Nadat ik een guide volgde voor het verwijderen van een keylogger met behulp van talrijke anti-virus en scan programma's moest ik als laatste stap hier mijn HijackThis log posten.
*NOTE: tijdens het installeren van die programma's zie ik nu iedere keer als ik mijn PC opstart; RunDLL error. Kan dat kwaad?


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:12:45, on 15/11/2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18828)
Boot mode: Normal
Running processes:
C:\Program Files (x86)\ASUS\EPU-4 Engine\FourEngine.exe
C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe
C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNo tifier.exe
C:\Program Files (x86)\Skype\Phone\Skype.exe
C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files (x86)\Xfire\Xfire.exe
C:\Program Files (x86)\Java\jre6\bin\jusched.exe
C:\Program Files (x86)\AVG\AVG9\avgtray.exe
C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe
C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin
C:\Program Files (x86)\Windows Live\Contacts\wlcomm.exe
C:\Program Files (x86)\Skype\Plugin Manager\skypePM.exe
C:\Program Files (x86)\Lavasoft\Ad-Aware\AAWTray.exe
C:\Windows\SysWOW64\conime.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: XfireXO Toolbar - {5e5ab302-7f65-44cd-8211-c1d4caaccea3} - C:\Program Files (x86)\XfireXO\tbXfir.dll
R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files (x86)\AVG\AVG9\Toolbar\IEToolbar.dll
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files (x86)\AVG\AVG9\avgssie.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: XfireXO Toolbar - {5e5ab302-7f65-44cd-8211-c1d4caaccea3} - C:\Program Files (x86)\XfireXO\tbXfir.dll
O2 - BHO: Windows Live Aanmelden - Help - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files (x86)\AVG\AVG9\Toolbar\IEToolbar.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files (x86)\Google\GoogleToolbarNotifier\5.4.4525.1752\s wg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files (x86)\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll
O3 - Toolbar: XfireXO Toolbar - {5e5ab302-7f65-44cd-8211-c1d4caaccea3} - C:\Program Files (x86)\XfireXO\tbXfir.dll
O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Program Files (x86)\AVG\AVG9\Toolbar\IEToolbar.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~2\AVG\AVG9\avgtray.exe
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\RunOnce: [ST Recovery Launcher] %WINDIR%\SMINST\VistaLauncher.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [swg] "C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNo tifier.exe"
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files (x86)\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MS_MASTER] RUNDLL32.EXE C:\Users\ADMINI~1\AppData\Local\Temp\yMaster.dll,w
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETWORK SERVICE')
O4 - Startup: OpenOffice.org 3.1 .lnk = C:\Program Files (x86)\OpenOffice.org 3\program\quickstart.exe
O4 - Startup: Xfire.lnk = C:\Program Files (x86)\Xfire\Xfire.exe
O9 - Extra button: (no name) - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O13 - Gopher Prefix:
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files (x86)\AVG\AVG9\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: AVG Free E-mail Scanner (avg9emc) - AVG Technologies CZ, s.r.o. - C:\Program Files (x86)\AVG\AVG9\avgemc.exe
O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Program Files (x86)\AVG\AVG9\avgwdsvc.exe
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)
O23 - Service: Google Updateservice (gupdate1ca2010600b6bd2) (gupdate1ca2010600b6bd2) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files (x86)\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files (x86)\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)
--
End of file - 10442 bytes



Dank bij voorbaat.

Hoi Streetglow3,


Ik zal naar je logje kijken.

Ik ben echter 'Spyware Slayer in Opleiding' en zal op goed keuring moeten wachten van mijn begeleiders voordat ik een fix plaats.
Het zal dus iets langer duren. Alvast bedankt voor je begrip.

Eveline.

Hoi Streetglow3,


Ik zal naar je logje kijken.

Ik ben echter 'Spyware Slayer in Opleiding' en zal op goed keuring moeten wachten van mijn begeleiders voordat ik een fix plaats.
Het zal dus iets langer duren. Alvast bedankt voor je begrip.

Eveline.

Neem je tijd. Alvast bedankt!

