Jump to content


 


Register a free account to unlock additional features at BleepingComputer.com
Welcome to BleepingComputer, a free community where people like yourself come together to discuss and learn how to use their computers. Using the site is easy and fun. As a guest, you can browse and view the various discussions in the forums, but can not create a new topic or reply to an existing one unless you are logged in. Other benefits of registering an account are subscribing to topics and forums, creating a blog, and having no ads shown anywhere on the site.


Click here to Register a free account now! or read our Welcome Guide to learn how to use this site.

Photo

Zolob Troubles


  • This topic is locked This topic is locked
15 replies to this topic

#1 Marcvertigo

Marcvertigo

  • Members
  • 8 posts
  • OFFLINE
  •  
  • Local time:08:24 AM

Posted 25 April 2006 - 08:16 AM

Hello,

I'm new here and from belgium. Hope you can help me.

I have (i think) a virus (Zolob) and it takes my startpage away and tells me that my computer was taken over.

I'm really not an expert..al i do is reading a lot about these sites so i have been taking a log (hijack this)
that i send you now.

I have Spybot Search and Destroy, Microsoft Antispyware, Ad-ware. Microsoft Antispyware finds it, even removes it,
but it still is coming back.

Hope you really can help me. Need this comp every hour for my work.

Thanks in advance.

PS : All things in the log, concerning Assurnet, Anet, Portima and VNC are things i really need.

Logfile of HijackThis v1.99.1
Scan saved at 15:16:02, on 25/04/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Symantec AntiVirus\SavRoam.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Common Files\ACD Systems\EN\DevDetect.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\COMMON~1\PCSuite\Services\SERVIC~1.EXE
C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe
C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Program Files\Messenger\msmsgs.exe
C:\PROGRA~1\COMMON~1\Nokia\MPAPI\MPAPI3s.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\MalwareWipe\MalwareWipe.exe
C:\Program Files\MalwareWipe\MalwareWipe.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Documents and Settings\bogaert\Local Settings\Temp\Tijdelijke map 1 voor hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bogaertnv.be/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.bogaertnv.be
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.bogaertnv.be
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = www.front-office.axa.portima;www.front-office.axa.portima;www.front-office.axa.portima;www.front-office.axa.portima;www.front-office.axa.portima;www.front-office.axa.portima;www.front-office.axa.portima;www.phoenix.axa.be;learningacademy.*;*.portima;www.ben.portima;*.assurnet
O2 - BHO: Nothing - {edbf1bc8-39ab-48eb-a0a9-c75078eb7c8e} - C:\WINDOWS\System32\hp218.tmp
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Device Detector] "C:\Program Files\Common Files\ACD Systems\EN\DevDetect.exe" -autorun
O4 - HKLM\..\Run: [startAS2] C:\AnetLP\assurnet\esd\esdrun.exe C:\AnetLP\assurnet\esd\startas2.dws
O4 - HKLM\..\Run: [SetProxyAS2] C:\AnetLP\Assurnet\CeWeb\RunREgOn.exe -f C:\AnetLP\Assurnet\CeWeb\ProxyPar.txt
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [startAS22] C:\AnetLP\assurnet\esd\esdrun.exe C:\AnetLP\assurnet\esd\startas22.dw2
O4 - HKLM\..\Run: [SetZn5IE] SetZn5IE.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [MalwareWipe] C:\Program Files\MalwareWipe\MalwareWipe.exe /h
O4 - HKCU\..\Run: [LDM] \Program\
O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Esd Check.lnk = C:\AnetLP\Assurnet\Esd\EsdCheck.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logon Assurnet.lnk = C:\AnetLP\AnetLC\Assurnet\Apicom\ApicomLogon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O15 - Trusted Zone: http://www.agf.assurnet
O15 - Trusted Zone: http://www.agf2.assurnet
O15 - Trusted Zone: http://www.prolinknet.assurnet
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/7/532/6712/6c5b0a...5/Installer.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{925B6A97-3C1F-41C7-A7A1-07996A89E9CB}: NameServer = 62.112.0.8,62.112.0.7
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Program Files\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

