Beste mensen, ook ik heb problemen met trojan.vundo a.k.a. Virumondo

De problemen die ik ondervond: Zware schokken tijdens iedere actie die ik onderneem.
Spyware gevonden met spydoctor, spybot en MAM.
Tevens kan ik amper op internet komen, en mijn email helemaal niet checken.

Ik heb net een nieuwe Windows-installatie gedaan, nog voor ik internetnet had aangesloten, begonnen de problemen alweer. Bijna geen prgramma's op mijn pc nu, draai XP op een vista-pc, en toch valt er bijna niet mee te werken.
Hieronder mijn HijackThis logje, ik hoop dat jullie mij kunnen helpen :bow:

Logfile of HijackThis v1.99.1
Scan saved at 16:51:59, on 9-8-2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ESET\ESET Smart Security\ekrn.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\Program Files\ASUS\AI Remote\AiRc.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\G oogleToolbarNotifier.exe
C:\Program Files\ASUS\AI Remote\AiRemote.exe
C:\Program Files\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe
C:\Program Files\Linksys Wireless-G PCI Wireless Network Monitor\WMP54Gv4.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: C:\WINDOWS\system32\vozutiso.dll - {AC2DB3EF-47FC-4007-B099-9E148F4DD954} - C:\WINDOWS\system32\vozutiso.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [Ai Remote Help] "C:\Program Files\ASUS\AI Remote\AiRc.exe"
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [nifalumujo] Rundll32.exe "C:\WINDOWS\system32\hememefo.dll",s
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [BM738fe663] Rundll32.exe "C:\WINDOWS\system32\pooowgxf.dll",s
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "D:\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\G oogleToolbarNotifier.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\kawolumi.dll
O20 - Winlogon Notify: tuvSIARi - tuvSIARi.dll (file missing)
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: WMP54Gv4SVC - Unknown owner - C:\Program Files\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe" "WMP54Gv4.exe (file missing)

Hoi Frenkie,

Ik ga even naar je logje kijken.

Ik ben nog wel in de opleiding dus het kan wat langer duren omdat ik mee fix eerst moet laten controleren.

- Niels

geen enkel probleem, ben al blij met de snelle reactie :D

vanwege de verse windows is het logje vast niet te lang :)

bedankt

Hier is bovendien nog een MBAM-log (behoorlijk geïnfecteerd :( )

Malwarebytes' Anti-Malware 1.24
Database versie: 1035
Windows 5.1.2600 Service Pack 2
17:34:12 9-8-2008
mbam-log-8-9-2008 (17-34-05).txt
Scan type: Snelle Scan
Objecten gescand: 38939
Verstreken tijd: 1 minute(s), 46 second(s)
Geheugenprocessen geïnfecteerd: 0
Geheugenmodulen geïnfecteerd: 3
Registersleutels geïnfecteerd: 7
Registerwaarden geïnfecteerd: 2
Registerdata bestanden geïnfecteerd: 2
Mappen geïnfecteerd: 0
Bestanden geïnfecteerd: 13
Geheugenprocessen geïnfecteerd:
(Geen kwaadaardige items gevonden)
Geheugenmodulen geïnfecteerd:
C:\WINDOWS\system32\vozutiso.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\hememefo.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\kawolumi.dll (Trojan.Vundo) -> No action taken.
Registersleutels geïnfecteerd:
HKEY_CLASSES_ROOT\CLSID\{ac2db3ef-47fc-4007-b099-9e148f4dd954} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{ac2db3ef-47fc-4007-b099-9e148f4dd954} (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IProxyProvid er (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.
Registerwaarden geïnfecteerd:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\nifalumujo (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\bm738fe663 (Trojan.Agent) -> No action taken.
Registerdata bestanden geïnfecteerd:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo) -> Data: c:\windows\system32\kawolumi.dll -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\LSA\Notification Packages (Trojan.Vundo) -> Data: c:\windows\system32\kawolumi.dll -> No action taken.
Mappen geïnfecteerd:
(Geen kwaadaardige items gevonden)
Bestanden geïnfecteerd:
C:\WINDOWS\system32\vozutiso.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\hememefo.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\kawolumi.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\wkqufoiw.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\iifeebYP.dll (Trojan.Vundo) -> No action taken.
C:\Documents and Settings\Frenkie\Local Settings\Temporary Internet Files\Content.IE5\G56ZGX6Z\CAKTUBW5 (Trojan.Vundo) -> No action taken.
C:\Documents and Settings\Frenkie\Local Settings\Temporary Internet Files\Content.IE5\GXIJ0PU3\upd10935[1] (Trojan.Vundo) -> No action taken.
C:\Documents and Settings\Frenkie\Local Settings\Temporary Internet Files\Content.IE5\OPE34LYZ\kb456456[1] (Trojan.Vundo) -> No action taken.
C:\WINDOWS\cookies.ini (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\pooowgxf.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\pskt.ini (Trojan.Vundo) -> No action taken.
C:\WINDOWS\BM738fe663.xml (Trojan.Vundo) -> No action taken.
C:\WINDOWS\BM738fe663.txt (Trojan.Vundo) -> No action taken.