Hoi Streetglow3,

1.
Je logje ziet er schoon uit. Ik heb gezien dat je Malwarebytes Anti-Malware hebt gebruikt. Zou je de logfile kunnen posten? Deze is terug te vinden onder de tabb 'logs.'

Succes,
Eveline.

Malwarebytes' Anti-Malware 1.41
Database versie: 3176
Windows 6.0.6002 Service Pack 2
15/11/2009 21:43:44
mbam-log-2009-11-15 (21-43-44).txt
Scan type: Volledige Scan (C:\|D:\|E:\|F:\|)
Objecten gescand: 278866
Verstreken tijd: 35 minute(s), 48 second(s)
Geheugenprocessen geïnfecteerd: 0
Geheugenmodulen geïnfecteerd: 0
Registersleutels geïnfecteerd: 1
Registerwaarden geïnfecteerd: 0
Registerdata bestanden geïnfecteerd: 1
Mappen geïnfecteerd: 0
Bestanden geïnfecteerd: 0
Geheugenprocessen geïnfecteerd:
(Geen kwaadaardige items gevonden)
Geheugenmodulen geïnfecteerd:
(Geen kwaadaardige items gevonden)
Registersleutels geïnfecteerd:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{1d4db7d2-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
Registerwaarden geïnfecteerd:
(Geen kwaadaardige items gevonden)
Registerdata bestanden geïnfecteerd:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Policies\Explorer\NoActiveDesktopChange s (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Mappen geïnfecteerd:
(Geen kwaadaardige items gevonden)
Bestanden geïnfecteerd:
(Geen kwaadaardige items gevonden)



PS: zou je aub ook kunnen vertellen hoe het komt dat ik bij het opstarten van mijn computer een RunDLL error krijg en of dat kwaad kan / hoe te fixen? bedankt!

PS: zou je aub ook kunnen vertellen hoe het komt dat ik bij het opstarten van mijn computer een RunDLL error krijg en of dat kwaad kan / hoe te fixen? bedankt!


Daarbij komt nog: is mijn systeem veilig genoeg om terug te kunnen gamen? Alvast bedankt :-) :bow:

Hoi Streetglow3,

Als je RunDLL Error in beeld krijgt bij het opstarten, wat voor melding is dit dan precies, wordt er ook een bestandsnaam doorgegeven?

Post desnoods even een 'Print Screen.'

Succes,
Eveline.

http://img20.imageshack.us/img20/3456/rundllerror.th.jpg (http://img20.imageshack.us/i/rundllerror.jpg/)

PS: zou mijn systeem veilig zijn nu? Er is een kans dat ik word geband als het probleem zich blijft voordoen. (Als ik blijf gehackt worden door die keylogger)

Hoi Streetglow3,

1.
Ga naar Virustotal (http://www.virustotal.com/nl/) of Jotti (http://virusscan.jotti.org/) en laat het volgende bestand scannen:

C:\Users\ADMINI~1\AppData\Local\Temp\yMaster.dll

Als je in beeld krijgt dat het bestand reeds al gescant is druk je op de knop voor 'heranalyseren'.

Post de resultaten, ook van wat er gevonden wordt, of desnoods de hyperlink ernaar toe.

2.
Download ATF cleaner (http://www.atribune.org/ccount/click.php?id=1) (by Atribune)

Dubbelklik op ATF cleaner om het programma te starten.
Op het tabblad "Main", plaats je een vinkje bij Select All.
Klik op de knop Empty Selected.

Gebruik je ook Firefox als browser:
Klik op tabblad "Firefox", plaats een vinkje bij Select All.
Wil je de door Firefox opgeslagen wachtwoorden behouden, dan klik je in het venster dat verschijnt op "No".
(dit verwijdert het vinkje bij "Firefox saved passwords")
Klik op de knop Empty Selected.

Gebruik je ook Opera als browser:
Klik op tabblad "Opera", plaats een vinkje bij Select All.
Wil je de door Opera opgeslagen wachtwoorden behouden, dan klik je in het venster dat verschijnt op "No".
Klik op de knop Empty Selected.
Ga naar het tabblad "Main" en klik op de knop Exit om het programma af te sluiten.