BC AdBot (Login to Remove)

 


#2 miekiemoes

miekiemoes

    Malware Killer Dog


  • Malware Response Team
  • 19,420 posts
  • OFFLINE
  •  
  • Gender:Female
  • Location:Belgium
  • Local time:03:24 PM

Posted 25 April 2006 - 02:27 PM

Hoi,

Aangezien je van Belgie bent, dan maar meteen in het Nederlands, lijkt voor beiden gemakkelijker. :thumbsup:

Ik zie dat je hijackthis nog draait vanuit de zipmap in je tempmap. Dus ik raad je aan om hijackthis eerst te unzippen/uit te pakken en daarna te verplaatsen naar een permanente map omdat hijackthis ook backups maakt en die kunnen wel eens verloren geraken indien deze in je tempmap blijft staan.
Maak een permanente map aan:
Ga naar Deze Computer > C > Program Files. Klik op Bestand > Nieuw > Map. Noem deze map HijackThis.
Plaats nu de HijackThis.exe in die map.

Het is beter om mijn volgende instructies uit te printen of in kladblok op te slaan, want straks moet je in veilige mode werken zonder internetconnectie, dus is deze pagina niet beschikbaar.
Ook is het heel belangrijk dat je geen enkele van mijn onderstaande stappen mist!!

* Download SmitfraudFix (by S!Ri)
Unzip het naar je bureaublad.
Lees hier hoe je op de juiste wijze moet unzippen/uitpakken.
Dit zal een nieuwe map op je bureaublad aanmaken met de naam Smitfraudfix
Verder nog niet gebruiken.

* Start nu je pc op in VEILIGE MODE. ( zonder netwerkondersteuning! )
Hoe start ik in veilige mode op.

* Start Hijackthis en vink volgende items aan indien nog aanwezig:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Nothing - {edbf1bc8-39ab-48eb-a0a9-c75078eb7c8e} - C:\WINDOWS\System32\hp218.tmp
O4 - HKLM\..\Run: [MalwareWipe] C:\Program Files\MalwareWipe\MalwareWipe.exe /h


Indien je volgende niet kent, vink deze ook aan in hijackthis:

O4 - HKLM\..\Run: [SetZn5IE] SetZn5IE.exe

* Sluit alle open vensters.(belangrijk!!)
Klik daarna op Fix checked onderaan en sluit HijackThis

* Zoek daarna via verkenner naar volgende mappen/bestanden en verwijder deze indien nog aanwezig:

C:\Program Files\MalwareWipe <== map

* Clean de Cache and Cookies in IE:
  • Sluit Internet Explorer.
  • Ga naar Configuratiescherm > Internet Opties > tab Algemeen
  • Klik de "Cookies verwijderen" knop
  • Klik op de "Bestanden verwijderen" knop ernaast
  • Vink aan: "Ook alle off line items verwijderen", klik OK
* Clean de Cache and Cookies in Firefox (In geval Firefox ge´nstalleerd is):
  • Go to Extra > Opties.
  • Klik Privacy in het menu.
  • Klik op de knop wissen (Geschiedenis, Cookies, Cache).
  • Klik OK om het venster opnieuw te sluiten.
* Clean andere Temporary files + Prullenbak
  • Ga naar start > uitvoeren en typ: cleanmgr en klik ok.
  • Laat het je systeem scannen op bestanden die moeten verwijderd worden
  • Zorg er wel voor dat je daar enkel maar 'tijdelijke bestanden', 'tijdelijke internetbestanden' en 'prullenbak' staan aangevinkt.
  • Klik daarna op ok.
* Open de SmitfraudFix map en dubbelklik smitfraudfix.cmd
Kies optie #2 - Clean door 2 te typen en op "Enter" te klikken.