Hoi Frenkie,

Je gebruikt nog een oude versie van Hijackthis.

1. Download HijackThis (http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe) en sla deze op je bureaublad op.
Open HJTinstall.exe om HijackThis te installeren. Er word vervolgens een snelkoppeling naar Hijackthis op je bureaublad gemaakt.

2. Start Hijackthis en zet een vinkje voor de volgende regels (indien aanwezig):

O2 - BHO: C:\WINDOWS\system32\vozutiso.dll - {AC2DB3EF-47FC-4007-B099-9E148F4DD954} - C:\WINDOWS\system32\vozutiso.dll
O4 - HKLM\..\Run: [nifalumujo] Rundll32.exe "C:\WINDOWS\system32\hememefo.dll",s
O4 - HKLM\..\Run: Rundll32.exe "C:\WINDOWS\system32\pooowgxf.dll",s
O20 - AppInit_DLLs: C:\WINDOWS\system32\kawolumi.dll
O20 - Winlogon Notify: tuvSIARi - tuvSIARi.dll (file missing)

Sluit nu alle overige vensters en klik op Fix Checked

3. Je hebt MBAM wel gescanned, maar niet de items laten verwijderen ;) Start MBAM opnieuw.


Zodra het programma gestart is, ga dan naar het tabblad "[B]Instellingen".
Vink hier aan: "Sluit Internet Explorer tijdens verwijdering van malware".
Update daarna MalwareBytes' Anti-Malware
Ga daarna naar het tabblad "Scanner", kies hier voor "Snelle Scan".
Druk vervolgens op "Scannen" om de scan te starten.
Het scannen kan een tijdje duren, dus wees geduldig.
Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien.
Zorg ervoor dat daar alles aangevinkt is, daarna klik op: "Verwijder geselecteerde".
Na het verwijderen zal een log openen, indien er gevraagd wordt om je computer te herstarten moet je dit toestaan.
Dit is namelijk noodzakelijk om sommige infecties te kunnen verwijderen 4. Indien MBAM je pc nog niet herstart heeft, doe dit dan handmatig.
Post daarna het nieuwe logje van MBAM samen met een nieuw logje van Hijackthis.

- Niels

Ok, ik heb alle stappen gedaan, alleen na de reboot van MBAM kreeg ik een stuk of 20 berichten over de bestanden die MBAM heeft verwijderd.