Herstart je PC, en vertel of de melding weg is.

Succes,
Eveline.

Stap 1. kan ik niet uitvoeren omdat ik het file "C:\Users\ADMINI~1\AppData\Local\Temp\yMaster.dll" niet heb (!).
Is dat iets serieus of onschuldigs, en zou mijn systeem al veilig (genoeg) zijn om weer
te kunnen gamen?

En stap 2. haalt niks uit. :S

Hoi Streetglow3,

1.
Krijg je na de uitvoering van ATF cleaner nog steeds de melding? Ook nog na een herstart? Graag even een nieuw HijackThis logje dan maar.

Start HijackThis -> Uitvoeren als administator. 'Do a scan and save a logfile.' Post dat logje aub.

Bestandje is wel verdacht, ik zou nog even wachten met gamen tot ik je systeem malware vrij heb verklaard.

Eveline. :)

Hoi Streetglow3,

1.
Krijg je na de uitvoering van ATF cleaner nog steeds de melding? Ook nog na een herstart? Graag even een nieuw HijackThis logje dan maar.

Ja, nadat ik ATF run en computer heropstart krijg ik nog steeds die error.

Hier het HijackThis logje;
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:35:25, on 19/11/2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18828)
Boot mode: Normal
Running processes:
C:\Program Files (x86)\ASUS\EPU-4 Engine\FourEngine.exe
C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe
C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNo tifier.exe
C:\Program Files (x86)\Skype\Phone\Skype.exe
C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files (x86)\Xfire\Xfire.exe
C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe
C:\Program Files (x86)\Java\jre6\bin\jusched.exe
C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin
C:\Program Files (x86)\AVG\AVG9\avgtray.exe
C:\Program Files (x86)\Windows Live\Contacts\wlcomm.exe
C:\Program Files (x86)\Lavasoft\Ad-Aware\AAWTray.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Skype\Plugin Manager\skypePM.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Windows\SysWOW64\conime.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Java\jre6\bin\jucheck.exe
C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: XfireXO Toolbar - {5e5ab302-7f65-44cd-8211-c1d4caaccea3} - C:\Program Files (x86)\XfireXO\tbXfir.dll
R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files (x86)\AVG\AVG9\Toolbar\IEToolbar.dll
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files (x86)\AVG\AVG9\avgssie.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: XfireXO Toolbar - {5e5ab302-7f65-44cd-8211-c1d4caaccea3} - C:\Program Files (x86)\XfireXO\tbXfir.dll
O2 - BHO: Windows Live Aanmelden - Help - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files (x86)\AVG\AVG9\Toolbar\IEToolbar.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files (x86)\Google\GoogleToolbarNotifier\5.4.4525.1752\s wg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files (x86)\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll
O3 - Toolbar: XfireXO Toolbar - {5e5ab302-7f65-44cd-8211-c1d4caaccea3} - C:\Program Files (x86)\XfireXO\tbXfir.dll
O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Program Files (x86)\AVG\AVG9\Toolbar\IEToolbar.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~2\AVG\AVG9\avgtray.exe
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\RunOnce: [ST Recovery Launcher] %WINDIR%\SMINST\VistaLauncher.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [swg] "C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNo tifier.exe"
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files (x86)\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MS_MASTER] RUNDLL32.EXE C:\Users\ADMINI~1\AppData\Local\Temp\yMaster.dll,w
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETWORK SERVICE')
O4 - Startup: OpenOffice.org 3.1 .lnk = C:\Program Files (x86)\OpenOffice.org 3\program\quickstart.exe
O4 - Startup: Xfire.lnk = C:\Program Files (x86)\Xfire\Xfire.exe
O9 - Extra button: (no name) - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O13 - Gopher Prefix:
O16 - DPF: {40F576AD-8680-4F9E-9490-99D069CD665F} (System Requirements Lab Class) - http://srtest-cdn.systemrequirementslab.com.s3.amazonaws.com/bin/sysreqlabdetect.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files (x86)\AVG\AVG9\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: AVG Free E-mail Scanner (avg9emc) - AVG Technologies CZ, s.r.o. - C:\Program Files (x86)\AVG\AVG9\avgemc.exe
O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Program Files (x86)\AVG\AVG9\avgwdsvc.exe
O23 - Service: CopySafe Helper Service (CSHelper) - Unknown owner - C:\Windows\SysWOW64\CSHelper.exe
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)
O23 - Service: Google Updateservice (gupdate1ca2010600b6bd2) (gupdate1ca2010600b6bd2) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files (x86)\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files (x86)\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)
--
End of file - 10709 bytes



Alvast bedankt voor je hulp!

