"virus alert!" in system tray

14-07-2008,05:48 doorDark Knight

Hey,

ik krijg een melding "virus alert!" in mijn system tray,
naast de klok, ook de meeste functies in mijn start menu
zijn niet meer zichtbaar en is de tsak manager uitgeschakeld.

Ik heb een hijackthis logbestand aangemaakt als dit kan
helpen met het probleem op te lossen.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 05:41: VIRUS ALERT!, on 14/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20627)
Boot mode: Normal

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSExplorer.EXE
C:PROGRA~1AVGAVG8avgwdsvc.exe
C:AcerEmpowering TechnologyadmServ.exe
C:Program FilesCommon FilesMicrosoft SharedVS7DEBUGmdm.exe
C:WINDOWSsystem32svchost.exe
C:Program FilesViewpointCommonViewpointService.exe
C:PROGRA~1AVGAVG8avgrsx.exe
C:PROGRA~1AVGAVG8avgemc.exe
C:WINDOWSsystem32igfxtray.exe
C:WINDOWSsystem32hkcmd.exe
C:WINDOWSsystem32igfxpers.exe
C:WINDOWSsystem32igfxsrvc.exe
C:WINDOWSRTHDCPL.EXE
C:WINDOWSsystem32MMTray.exe
C:WINDOWSsystem32MMTray2k.exe
C:WINDOWSsystem32MMTrayLSI.exe
C:WINDOWSsystem32qttask.exe
C:Program FilesMicrosoft OfficeOffice12GrooveMonitor.exe
C:WINDOWSsystem32wscntfy.exe
C:Program FilesJavajre1.6.0_06binjusched.exe
C:AcerEmpowering Technologyadmtray.exe
C:WINDOWSsystem32rundll32.exe
C:WINDOWSVM_STI.exe
C:PROGRA~1AVGAVG8avgtray.exe
C:Program FilesWindows Sidebarsidebar.exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesWindows LiveMessengerMsnMsgr.Exe
C:Program FilesWindows Sidebarsidebar.exe
C:Program FilesPhilipsPhilips SPC210NC WebcamTrayMin210.exe
C:Program FilesWindows LiveMessengerusnsvc.exe
C:Program FilesMozilla Firefoxfirefox.exe
C:Program FilesTrend MicroHijackThisHijackThis.exe