Hieronder de nieuwe logs:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:59:25, on 10-8-2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ESET\ESET Smart Security\ekrn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\Program Files\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe
C:\Program Files\Linksys Wireless-G PCI Wireless Network Monitor\WMP54Gv4.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\Program Files\ASUS\AI Remote\AiRc.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\G oogleToolbarNotifier.exe
C:\Program Files\ASUS\AI Remote\AiRemote.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [Ai Remote Help] "C:\Program Files\ASUS\AI Remote\AiRc.exe"
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "D:\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\G oogleToolbarNotifier.exe
O4 - HKCU\..\Run: [nifalumujo] Rundll32.exe "C:\WINDOWS\system32\hememefo.dll",s
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Lokale service')
O4 - HKUS\S-1-5-19\..\Run: [nifalumujo] Rundll32.exe "C:\WINDOWS\system32\hememefo.dll",s (User 'Lokale service')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Netwerkservice')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: WMP54Gv4SVC - GEMTEKS - C:\Program Files\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe
--
End of file - 4700 bytes


Malwarebytes' Anti-Malware 1.24
Database versie: 1036
Windows 5.1.2600 Service Pack 2
16:56:18 10-8-2008
mbam-log-8-10-2008 (16-56-18).txt
Scan type: Snelle Scan
Objecten gescand: 38723
Verstreken tijd: 1 minute(s), 42 second(s)
Geheugenprocessen geïnfecteerd: 0
Geheugenmodulen geïnfecteerd: 4
Registersleutels geïnfecteerd: 7
Registerwaarden geïnfecteerd: 2
Registerdata bestanden geïnfecteerd: 2
Mappen geïnfecteerd: 0
Bestanden geïnfecteerd: 16
Geheugenprocessen geïnfecteerd:
(Geen kwaadaardige items gevonden)
Geheugenmodulen geïnfecteerd:
C:\WINDOWS\system32\hememefo.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\vozutiso.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\kawolumi.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\pooowgxf.dll (Trojan.Vundo) -> Delete on reboot.
Registersleutels geïnfecteerd:
HKEY_CLASSES_ROOT\CLSID\{ac2db3ef-47fc-4007-b099-9e148f4dd954} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{ac2db3ef-47fc-4007-b099-9e148f4dd954} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IProxyProvid er (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
Registerwaarden geïnfecteerd:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\nifalumujo (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\bm738fe663 (Trojan.Vundo) -> Quarantined and deleted successfully.
Registerdata bestanden geïnfecteerd:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo) -> Data: c:\windows\system32\kawolumi.dll -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\LSA\Notification Packages (Trojan.Vundo) -> Data: c:\windows\system32\kawolumi.dll -> Quarantined and deleted successfully.
Mappen geïnfecteerd:
(Geen kwaadaardige items gevonden)
Bestanden geïnfecteerd:
C:\WINDOWS\system32\hememefo.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\vozutiso.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\kawolumi.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\pooowgxf.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\wkqufoiw.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\iifeebYP.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\kvbpripl.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Documents and Settings\Frenkie\Local Settings\Temporary Internet Files\Content.IE5\C9UN8567\kb671231[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Documents and Settings\Frenkie\Local Settings\Temporary Internet Files\Content.IE5\G56ZGX6Z\CAKTUBW5 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Documents and Settings\Frenkie\Local Settings\Temporary Internet Files\Content.IE5\G56ZGX6Z\kb767887[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Documents and Settings\Frenkie\Local Settings\Temporary Internet Files\Content.IE5\GXIJ0PU3\upd10935[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Documents and Settings\Frenkie\Local Settings\Temporary Internet Files\Content.IE5\OPE34LYZ\kb456456[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\cookies.ini (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\pskt.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\BM738fe663.xml (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\BM738fe663.txt (Trojan.Vundo) -> Quarantined and deleted successfully.

Op dit moment kan MBAM geen infecties meer vinden, maar toen ik zelf naar het hijack logje keek, viel het me op dat in ieder geval 1 van de voorgaande bestanden er nog in staat:

O4 - HKCU\..\Run: [nifalumujo] Rundll32.exe "C:\WINDOWS\system32\hememefo.dll",s

Omdat ik heb gelezen dat het belangrijk is om alle bestanden in 1x te verwijderen, verwijder ik deze nu nog niet.
Waarschijnlijk zal er nog wel iets zijn.