Hoi Streetglow3,


1) Zet TeaTimer van Spybot even uit tijdens de fix want hij kan veranderingen in de weg staan.
- Start Spybot S&D
- Ga naar het Mode menu en selecteer "Advanced Mode"
- Aan de linkerkant, kies "Tools"kies "Tools" (of gereedschap ) en klik op > Resident
- Uitvinken "Resident TeaTimer" en en sluit Spybot S&D.
- Herstart de computer.

2) Download het volgende naar je bureaublad: ResetTeaTimer.exe (http://home.kpn.nl/stefsmeenk/ResetTeaTimer.exe)
Dubbelklik daarna op ResetTeaTimer.exe
Dit zal de voorgaande items die je toegelaten hebt of geblokkeerd hebt via TeaTimer terug resetten.

Wanneer het logje afgehandeld is mag je TeaTimer weer inschakelen.

3) Start HijackThis, wederom uitvoeren als Administrator en kies de optie 'Do a system scan only' en vink alleen indien aanwezig de volgende regel aan:
O4 - HKCU\..\Run: [MS_MASTER] RUNDLL32.EXE C:\Users\ADMINI~1\AppData\Local\Temp\yMaster.dll,w

4) Open een kladblokbestand.
Kopieer onderstaande (alles wat vetgedrukt is) in dit kladblokbestand.

@ECHO OFF
IF EXIST log.txt DEL log.txt
ECHO Deleting files>>log.txt
FOR %%g in ("C:\Users\ADMINI~1\AppData\Local\Temp\yMaster.dll"
) DO (
IF EXIST %%g (
ATTRIB -r -s -h %%g
DEL %%g
IF EXIST %%g (
ECHO %%g not deleted>>log.txt
) ELSE (
ECHO %%g deleted>>log.txt)
) ELSE (
ECHO %%g not found>>log.txt))
START NOTEPAD.EXE log.txt

Ga naar Bestand - Opslaan als.
Bij "Opslaan in" kies je: Bureaublad
Bij "Bestandsnaam" zet je: del.bat
Bij "Opslaan als type" selecteer je: Alle bestanden (*.*).
Klik op de knop Opslaan.

Dubbelklik op del.bat, er opent zich een logfile bewaar deze en post het resultaat na een herstart van je pc.

Hoe gaat het nu?

Eveline.

@EvelineGirl; Ik denk dat die spatie bij "...\Temp\yMaster. dll " tussen de "." en de "dll" weg moet. ;)

Maar ik denk dat het weinig zin heeft om dat te proberen in dit geval. De error zegt dat het bestand niet te vinden is. Dus het bestand zal je waarschijnlijk dan ook niet kunnen verwijderen (aangezien het er niet staat). ;)

Het probleem is dat er ergens nog software op de PC staat, die die .dll wilt includen/gebruiken. Maar hem niet kan vinden. Aangezien de fout zich voordoet bij het opstarten van de PC. Zal er ergens een programma in de opstart zitten, die de ymaster.dll (wat volgens internet een "unsafe" bestand is) wilt gebruiken. Ik persoonlijk denk dan aan een geinfecteerd programma.

http://www.incodesolutions.com/threats3/System32Rootymasterdll.php
Hier heb ik dit gevonden:

- Can be injected/attached to the legitimate Windows process such as explorer.exe or other.

Nu weet ik niet of die informatie echt juist is, maar het zou me logisch lijken (afgaande van de timing van de foutmelding) als dat hier gebeurd is. :(

Maar ik ben geen spyware slayer :D.