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search
Bar = http://www.instafinder.com/addsearch.asp?err=ADD&url=
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search
Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start
Page = about:blank
R1 - HKLMSoftwareMicrosoftInternet
ExplorerMain,Default_Page_URL =
http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLMSoftwareMicrosoftInternet
ExplorerMain,Default_Search_URL =
http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search
Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start
Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLMSoftwareMicrosoftInternet
ExplorerSearch,SearchAssistant =
R0 - HKLMSoftwareMicrosoftInternet
ExplorerSearch,CustomizeSearch =
R1 - HKCUSoftwareMicrosoftInternet Connection
Wizard,ShellNext =
https://login.live.com/ppsecure/sha1auth.srf?lc=2067
R3 - URLSearchHook: Yahoo! ¤u¨ã¦C -
{EF99BD32-C1FB-11D2-892F-0090271D4F88} -
C:PROGRA~1Yahoo!CompanionInstallscpn0yt.dll
O2 - BHO: QXK Olive - {01AC48C9-9646-4608-B16C-57AFF893BCB3}
- C:WINDOWSwbxdpgfelge.dll
O2 - BHO: &Yahoo! Toolbar Helper -
{02478D38-C3F9-4efb-9B51-7695ECA05670} -
C:PROGRA~1Yahoo!CompanionInstallscpn0yt.dll
O2 - BHO: AcroIEHlprObj Class -
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program
FilesAdobeAcrobat 6.0ReaderActiveXAcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter -
{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:Program
FilesAVGAVG8avgssie.dll
O2 - BHO: {18067856-5158-716a-fcd4-657eb2e42434} -
{43424e2b-e756-4dcf-a617-851565876081} -
C:WINDOWSsystem32vypqcd.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F}
- C:Program FilesSpybot - Search & DestroySDHelper.dll
O2 - BHO: Yahoo! IE Services Button -
{5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:Program
FilesYahoo!Commonyiesrvc.dll
O2 - BHO: SSVHelper Class -
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:Program
FilesJavajre1.6.0_06binssv.dll
O2 - BHO: (no name) - {8ACF2061-9127-4A5F-A740-4594B5FBF704}
- C:WINDOWSsystem32khfEWMdE.dll (file missing)
O2 - BHO: IE.Filter - {8B2AE9C0-1555-4C92-905A-531532F15698}
- C:WINDOWSsystem32iexpfltr.dll (file missing)
O2 - BHO: Windows Live Aanmelden - Help -
{9030D464-4C02-4ABF-8ECC-5164760863C6} - C:Program
FilesCommon FilesMicrosoft SharedWindows
LiveWindowsLiveLogin.dll
O2 - BHO: (no name) - {F8AC36D7-F602-4B69-99B5-2A812E05779F}
- C:WINDOWSsystem32efcYRJDS.dll (file missing)
O3 - Toolbar: Yahoo! ¤u¨ã¦C -
{EF99BD32-C1FB-11D2-892F-0090271D4F88} -
C:PROGRA~1Yahoo!CompanionInstallscpn0yt.dll
O3 - Toolbar: Ask Toolbar -
{F4D76F09-7896-458a-890F-E1F05C46069F} - C:Program
FilesAskPBarbar1.binASKPBAR.DLL
O3 - Toolbar: sqvgnrpx -
{B1DD82CE-F953-4379-ACCD-2A891C50B443} -
C:WINDOWSsqvgnrpx.dll (file missing)
O4 - HKLM..Run: [IgfxTray] C:WINDOWSsystem32igfxtray.exe
O4 - HKLM..Run: [HotKeysCmds] C:WINDOWSsystem32hkcmd.exe
O4 - HKLM..Run: [Persistence] C:WINDOWSsystem32igfxpers.exe
O4 - HKLM..Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM..Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM..Run: [MMTray] MMTray.exe
O4 - HKLM..Run: [MMTray2K] MMTray2k.exe
O4 - HKLM..Run: [MMTrayLSI] MMTrayLSI.exe
O4 - HKLM..Run: [QuickTime Task]
"C:WINDOWSsystem32qttask.exe" -atboottime
O4 - HKLM..Run: [GrooveMonitor] "C:Program
FilesMicrosoft OfficeOffice12GrooveMonitor.exe"
O4 - HKLM..Run: [SunJavaUpdateSched] "C:Program
FilesJavajre1.6.0_06binjusched.exe"
O4 - HKLM..Run: [ADMTray.exe] "C:AcerEmpowering
Technologyadmtray.exe"
O4 - HKLM..Run: [BluetoothAuthenticationAgent]
rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM..Run: [PCLEUSBTip] C:Program
FilesPinnacleShared FilesProgramsUSBTipUSBTip.exe
O4 - HKLM..Run: [USB2Check] RUNDLL32.EXE
"C:WINDOWSsystem32PCLECoInst.dll",CheckUSBController
O4 - HKLM..Run: [BigDogPath] C:WINDOWSVM_STI.exe Philips
SPC 210NC PC Camera
O4 - HKLM..Run: [207d7482] rundll32.exe
"C:WINDOWSsystem32cykralre.dll",b
O4 - HKLM..Run: [AVG8_TRAY] C:PROGRA~1AVGAVG8avgtray.exe
O4 - HKCU..Run: [Sidebar] C:Program FilesWindows
Sidebarsidebar.exe /autoRun