Er zal gevraagd worden : "Registry cleaning - Do you want to clean the registry ?"; antwoord "Yes/ja" door Y te typen en daarna op "Enter" te klikken. Dit zal je bureaublad terug herstellen en registersleutels die deze infectie heeft gemaakt terug verwijderen.

Daarna zal de tool nagaan als wininet.dll is ge´nfecteerd. Indien dit het geval is, zal er gevraagd worden om de ge´nfecteerde wininet.dll te herplaatsen met een niet ge´nfecteerde kopie van wininet.dll aanwezig op je computer (indien gevonden); antwoord "Yes/ja" door Y te typen en daarna op Enter te klikken.

De tool zal daarna je computer opnieuw laten opstarten om de restanten te verwijderen;
Indien het niet automatisch opstart, start je pc zelf opnieuw op naar normale mode terug (dus geen veilige mode)
Een log zal openen na het opnieuw opstarten. Deze bevindt zich ook hier: C:\rapport.txt
Ik heb die log later nodig als checkup.

Opgelet : Optie #2 gebruiken op een niet ge´nfecteerde computer zal uw bureaublad verwijderen.

* Voer een onlinescan uit met Panda: http://www.pandasoftware.com/products/activescan.htm
Vink aan: All my computer
Zorg ervoor dat alles aangevinkt is in de scanopties.

Na de scan kan je een log laten maken. Bewaar die log naar je bureaublad en kopieer en plak die in je volgend bericht,
samen met een nieuwe HijackThis Log en de log van smitfraudfix ( C:\rapport.txt )

Extra noot.. Kan je even via start > zoeken naar volgend bestand zoeken?
SetZn5IE.exe
Kan zijn dat deze niet meer aanwezig is.
Indien nog aanwezig, ga naar volgende site:
http://www.virustotal.com/en/indexf.html
Bovenaan zal je 'Bladeren' vinden.
Klik de bladeren-knop en blader naar volgend bestand (zal waarschijnlijk in je system32-map staan):

SetZn5IE.exe

Klik open
Daarna klik je op de Send-knop
Dit zal het bestand scannen.
Eenmaal gedaan met scannen, kopieer en plak de resultaten ook in je volgende post.
AntispywareScanners---Antivirus Scanners---Firewalls---Online Scanners---Prevention---Help! My computer is slow---My Blog---Follow me on Twitter.
My help is ALWAYS FREE, but if you want to donate to help me continue my fight against malware -- click here!
Asking for help via Private Message or Mail will be ignored - So If you need help, post your problem in the forum.

#3 Marcvertigo

Marcvertigo
  • Topic Starter

  • Members
  • 8 posts
  • OFFLINE
  •  
  • Local time:08:24 AM

Posted 28 April 2006 - 12:02 PM

Hoi,

Dank voor je snel antwoord en leuk dat ik in Nederlands verder kan.

Ik heb gedaan wat je vroeg. Alleen die pandasoftware site deed extreem lang over die scan, meer dan een uur, en ik ben er ook eens uitgevolgen, want toen ik terugkwam stond de PC op "CTR ALT DEL". Maar de tweede lukte beter.

Hierna de logs: Hijack this, panda en virustotal.

Ik zie wel al dat er geen popups meer komen, mijn startpagina is msn en alles lijkt er al beter uit te zien, maar ik denk dat ik nog niet klaar ben ...


Dank in ieder geval voor uw medewerking.