Greetz,
Dave

@Ultddave, je had gelijk wat de spaties betreft. Het forum interpreteerd deze code verkeerd en zet er zelf spaties tussen. Maar heb het weten op te lossen door advies van andere zijde. Ik wil graag deze fix proberen om te zien of het werkt zo het bestand weg te krijgen, anders zal ik inderdaad elders moeten gaan zoeken naar een oplossing. Gelukkig heb ik geweldige begeleiders die me hierbij helpen.:)

-----

Hoi Streetglow3,

De fix van hierboven mag je even vergeten:
Voer de onderstaande handelingen maar uit.

1) Zet TeaTimer van Spybot even uit tijdens de fix want hij kan veranderingen in de weg staan.
- Start Spybot S&D
- Ga naar het Mode menu en selecteer "Advanced Mode"
- Aan de linkerkant, kies "Tools"kies "Tools" (of gereedschap ) en klik op > Resident
- Uitvinken "Resident TeaTimer" en en sluit Spybot S&D.
- Herstart de computer.

2) Download het volgende naar je bureaublad: ResetTeaTimer.exe (http://home.kpn.nl/stefsmeenk/ResetTeaTimer.exe)
Dubbelklik daarna op ResetTeaTimer.exe
Dit zal de voorgaande items die je toegelaten hebt of geblokkeerd hebt via TeaTimer terug resetten.

Wanneer het logje afgehandeld is mag je TeaTimer weer inschakelen.

3) Start HijackThis, wederom uitvoeren als Administrator en kies de optie 'Do a system scan only' en vink alleen indien aanwezig de volgende regel aan:
O4 - HKCU\..\Run: [MS_MASTER] RUNDLL32.EXE C:\Users\ADMINI~1\AppData\Local\Temp\yMaster.dll,w

4) Open een kladblokbestand.
Kopieer onderstaande vetgedrukte code in dit kladblokbestand:


@ECHO OFF
IF EXIST log.txt DEL log.txt
ECHO Deleting files>>log.txt
FOR %%g in ("C:\Users\ADMINI~1\AppData\Local\Temp\yMaster.dll"
) DO (
IF EXIST %%g (
ATTRIB -r -s -h %%g
DEL %%g
IF EXIST %%g (
ECHO %%g not deleted>>log.txt
) ELSE (
ECHO %%g deleted>>log.txt)
) ELSE (
ECHO %%g not found>>log.txt))
START NOTEPAD.EXE log.txt

Ga naar Bestand - Opslaan als.
Bij "Opslaan in" kies je: Bureaublad
Bij "Bestandsnaam" zet je: del.bat
Bij "Opslaan als type" selecteer je: Alle bestanden (*.*).
Klik op de knop Opslaan.

Dubbelklik op del.bat, er opent zich een logfile bewaar deze en post het resultaat na een herstart van je pc.

Hoe gaat het nu?

Eveline. ;)

2) Download het volgende naar je bureaublad: ResetTeaTimer.exe (http://home.kpn.nl/stefsmeenk/ResetTeaTimer.exe)
Dubbelklik daarna op ResetTeaTimer.exe
Dit zal de voorgaande items die je toegelaten hebt of geblokkeerd hebt via TeaTimer terug resetten.

Als ik op dat bestand dubbelklik komt er eerst een scherm, en een fractie van een seconde later komt er een zwart scherm;

Spybot and TeaTimer must be closed!!
Druk op een toets om verder te gaan...

Terwijl TeaTimer en Spybot gesloten zijn, is dit normaal? En zo niet, hoe sluit ik ze dan? Want er staat geen icoontje van Spybot rechtsonder mijn scherm.

Wanneer het logje afgehandeld is mag je TeaTimer weer inschakelen.

3) Start HijackThis, wederom uitvoeren als Administrator en kies de optie 'Do a system scan only' en vink alleen indien aanwezig de volgende regel aan:
O4 - HKCU\..\Run: [MS_MASTER] RUNDLL32.EXE C:\Users\ADMINI~1\AppData\Local\Temp\yMaster.dll,w

Gewoon aanvinken en niks anders? Ik kan kiezen tussen Fix selected, save log en nog een paar dingen.