O4 - HKCU..Run: [ctfmon.exe] C:WINDOWSsystem32ctfmon.exe
O4 - HKCU..Run: [MsnMsgr] "C:Program FilesWindows
LiveMessengerMsnMsgr.Exe" /background
O4 - HKCU..Run: [Yahoo! Pager]
"C:PROGRA~1Yahoo!MESSEN~1YAHOOM~1.EXE" -quiet
O4 - HKCU..Run: [Aim6] "C:Program FilesAIM6aim6.exe" /d
locale=en-US ee://aol/imApp
O4 - HKUSS-1-5-19..Run: [Sidebar] C:Program
FilesWindows Sidebarsidebar.exe /autoRun (User 'LOCAL
SERVICE')
O4 - HKUSS-1-5-19..RunOnce: [nltide_3] rundll32
advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOCAL
SERVICE')
O4 - HKUSS-1-5-20..Run: [Sidebar] C:Program
FilesWindows Sidebarsidebar.exe /autoRun (User 'NETWORK
SERVICE')
O4 - HKUSS-1-5-20..RunOnce: [nltide_3] rundll32
advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User
'NETWORK SERVICE')
O4 - HKUSS-1-5-18..Run: [Sidebar] C:Program
FilesWindows Sidebarsidebar.exe /autoRun (User 'SYSTEM')
O4 - HKUSS-1-5-18..RunOnce: [nltide_3] rundll32
advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS.DEFAULT..Run: [Sidebar] C:Program
FilesWindows Sidebarsidebar.exe /autoRun (User 'Default user')
O4 - HKUS.DEFAULT..RunOnce: [nltide_3] rundll32
advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User
'Default user')
O4 - Startup: OneNote 2007 Screen Clipper and Launcher.lnk =
C:Program FilesMicrosoft OfficeOffice12ONENOTEM.EXE
O4 - Global Startup: TrayMin210.exe.lnk = C:Program
FilesPhilipsPhilips SPC210NC WebcamTrayMin210.exe
O6 - HKCUSoftwarePoliciesMicrosoftInternet
ExplorerRestrictions present
O8 - Extra context menu item: E&xport to Microsoft Excel -
res://C:PROGRA~1MICROS~1Office12EXCEL.EXE/3000
O9 - Extra button: (no name) -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program
FilesJavajre1.6.0_06binssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program
FilesJavajre1.6.0_06binssv.dll
O9 - Extra button: Send to OneNote -
{2670000A-7350-4f3c-8081-5663EE0C6C49} -
C:PROGRA~1MICROS~1Office12ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote -
{2670000A-7350-4f3c-8081-5663EE0C6C49} -
C:PROGRA~1MICROS~1Office12ONBttnIE.dll
O9 - Extra button: (no name) -
{2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
O9 - Extra button: Yahoo! Services -
{5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:Program
FilesYahoo!Commonyiesrvc.dll
O9 - Extra button: Research -
{92780B25-18CC-41C8-B9BE-3C9C571A8263} -
C:PROGRA~1MICROS~1Office12REFIEBAR.DLL
O9 - Extra button: (no name) -
{e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork
Diagnosticxpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 -
{e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork
Diagnosticxpnetdiag.exe
O9 - Extra button: Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program
FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program
FilesMessengermsmsgs.exe
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab}
(Installation Support) - C:Program
FilesYahoo!CommonYinsthelper.dll
O18 - Protocol: grooveLocalGWS -
{88FED34C-F0CA-4636-A375-3CB6248B04CD} -
C:PROGRA~1MICROS~1Office12GR99D3~1.DLL
O18 - Protocol: linkscanner -
{F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:Program
FilesAVGAVG8avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O20 - Winlogon Notify: efcYRJDS - efcYRJDS.dll (file missing)
O21 - SSODL: fsrpknov -
{4B6CD494-300F-4737-ABE3-190AAE79ECE6} -
C:WINDOWSfsrpknov.dll (file missing)
O21 - SSODL: fdxbameg -
{53B7962D-2544-4444-9A18-1D32A8B699A1} -
C:WINDOWSfdxbameg.dll (file missing)
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG
Technologies CZ, s.r.o. - C:PROGRA~1AVGAVG8avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG
Technologies CZ, s.r.o. - C:PROGRA~1AVGAVG8avgwdsvc.exe
O23 - Service: AdminWorks Agent X6 (AWService) - Avocent
Inc. - C:AcerEmpowering TechnologyadmServ.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) -
PC Tools - C:Program FilesSpyware DoctorpctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) -
PC Tools - C:Program FilesSpyware DoctorpctsSvc.exe
O23 - Service: Viewpoint Manager Service - Viewpoint
Corporation - C:Program
FilesViewpointCommonViewpointService.exe