Bedankt, ik wacht op een berichtje.
Frenkie

Een vraagje! Heb je je PC herstart na het runnen van MBAM?


C:\WINDOWS\system32\hememefo.dll (Trojan.Vundo) -> Delete on reboot.
Deze zou normaal moeten wegzijn dan!!!

ja heb de pc wel herstart, en de andere dingen zijn wel allemaal weg...

alleen deze staat er nu weer tussen. En klopt het dat je allemaal windows meldingen krijgt na de reboot?

ja heb de pc wel herstart, en de andere dingen zijn wel allemaal weg...

alleen deze staat er nu weer tussen. En klopt het dat je allemaal windows meldingen krijgt na de reboot?

Ja hoor, dat is normaal!! Niels zal je vanaf nu wel verder helpen hoor.

Is goed :)

Je hebt zeker geen idee of Niels vandaag nog komt?
K verveel me dood hiero :cry:

Haha nou kwas net inderdaad even weg ;) Ben wel veel online maar niet 24/7 ;)

Ga weer even naar je logje kijken. Daarna moet mijn antwoord weer gecontroleerd worden, dus even geduld nog :) (Kan vanavond zijn, maar morgen zou ook kunnen hoor ;))

Hoi Frenkie,

We gaan zomenteen in veilige modus werken. Omdat je in Veilige modus geen internet toegang hebt, raad ik je aan om mijn fix even uit te printen of op te slaan in een kladblok document.

1. Start Hijackthis en kies voor do a system scan only
Zet een vinkje voor de volgende regels (indien aanwezig):

O4 - HKCU\..\Run: [nifalumujo] Rundll32.exe "C:\WINDOWS\system32\hememefo.dll",s
O4 - HKUS\S-1-5-19\..\Run: [nifalumujo] Rundll32.exe "C:\WINDOWS\system32\hememefo.dll",s

Sluit nu alle overige vensters en klik op Fix checked

2. Zorg ervoor dat alle verborgen mappen en bestanden worden weergegeven (http://users.telenet.be/marcvn/spyware/1117602.htm)

3. Herstart je computer in veilige modus (http://users.pandora.be/marcvn/spyware/1378056.htm)
Verwijder nu via Deze computer/Windows verkenner het volgende bestand:

C:\WINDOWS\system32\hememefo.dll <-- bestand

Herstart vervolgens je computer en post een nieuw logje van Hijackthis ter controle.

Is alles gelukt? Hoe is het nu met de problemen?

- Niels

Hoi Niels, de problemen zijn nagenoeg weg nu, de pc is nog niet zo snel als hij op dit moment zou moeten zijn, maar echte klachten zijn er niet.

Het bestand dat je me vroeg te verwijderen stond niet in de system32 map, en 1 van de 2 regels was ook niet meer in hijackthis te vinden.

Hier een nieuw logje

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:41:50, on 11-8-2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ESET\ESET Smart Security\ekrn.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\Program Files\ASUS\AI Remote\AiRc.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\G oogleToolbarNotifier.exe
C:\Program Files\ASUS\AI Remote\AiRemote.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\Program Files\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe
C:\Program Files\Linksys Wireless-G PCI Wireless Network Monitor\WMP54Gv4.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [Ai Remote Help] "C:\Program Files\ASUS\AI Remote\AiRc.exe"
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "D:\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\G oogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Lokale service')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Netwerkservice')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: WMP54Gv4SVC - GEMTEKS - C:\Program Files\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe
--
End of file - 4503 bytes

Hoi Frenkie,

Je logje is verder schoon.
Je zou deze (http://support.bluemedicine.be/mybb/showthread.php?tid=166) link kunnen doornemen omtrent de snelheid van je pc.
Lees nog even deze (http://www.jawwi.nl/nederlands/tips/beveiligen/beveiligen.html) tips door om verdere infecties te voorkomen.

- Niels