Marc

Logfile of HijackThis v1.99.1
Scan saved at 18:43:01, on 28/04/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Symantec AntiVirus\SavRoam.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Common Files\ACD Systems\EN\DevDetect.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe
C:\PROGRA~1\COMMON~1\PCSuite\Services\SERVIC~1.EXE
C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Program Files\Messenger\msmsgs.exe
C:\PROGRA~1\COMMON~1\Nokia\MPAPI\MPAPI3s.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = www.front-office.axa.portima;www.front-office.axa.portima;www.front-office.axa.portima;www.front-office.axa.portima;www.front-office.axa.portima;www.front-office.axa.portima;www.front-office.axa.portima;www.phoenix.axa.be;learningacademy.*;*.portima;www.ben.portima;*.assurnet
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Device Detector] "C:\Program Files\Common Files\ACD Systems\EN\DevDetect.exe" -autorun
O4 - HKLM\..\Run: [startAS2] C:\AnetLP\assurnet\esd\esdrun.exe C:\AnetLP\assurnet\esd\startas2.dws
O4 - HKLM\..\Run: [SetProxyAS2] C:\AnetLP\Assurnet\CeWeb\RunREgOn.exe -f C:\AnetLP\Assurnet\CeWeb\ProxyPar.txt
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [startAS22] C:\AnetLP\assurnet\esd\esdrun.exe C:\AnetLP\assurnet\esd\startas22.dw2
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe
O4 - HKCU\..\Run: [LDM] \Program\
O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Esd Check.lnk = C:\AnetLP\Assurnet\Esd\EsdCheck.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logon Assurnet.lnk = C:\AnetLP\AnetLC\Assurnet\Apicom\ApicomLogon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O15 - Trusted Zone: http://www.agf.assurnet
O15 - Trusted Zone: http://www.agf2.assurnet
O15 - Trusted Zone: http://www.prolinknet.assurnet
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/7/532/6712/6c5b0a...5/Installer.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{925B6A97-3C1F-41C7-A7A1-07996A89E9CB}: NameServer = 62.112.0.8,62.112.0.7
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Program Files\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