--
End of file - 10543 bytes

Bedankt voor de hulp.

Back-ups geven vals gevoel van veiligheid

kan imand steganos safe 5 kraken?

Reacties

14-07-2008,

14:04 door

Anoniem

+0 Rating:

Quote deze reactie | Reactie niet OK

Aan bestandsnamen kun je niet veel afleiden, maar dat in het achterhoofd
houdend, zou ik deze verwijderen:

O4 - HKLM\\..\\Run: [207d7482] rundll32.exe
\&quot;C:\\WINDOWS\\system32\\cykralre.dll\&quot;,b

O2 - BHO: (no name) - {8ACF2061-9127-4A5F-A740-4594B5FBF704}
- C:\\WINDOWS\\system32\\khfEWMdE.dll (file missing)

O2 - BHO: (no name) - {F8AC36D7-F602-4B69-99B5-2A812E05779F}
- C:\\WINDOWS\\system32\\efcYRJDS.dll (file missing)

O2 - BHO: QXK Olive - {01AC48C9-9646-4608-B16C-57AFF893BCB3}
- C:\\WINDOWS\\wbxdpgfelge.dll

O3 - Toolbar: Ask Toolbar -
{F4D76F09-7896-458a-890F-E1F05C46069F} - C:\\Program
Files\\AskPBar\\bar\\1.bin\\ASKPBAR.DLL

O3 - Toolbar: sqvgnrpx -
{B1DD82CE-F953-4379-ACCD-2A891C50B443} -
C:\\WINDOWS\\sqvgnrpx.dll (file missing)

Mogelijk Kazaa:
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -

O20 - Winlogon Notify: efcYRJDS - efcYRJDS.dll (file missing)

O21 - SSODL: fsrpknov -
{4B6CD494-300F-4737-ABE3-190AAE79ECE6} -
C:\\WINDOWS\\fsrpknov.dll (file missing)

O21 - SSODL: fdxbameg -
{53B7962D-2544-4444-9A18-1D32A8B699A1} -
C:\\WINDOWS\\fdxbameg.dll (file missing)

16:48 door

Jachra

Het makkelijkste is de HD als tweede schijf in een andere pc
in te bouwen en hem dan scannen met andere anti-virus
programma. En een andere anti-virus pakket aanschaffen. AVG
is niet het beste pakket wat je kan hebben.

17:20 door

Reeds getracht online virusscan te doen?

nod32, F-Secure, Bitdefender... alle drie met cleaning
functie en gratis of course...

15-07-2008,

10:02 door

Lodewijk_XL

Of je download de mailicious software removal tool, gewoon
van Microsoft, lijkt me makkelijker dan de kast
openschroeven, harddisks omruilen (als je er al 2 hebt),
vervolgens op de nieuwe disk Windows installeren +
virusscanner en dan gaan scannen...

En AVG heeft er niet zoveel mee te maken, ik gebruik Trend
Micro, netjes up to date en toch een keer hetzelde gehad...

16-07-2008,

03:37 door

Dark Knight

Ik heb een online virusscan gedaan, en de malicious software
remover gebruikt, maar beide vonden geen resultaten.

06:12 door

Hoi Dark Night,

Best dat je met een HJT analyse naar een Forum gaat die zich hier met bezig
houd en waarvan je er opaan kunt dat je door analysten heolpen wordt.

Eén verkeerde fix in je HJT log, kan je systeem om zeep helpen.

Goede HJT fora : CastleCops, ASO, Bleeping Computer, Blue Medicine,
HijackThis.nl en oplossing.be

Toch wil ik je reeds een eindje op weg helpen.

Tijdens het uitvoeren van de procedures, sluit je best alle openstaande
vensters en overbodige programma\'s.

Download [url=http://www.besttechie.net/tools/mbam-setup.exe]MBAM
(Malwarebytes\' Anti-Malware) versie 1.20[/url].
Dubbelklik op mbam-setup.exe om het programma te installeren.
Plaats een vinkje voor Update Malwarebytes Anti-Malware en Start
Malwarebytes\' Anti-Malware.
Klik daarna op Voltooien.
Indien een update gevonden werd, zal die gedownload en geïnstalleerd
worden.
Selecteer in het tabblad Scanner : \&quot;Snelle Scan\&quot;
en klik op
Scan.
Het scannen kan een tijdje duren, dus wees geduldig.