4) Open een kladblokbestand.
Kopieer onderstaande vetgedrukte code in dit kladblokbestand:


@ECHO OFF
IF EXIST log.txt DEL log.txt
ECHO Deleting files>>log.txt
FOR %%g in ("C:\Users\ADMINI~1\AppData\Local\Temp\yMaster.dll"
) DO (
IF EXIST %%g (
ATTRIB -r -s -h %%g
DEL %%g
IF EXIST %%g (
ECHO %%g not deleted>>log.txt
) ELSE (
ECHO %%g deleted>>log.txt)
) ELSE (
ECHO %%g not found>>log.txt))
START NOTEPAD.EXE log.txt

Ga naar Bestand - Opslaan als.
Bij "Opslaan in" kies je: Bureaublad
Bij "Bestandsnaam" zet je: del.bat
Bij "Opslaan als type" selecteer je: Alle bestanden (*.*).
Klik op de knop Opslaan.

Dubbelklik op del.bat, er opent zich een logfile bewaar deze en post het resultaat na een herstart van je pc.

Hoe gaat het nu?

Eveline. ;)

Als ik dat doe dan staat er; Deleting files
"C:\Users\ADMINI~1\AppData\Local\Temp\yMaster.dll" not found

Ik doe waarschijnlijk iets verkeerd, maar ik weet niet wat, :shy:

C:\Users\ADMINI~1\AppData\Local\Temp\yMaster. dll" not found

Heb je het juiste script gekopieerd van haar? ;)

Want evelineGirl heeft het script 2 keer gepost op deze pagina. In het eerste script stond er een spatie teveel tussen yMaster. en dll ;).

In het 2e script heeft ze die spatie weggehaald.

En ik zie net dat er bij jouw reactie ook een spatie tussen staat? Maar dat komt waarschijnlijk door het forum. Maar u doet alleszins niets verkeerd aangezien het script goed is uitgevoerd. ;) Eventeel kan je dat del.bat bestand eens openen met kladblok. (Rechts klikken en dan "Openen met:" en dan "kladblok" selecteren.) En dan eens kijken of er geen spatie tussen yMaster. en dll staat. Dan ben je zeker dat het script juist is.

Best niet zelf dingen gaan veranderen in dat script, enkel kijken :D.

Mvg,
Dave

Ik denk toch dat ik iets verkeerd heb gedaan want nu staat er helemaal hetzelfde als voordien alleen zonder die ene spatie tussen yMaster. dll

Ok. ;) En je krijgt nogaltijd deze melding?


Deleting files
"C:\Users\ADMINI~1\AppData\Local\Temp\yMaster.dll" not found

Mvg,
Dave

Ja die krijg ik nog steeds, maar er zijn al zoiezo veel dingen dat verschillen van de uitleg van EvelineGirl dat ik al bijna zeker ben dat ik iets verkeerd doe. Ik vrees dat mijn enige oplossing een formatering zal worden, sinds het zulk een hardnekkige keylogger is en dat de kans er in zit dat ze mij bannen als ze mijn account teveel moeten resetten door die keylogger. =S

Aangezien ik hier eigenlijk niet mag posten (aangezien ik geen hulp nodig heb - en geen spyware slayer ben, zoals oa evelineGirl, mag ik je eigenlijk niet direct helpen. Maar ik zal mijn raad doorsturen naar evelineGirl, ze zal dan wel zien of mijn raad van toepassing is hier of niet.)

PS; Ja inderdaad. Ik heb vroeger (ben ondertussen gestopt) ook WoW gespeeld. Het is inderdaad nogal lastig met een keylogger. Keyloggers komen echter niet zomaar op de PC, dus eventueel moet je eens terugdenken of je misschien onlangs iets hebt geinstalleerd/gedownload dat gerelateerd is tot WoW.