PANDASOFTWARE



Incident Status Location

Adware:adware/ncase Not disinfected c:\windows\system32\saie_gdf.dat
Adware:adware/powersearch Not disinfected c:\windows\system32\stlb2.xml
Adware:adware/adsmart Not disinfected c:\windows\system32\thun.dll
Adware:adware/emediacodec Not disinfected c:\documents and settings\all users\bureaublad\Online Security Guide.url
Adware:adware/portalscan Not disinfected c:\windows\bundles\2020search.exe
Spyware:spyware/surfsidekick Not disinfected C:\Documents and Settings\bogaert\Local Settings\Temporary Internet Files\Ssk.log
Potentially unwanted tool:application/malwarewipe Not disinfected C:\Documents and Settings\bogaert\Bureaublad\MalwareWipe.lnk
Adware:adware/enhancemsearch Not disinfected c:\windows\Helper101.dll
Adware:adware/ieplugin Not disinfected c:\windows\kwv2.dat
Adware:adware/upspiralbar Not disinfected c:\windows\unist2.exe
Adware:adware/beginto Not disinfected c:\windows\system32\cache32_dsktptr
Adware:adware/tvmedia Not disinfected c:\windows\bundles
Adware:adware/oemji Not disinfected Windows Registry
Spyware:spyware/dluca Not disinfected Windows Registry
Dialer:dialer.dgi Not disinfected hkey_local_machine\software\Mpb
Adware:adware/adlogix Not disinfected Windows Registry
Adware:adware/delfinmedia Not disinfected Windows Registry
Adware:Adware/CWS.Searchmeup Not disinfected C:\Documents and Settings\bogaert\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\java.jar-3faba491-6c63035a.zip[GetAccess.class]
Adware:Adware/CWS.Searchmeup Not disinfected C:\Documents and Settings\bogaert\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\java.jar-3faba491-6c63035a.zip[Installer.class]
Adware:Adware/CWS.Searchmeup Not disinfected C:\Documents and Settings\bogaert\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\java.jar-bae16f0-21622a8c.zip[GetAccess.class]
Adware:Adware/CWS.Searchmeup Not disinfected C:\Documents and Settings\bogaert\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\java.jar-bae16f0-21622a8c.zip[Installer.class]
Potentially unwanted tool:Application/Processor Not disinfected C:\Documents and Settings\bogaert\Bureaublad\SmitfraudFix\Process.exe
Potentially unwanted tool:Application/Processor Not disinfected C:\Documents and Settings\bogaert\Bureaublad\SmitfraudFix.zip[SmitfraudFix/Process.exe]
Spyware:Spyware/ClearSearch Not disinfected C:\old_pc\Program Files\Lycos\IEagent\CSIE.DLL
Adware:Adware/PortalScan Not disinfected C:\old_pc\temporary\install53.exe
Adware:Adware/StatBlaster Not disinfected C:\old_pc\WINNT\SYSTEM32\O
Spyware:Spyware/Dluca Not disinfected C:\old_pc\WINNT\SYSTEM32\sncntr.exe
Adware:Adware/AdDestroyer Not disinfected C:\Program Files\Microsoft AntiSpyware\Quarantine\05CAE3AB-267D-440D-9A94-A59133\33E6952F-807B-434F-9A61-E0221E
Adware:Adware/VirtualBouncer Not disinfected C:\Program Files\Microsoft AntiSpyware\Quarantine\05CAE3AB-267D-440D-9A94-A59133\356F59B3-9B3A-4F17-86F5-4F0B29
Adware:Adware/DelFinMedia Not disinfected C:\Program Files\Microsoft AntiSpyware\Quarantine\0FDC7B20-5361-4AE9-B44C-90EF8A\6897C45E-A8D1-45F6-B1F9-B7794A
Adware:Adware/SurfAccuracy Not disinfected C:\Program Files\Microsoft AntiSpyware\Quarantine\4450FDEA-75BF-44C4-965B-036A0E\26C60263-2CFC-40E8-8773-ECA31B
Adware:Adware/BrowserAid Not disinfected C:\Program Files\Microsoft AntiSpyware\Quarantine\69FABF43-8C00-4DD4-8426-355BA6\A6D7D264-CC64-4BB6-8B32-44626A
Adware:Adware/DelFinMedia Not disinfected C:\Program Files\Microsoft AntiSpyware\Quarantine\9BFC49A2-1248-4484-A9DB-573CC4\C7611956-7838-4F41-93B6-5FAF9E
Possible Virus. Not disinfected C:\Program Files\Nokia\Nokia PC Suite 6\Nokia PC Suite.msi[unk_0109]
Potentially unwanted tool:Application/Processor Not disinfected C:\smitremover\smitRem\Process.exe
Potentially unwanted tool:Application/Processor Not disinfected C:\smitremover\smitRem.exe[smitRem/Process.exe]
Adware:Adware/VirtualBouncer Not disinfected C:\WINDOWS\bundles\2504041110.exe
Adware:Adware/Beginto Not disinfected C:\WINDOWS\bundles\desktrf-162813.exe
Spyware:Spyware/Apropos Not disinfected C:\WINDOWS\bundles\Verti1.exe[QuickBrowser.exe]
Spyware:Spyware/Apropos Not disinfected C:\WINDOWS\bundles\Verti1.exe[QBAux.exe]
Possible Virus. Not disinfected C:\WINDOWS\Installer\17c1926.msi[unk_0051]
Possible Virus. Not disinfected C:\WINDOWS\Installer\3b301.msi[unk_0051]
Dialer:Dialer.VU Not disinfected C:\WINDOWS\system32\svcrxy.exe






Virustotal

ViruVirusTotalVirusTotal is a free file analisys service that works using several antivirus engines.


Select file : DistributeSSL

Enter your email, choose the file to be scanned with multiple antivirus engines and click Send.Menu:
News Hot news in the virus/antivirus sector.
Estadisticas Statistics of VirusTotal procesing.
Virustotal More info about Virustotal.


STATUS: FINISHEDComplete scanning result of "SetZn5IE.exe", received in VirusTotal at 04.28.2006, 18:32:46 (CET).