Wanneer de scan voltooid is, klik op OK, daarna Bekijk Resultaten
om de resultaten te zien. Zorg ervoor dat daar alles aangevinkt is. Klik op:
Verwijder geselecteerde.

Na het verwijderen zal een log openen en zal er gevraagd worden om de
computer opnieuw op te starten.
[size=8pt]Indien MBAM moeilijkheden heeft met het verwijderen van
bepaalde bestanden,
zal het enkele meldingen geven waar je OK moet klikken.
Daarna zal het vragen om de Computer opnieuw op te starten... dus sta toe
dat MBAM de computer opnieuw opstart.[/size]

De log wordt automatisch bewaard door MBAM en kan je terugvinden door op
de \&quot;Logs\&quot; tab te klikken in MBAM.
Kopieer en plak de inhoud van het logje als bijlage in je volgend antwoord,
samen met een nieuw HijackThis log.

Emphyrio :)

06:21 door

Emphyrio

@Dark Night : het is beter om een HJT analyse te laten doen, op de daarin
gespecializeerde fora.
Bijvoorbeeld CastleCops, Bleeping Computer, ASO, Hijackthis.nl, Blue
Medicine,oplossing.be,...

Eén verkeerde fix in HJT en je systeem kan om zeep zijn. hetgeen gewoonlijk
resulteerd in een format.

Ik wil je echter toch een eindje op de goede weg helpen ;

Tijdens het uitvoeren van de procedures, sluit je best alle openstaande
vensters en overbodige programma's.

Download [url=http://www.besttechie.net/tools/mbam-setup.exe]MBAM
(Malwarebytes' Anti-Malware) versie 1.20[/url].
Dubbelklik op mbam-setup.exe om het programma te installeren.
Plaats een vinkje voor Update Malwarebytes Anti-Malware en Start
Malwarebytes' Anti-Malware.
Klik daarna op Voltooien.
Indien een update gevonden werd, zal die gedownload en geïnstalleerd
worden.
Selecteer in het tabblad Scanner : "Snelle Scan" en klik op Scan.
Het scannen kan een tijdje duren, dus wees geduldig.

Wanneer de scan voltooid is, klik op OK, daarna Bekijk Resultaten
om de resultaten te zien. Zorg ervoor dat daar alles aangevinkt is. Klik op:
Verwijder geselecteerde.

Na het verwijderen zal een log openen en zal er gevraagd worden om de
computer opnieuw op te starten.
Indien MBAM moeilijkheden heeft met het verwijderen van
bepaalde bestanden,
zal het enkele meldingen geven waar je OK moet klikken.
Daarna zal het vragen om de Computer opnieuw op te starten... dus sta toe
dat MBAM de computer opnieuw opstart.

De log wordt automatisch bewaard door MBAM en kan je terugvinden door op
de "Logs" tab te klikken in MBAM.

Emphyrio :)

08:35 door

pikah

Ga met dit logje even naar het nucia forum en post het daar
even. Ze zullen je daar goed kunnen helpen.

http://www.nucia.nl/forum/index.php

08:40 door

Door pikah
Ga met dit logje even naar het nucia forum en post het daar
even. Ze zullen je daar goed kunnen helpen.

http://www.nucia.nl/forum/index.php

Nucia = ASO ;)

18-07-2008,

23:40 door

Thanks voor alle hulp iedereen :)

Het probleem is opgelost met MBAM :)

Greetz

19-07-2008,

15:54 door

Door Dark Knight
Thanks voor alle hulp iedereen :)

Het probleem is opgelost met MBAM :)

Greetz

;)

11-08-2008,

08:10 door

Ik heb dit ook, echter na het opstarten komt hij op het eind met een blauw
scherm, geheugendump. Ik haal internet om te downloaden dus nog en
eens. Iemand een oplossing? Veilige modus doet hij wel. Virusscanner en
spywareverwijderaar vinden niets.

Edwin

E-mail:
Wachtwoord:
Blijf 30 dagen ingelogd
Wachtwoord kwijt? Account aanmaken