Waarschijnlijk is dat gebeurt op hetzelfde moment als die runDLL error is gekomen. Misschien dat je toevallig iets gedaan/gedownload had die dag dat een virus/keylogger zou kunnen bevatten?
Op die manier kan je misschien de oorzaak vinden. ;)

formateren lijkt me een vrij drastische oplossing op dit moment. Zeker als je je nog herrinert hoeveel WoW updates je dan moet downloaden :(

Mvg,
Dave

Behalve sites over WoW die ik heb bezocht, en AddOns die ik heb gedownload van betrouwbare bronnen (WoWMatrix, Curse.com) heb ik eigenlijk niks gedownload, kan ik ook keyloggers krijgen door sites te bezoeken? Want Blizzard zei ook dat het misschien ook door Phisingsites kon zijn (of zo iets)

addons lijken de meest aannemelijke oorzaak.

Phisingsites of phisingemails zijn emails die je krijgt, of sites die je bezoekt, waardat ze je logingegevens vragen.

Bijvoorbeeld:
"Please send us your login and password of your World of Warcraft account so we can give you free gold."

Uiteraard krijg je helemaal geen gratis goud, en hebben ze uiteindelijk je wachtwoord en loginnaam, en dan heb je het zitten hé. Want dan hacken ze je account gewoon. :(

Als je nergens anders je accountgegevens hebt ingevuld, dan in World of Warcraft zelf, kan het niet door phising komen. ;)

Addons kunnen - ondanks dat ze op officiele sites staan, toch keyloggers bevatten. Meestal niet uiteraard.
Addons worden ingeladen in WoW als je het spel opstart. Dus het kan zijn dat er een keylogger tussen de werkende code steekt die alles registreert dat je doet in het spel. :(

Een keylogger verscholen in een werkende addon is een vrij goede "tactiek" van hackers, aangezien je zoiets niet verwacht. Zeker aangezien de addon goed werkt. Maar stiekem in de achtergrond...

Als ik verschillende websites kijk. Zie ik altijd dat die yMaster.dll gebruikt wordt voor WoW accounts te hacken.

http://www.malwareremoval.com/forum/viewtopic.php?f=12&t=47310&start=0
http://forums.worldofwarcraft.com/thread.html?topicId=20677334851&sid=1
http://www.spywareinfoforum.com/index.php?showtopic=126317
...

Het beste is even wachten op de reactie van evelineGirl. Die zal wel meer weten. ;)

Mvg,
Dave

Ik ben zo verloren in al dit gedoe... al wat ik wil is gewoon terug gamen, en zelfs al duurt het 2 dagen om WoW opnieuw te installeren door mijn PC te formatteren kan ik dat dan toch beter doen, want dan ben ik tenminste 100% zeker en hoef ik me geen zorgen meer te maken, want echt zeker ben je nooit met virussen...

Doe even volgende in afwachting van evelineGirl!!

Kaspersky Online Scanner
http://www.kaspersky.com/kos/eng/partner/default/kavwebscan.html

Zorg ervoor dat de laatste Update van Java op je PC is geïnstalleerd
http://www.java.com/nl/download/installed.jsp

Schakel je eigen virusscanner uit

Klik op Accept ,het Programma wordt nu ge-updated
1.Program download and update
2.Database update

http://www.imgdumper.nl/uploads2/4a9e20e24333e/4a9e20e22eb1f-KOS_1.jpg

Klik nu My Computer en de Scan begint

http://www.imgdumper.nl/uploads2/4a9e210594b2a/4a9e210581a7b-KOS2.jpg

Note: Hou er rekening mee dat de Scan lang kan duren

Aan het eind klik View Report en post de inhoud in je volgende antwoord
of klik links op Report >>Save Report en verander Files of Type in Text file(.txt)
Geef het Report een naam en sla het op je Bureaublad op
Post nu de inhoud van het Report (als daarom gevraagd word) in je volgende antwoord
Activeer je eigen Virusscanner weer !

OK, ik ben nu bezig met de scan, maar als alles gedaan is, is het dan 100% zeker dat de keylogger weg is? Want ik ben niet zo vertrouwd met computers en dus heb ik misschien ergens een fout gemaakt.

Laat ons even de resultaten van de scan afwachten nu!

Na de lange scan, moet ik het opnieuw proberen, omdat AVG op de een of andere manier niet wilde sluiten moest ik hem verwijderen, sorry! Ik post de resultaten ASAP

Wil het lukken?