Antivirus Version Update Result
AntiVir 6.34.0.24 04.20.2006 no virus found
Avast 4.6.695.0 04.28.2006 no virus found
AVG 386 04.27.2006 no virus found
Avira 6.34.1.58 04.28.2006 no virus found
BitDefender 7.2 04.28.2006 no virus found
CAT-QuickHeal 8.00 04.28.2006 no virus found
ClamAV devel-20060202 04.27.2006 no virus found
DrWeb 4.33 04.28.2006 no virus found
eTrust-InoculateIT 23.71.141 04.28.2006 no virus found
eTrust-Vet 12.4.2184 04.28.2006 no virus found
Ewido 3.5 04.28.2006 no virus found
Fortinet 2.71.0.0 04.27.2006 no virus found
F-Prot 3.16c 04.28.2006 no virus found
Ikarus 0.2.59.0 04.28.2006 P2P-Worm.Win32.Polipos.a
Kaspersky 4.0.2.24 04.28.2006 no virus found
McAfee 4751 04.28.2006 no virus found
Microsoft 1.1372 04.28.2006 no virus found
NOD32v2 1.1511 04.28.2006 no virus found
Norman 5.90.17 04.28.2006 no virus found
Panda 9.0.0.4 04.28.2006 no virus found
Sophos 4.05.0 04.28.2006 no virus found
Symantec 8.0 04.28.2006 no virus found
TheHacker 5.9.7.136 04.28.2006 no virus found
UNA 1.83 04.27.2006 no virus found
VBA32 3.11.0 04.28.2006 no virus found


Aditional Information
File size: 100352 bytes
MD5: cbcbade813ed87a410cd21f6f7623857
SHA1: 11d6b113da2d476a092238534af87a5fd1d301c2

VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.
> Go to: Home Contactar En Espa˝ol
--------------------------------------------------------------------------------
www.virustotal.com :: ęHispasec Sistemas 2004-06:: e-mail info@virustotal.com

#4 Marcvertigo

Marcvertigo
  • Topic Starter

  • Members
  • 8 posts
  • OFFLINE
  •  
  • Local time:08:24 AM

Posted 28 April 2006 - 12:05 PM

Hoi again,


Wat ik nog vergeten was : ik heb dat bestand Setzn5IE.exe (na virustotal) manueel verwijderd, hoop dat dat niet erg was.

Groeten

Marc

#5 miekiemoes

miekiemoes

    Malware Killer Dog


  • Malware Response Team
  • 19,420 posts
  • OFFLINE
  •  
  • Gender:Female
  • Location:Belgium
  • Local time:03:24 PM

Posted 28 April 2006 - 12:27 PM

hoi,

Wat ik nog vergeten was : ik heb dat bestand Setzn5IE.exe (na virustotal) manueel verwijderd, hoop dat dat niet erg was.


Nee, was niet erg, maar het baart me wel zorgen dat het als P2P-Worm.Win32.Polipos.a werd aangegeven, want dit is geen goed nieuws indien dit echt zo is.
Lees hier voor meer info wat betreft deze worm:
http://www.bitdefender.com/VIRUS-1000066-e....Polipos.A.html

Deze infecteert iedere exe en scr bestand op je computer en een format is in deze gevallen de beste oplossing, want verwijderen van die bestanden kan je al niet aangezien het ook gaat over bestanden die nodig zijn voor je systeem - en het desinfecteren van de bestanden kunnen de bestanden ook 'nutteloos' maken.
Dus hier wil ik zekerheid of bovenstaande een valse melding is en dit maar gaat over ÚÚn ge´nfecteerd bestand, of er meerdere ge´nfecteerd zijn. Panda is blijkbaar niet goed in het traceren van deze infectie, daarom zal ik je een andere scanner laten gebruiken.
Indien bestanden als ge´nfecteerd worden gezien, ga ze asjeblief niet gaan verwijderen, want zoals ik al aangegeven heb, dit zijn legitieme bestanden.
We zullen wel zien in welke mate je ge´nfecteerd bent en hoe het het best aan te pakken.

