta\Encarta Winkler Prins Naslagbibliotheek 2006 DVD\EDICT.EXE
C:\Program Files\SysShield Tools\Internet Eraser\cseraser.exe
C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe
c:\program files\softwin\bitdefender8\bdmcon.exe
C:\WINDOWS\system32\rundll32.exe
c:\program files\softwin\bitdefender8\bdlite.exe
C:\Program Files\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: AbsoluteShield - {EE9DD090-902D-4623-9360-FB7D8666202B} - C:\Program Files\SysShield Tools\Internet Eraser\AbsoluteBar.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [BDMCon] "C:\Program Files\Softwin\BitDefender8\bdmcon.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Program Files\Softwin\BitDefender8\bdnagent.exe"
O4 - HKCU\..\Run: [E06NXLRD_1981789] "C:\Program Files\Microsoft Encarta\Encarta Winkler Prins Naslagbibliotheek 2006 DVD\EDICT.EXE" -m
O4 - Startup: AbsoluteShield Internet Eraser.lnk = C:\Program Files\SysShield Tools\Internet Eraser\cseraser.exe
O4 - Startup: ADSL connection.lnk = ?
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Common Files\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resourc ... oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BE5A53D6-02F9-4D20-8799-8CCFAF73C8F5}: NameServer = 195.238.2.22 195.238.2.21
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: BitDefender Scan Server - Unknown - C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: BitDefender Communicator - Softwin - C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe

[MandersOnline]

Wat ik je nog aanraad is om even een Scan te doen met een Online virusscanner.

Eventueel probeer je ook die van Ewido, die vind ook een hoop.

http://www.ewido.net/en/download/

[MandersOnline]

De online scanners: viewtopic.php?t=121

[wimmeke]

ok bedankt, ik ga het rijtje online scanners eens hun werk laten doen.
ik hou je op de hoogte

[MandersOnline]

Succes er mee ik hoor het wel daarna.

[wimmeke]

hoi hier ben ik weer
ik ben het hele rijtje afgegaan, maar nog altijd zelfde
ze vinden en verwijderen allemaal die bewuste dll-files, maar na het opstarten staan ze er terug.
ondertussen ben ik er wel achter wat voor infectie het is namelijk adware.look2me
via Google deze beschrijving gevonden:

Virus Name : Adware.Look2Me
Date: 08 November 2005
It is an adware program. It is written in Visual C++, and packed using Neolite. The installer is approximately of 580KB in size, and the DLL file which it installs is approximately 230KB in size.

The installer creates two copies of the dynamic link library (DLL) in the system directory. The DLL file is the main program module. The files have random names.

The program creates the following registry keys:

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6FAA7D12-F331-4B51-8D72-877A3CE20E84}\Implemented
Categories\{00021492-0000-0000-C000-000000000046}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6FAA7D12-F331-4B51-8D72-877A3CE20E84}\InprocServer32]
"Default" = <path to DLL file>

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{6FAA7D12-F331-4B51-8D72-877A3CE20E84}" = ""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ModuleUsage]
"DllName" = <path to DLL file>

This program collects information on which sites have been visited and then sends it to the server. According to visits of the websites the Advertising pop-ups may then be displayed on the victim machine.

The program can also download a configuration file from the server which enables it to change the browser start page, direct the browser to a range of pages, and download and launch other programs, some of which may be malicious.


Ik heb al een paar registersleutels gevonden waar die dll bestanden in voorkomen, die gelijkenis vertonen met de genoemde sleutels in het artikel.
zouden we het niet wegkrijgen langs het register om.
anders dan gebruik ik de zoekfunctie van registereditor, en zet alles eens onder mekaar voor je.

[MandersOnline]

Ik zit hier even te snuffelen op de website van Symantec die hebben er wel een remedie voor, maar dan dien je te starten in Veilige modus en een scan te doen.

Probeer dit eventueel met je huidige Virusscanners om de boel er mee te laten opschonen.

Daarna zul je bij Internet Explorer je startpagina en je Zoekpagina moeten aanpassen. want daar zit ook nog het een en ander in...

[r.nuis]

je moet bij het scannen ook je systeemherstel uitzetten anders heb je het virus er zo weer inzitten eerst systeemherstel uitzetten, dan opstarten in veilige modus, laten scannen met de virrusscanner ,alles verwijderen,computer opnieuw opstarten,en dan systeemherstel weer aanzetten dit moet wel werken.succes

[MandersOnline]

Ja ook verstandig, maar kan ook achteraf wel verstandiger om te doen, zeker als je plannen hebt voor systeemherstel dan beter eerst die rommel wissen, maar dan kan je ook niet terug naar een eerdere datum dan de datum waarop de boel weer is aangezet.

[wimmeke]

hoi Pieter, ik overwoog vandaag even om een format te doen want het werd alleen maar erger, om de minuut een popup en telkens ik mijn mail nakeek 500 verzonden mails naar de vreemdste adressen

toch nog een tijdje gegoogeld en ja de oplossing gevonden
er stond iets van een look2me-remover, heb die tool erop gezet en was op 5min verwijdert.
hier de link voor als je het ook ooit nodig moest hebben, het werkt super:

http://www.simplytech.it/L2MRemover/

dan heb ik nog een paar spyware programmaatjes erover laten gaan, en ook kaspersky heeft nog een en ander eraf gehaald.
ik denk dat de pc nu weer clean is

nog een paar randvraagjes als ik mag:

dat virus had verschillende registersleutels toegevoegd en veranderd, maar die stonden niet in hijack, weet je hoe dit kan komen.

laatste vraagje, kaspersky heeft nog een ander virus eraf gedaan genaamd msctl32.dll het had iets met spamgenerator te maken.
die file is eraf nu, maar er staat wel nog een sleutel in het register waarin deze vermeld staat: HLM/softw/Microsoft/WinNT/CurrVers/Winlogon, daar staat dan een sleutel onder met die naam.
Mag ik die sleutel gewoon wegdoen of kan het geen kwaad dat die er nog staat, want de file is wel weg in de syst32 map.

Alvast bedankt

[MandersOnline]

Mooi dat je er af bent.

Verder Spam generator zal ook wel een binnen gehaald stukje geweest zijn tegenwoordig halen die krengen weer iets extra's naar binnen om verder te gaan of om te verbeteren wat dan allemaal ook.

Die sleutel mag je verwijderen ja.

[wimmeke]

ok de sleutel is verwijderd
alles weer normaal tot nu toe
bedankt nogmaals voor de hulp
groetjes

[ceke]

hoi iedereen

ik zit met een probleem ik heb een virus dat spyware doorgeeft maar ik krijg hem niet weg ik heb het al geprobeerd met norton antivirus 2005 maar hij vind het niet. nu ik heb al ontdekt dat het virus niet zo een kwaad kan maar ik krijg nu wel verschrikkelijk veel spyware binnen en ik heb altijd een icoontje van onder da opspringt om te zeggen dat ik een dangerous infection was detected on your pc the system will now download and install blablabla als ik er dan op klik installeert hij een spyware ding da ik zelf niet kan gebruiken

kan iemand mij zeggen hoe ik die virus weg krijg, want dat werkt verschrikkelijk hard op mijn systeem?

dank u bij voorbaat

[MandersOnline]

Begin a.u.b. even een nieuwe discussie en Probeer eens Ewido te gebruiken.