De scan is klaar, eerst dacht ik dat ik weer iets had verkeerd gedaan in verband met het uitschakelen van AVG maar eigenlijk wist ik niet dat er niks in dat scherm hoefde te verschijnen, hier mijn logje:
--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7.0: scan report
Sunday, November 22, 2009
Operating system: Microsoft Windows Vista Home Premium Edition, 64-bit Service Pack 2 (build 6002)
Kaspersky Online Scanner version: 7.0.26.13
Last database update: Sunday, November 22, 2009 06:03:37
Records in database: 3268242
--------------------------------------------------------------------------------
Scan settings:
scan using the following database: extended
Scan archives: yes
Scan e-mail databases: yes
Scan area - My Computer:
C:\
D:\
E:\
F:\
Scan statistics:
Objects scanned: 132275
Threats found: 0
Infected objects found: 0
Suspicious objects found: 0
Scan duration: 01:13:19
No threats found. Scanned area is clean.
Selected area has been scanned.

Ik denk dat het safe is, maar nu is de vraag hoe ik die RunDLL error wegkrijg en of ik binnenkort terug kan gamen. :(

Ik denk dat het safe is, maar nu is de vraag hoe ik die RunDLL error wegkrijg en of ik binnenkort terug kan gamen. :(

Krijg je die melding nog steeds?

Ja, echt vreemd :S.

Vraag hier eens raad: Game specialisten (http://www.minatica.be/forumdisplay.php?f=150) . Misschien weten zij een oplossing!

Raad over wat? Gamers weten denk ik ook niet zo goed hoe je 'n RunDLL error wegwerkt, en of die keylogger weg is kunnen zij denk ik ook niet weten. Dus wat bedoel je? Kunnen zij niet meer helpen met in-game en instalatie problemen? Allez ja, ik weet niet hé. :S

Ik bedoel: misschien hebben ze er al iets meer over gelezen of gehoord!! Want in je logjes zie ik echt niets meer verkeerds hoor!

Ik vermoed dat ik nu wel mag helpen hier hé? :D

Volgens mij is de keylogger al lang weg. Anders zou je die runDLL error niet krijgen. Het enige wat je nu nog hebt is de "aftermath" van de keylogger. Dus eigenlijk heeft die keylogger wat extra schade aangericht, die nogaltijd aanwezig is op je PC, maar de keylogger zelf zou weg moeten zijn.

Dus je kan al gamen. ;)

Het enige probleem dat je misschien zal hebben is dat die yMaster.dll gebruikt werd door WoW. En je dus misschien WoW moet herinstalleren als je het spel niet gestart krijgt. :(

Voor zover ik heb gelezen kan je deze error krijgen:


Error loading C:\Users\Joe\AppData\Local\Temp\\yMaster.dll

Access is denied.

Terwijl je aan het spelen bent.

Dus opzich moet je nu kiezen of je:
- Wilt spelen, met risico op zo een error terwijl je gamed.
- De game wilt herinstalleren (Dan zou alles terug moeten werken)
- De volledige PC gaat formateren.

@De spyware slayers; De trojan staat bekend als:
Trojan-GameThief.Win32.OnLineGames.vukx 25

Mvg,
Dave

Kan ik misschien die error fixen? Ik ben al héél blij dat ik terug kan spelen, nu is het wel de vraag of die error echt kwaad kan en of het wel te fixen valt... Alvast heel erg bedankt!!

Kwaad kan de error niet. En een oplossing staat ook nog niet op internet. :(

Dus voorlopig zal je moeten leven met die runDLL foutmelding. Misschien dat er binnekort iemand een oplossing vindt voor dat weg te krijgen.

Mvg,
Dave

@De spyware slayers; De trojan staat bekend als:
Trojan-GameThief.Win32.OnLineGames.vukx 25

Mvg,
Dave

Hey Dave,

bedankt voor je bijdrage! De naam van de trojan was ons al bekend, maar dus nog niet de manier om deze volledig te verwijderen!! Op BC, MBAM forum en andere zijn ze er blijkbaar ook nog niet uit. Even afwachten dus.

Alleszinds bedankt iedereen!