Maar verwijder eerst volgende mappen en bestanden:

c:\windows\system32\saie_gdf.dat
c:\windows\system32\stlb2.xml
c:\windows\system32\thun.dll
c:\documents and settings\all users\bureaublad\Online Security Guide.url
c:\windows\bundles\2020search.exe
C:\Documents and Settings\bogaert\Local Settings\Temporary Internet Files\Ssk.log
C:\Documents and Settings\bogaert\Bureaublad\MalwareWipe.lnk
c:\windows\Helper101.dll
c:\windows\kwv2.dat
c:\windows\unist2.exe
c:\windows\system32\cache32_dsktptr <= map
c:\windows\bundles <= map
C:\old_pc\Program Files\Lycos\IEagent\CSIE.DLL
C:\old_pc\temporary\install53.exe
C:\old_pc\WINNT\SYSTEM32\O
C:\old_pc\WINNT\SYSTEM32\sncntr.exe
C:\WINDOWS\Installer\17c1926.msi
C:\WINDOWS\Installer\3b301.msi
C:\WINDOWS\system32\svcrxy.exe

Daarna, clean je Java cache..
Om dit te doen, ga naar start > configuratiescherm en zoek het java icoontje en dubbelklik erop.
Indien je het java icoontje niet kan vinden, kijk links in configuratiescherm en zet het op klassieke weergave.
Na het klikken op het java icoontje zal een nieuw venster openen.
Kies daar de optie: Temporary Internet Files
En klik de Delete-knop.

Daarna voer volgende online scan uit:
http://www.bitdefender.com/scan8/
Bewaar de log ervan en post die in je volgende post. Je kan deze log ook als een html bestand opslaan, dus indien je webspace hebt en het ergens kan uploaden is het zelfs beter.

Op hoop van zegen dat bovenstaande van polipos een valse melding is.

Trouwens, je hijackthislog ziet er weer goed uit.
AntispywareScanners---Antivirus Scanners---Firewalls---Online Scanners---Prevention---Help! My computer is slow---My Blog---Follow me on Twitter.
My help is ALWAYS FREE, but if you want to donate to help me continue my fight against malware -- click here!
Asking for help via Private Message or Mail will be ignored - So If you need help, post your problem in the forum.

#6 Marcvertigo

Marcvertigo
  • Topic Starter

  • Members
  • 8 posts
  • OFFLINE
  •  
  • Local time:08:24 AM

Posted 28 April 2006 - 01:25 PM

Dat is snel !

Dank je.

Heb manueel de gevraagde mappen en bestanden verwijderd. Vond er twee niet :



C:\Documents and Settings\bogaert\Local Settings\Temporary Internet Files\Ssk.log
C:\Documents and Settings\bogaert\Bureaublad\MalwareWipe.lnk



Java cache verwijderd.

Bitdefender draait niet bij mij. Na twee pop-ups blijft scanner steken op 67714 (files ?) en doet dan minutenlang niets meer. Als ik wil tussenkomen zit computer vast en moet ik ctr alt del toepassen om te beŰindigen.

Moet ik langer wachten of werk dit niet zo goed (bij mij ) ?

Dank u

Marc

#7 Marcvertigo

Marcvertigo
  • Topic Starter

  • Members
  • 8 posts
  • OFFLINE
  •  
  • Local time:08:24 AM

Posted 28 April 2006 - 01:30 PM

Hoi again,

Moet ik trouwens die removal tool van de site

http://www.bitdefender.com/VIRUS-1000066-e....Polipos.A.html


laten draaien ??


MVG

Marc

#8 miekiemoes

miekiemoes

    Malware Killer Dog


  • Malware Response Team
  • 19,420 posts
  • OFFLINE
  •  
  • Gender:Female
  • Location:Belgium
  • Local time:03:24 PM

Posted 28 April 2006 - 01:40 PM

Hoi,

Staat er geen MalwareWipe meer op je bureaublad? Indien wel, verwijder het.
Die tool die je aangeeft is niet echt een removaltool, maar een tool om het uit het geheugen te laden. Daardoor zijn de ge´nfecteerde bestanden nog altijd aanwezig hoor. Je kan het proberen en probeer daarna de online scan van Bitdefender nog eens te gebruiken.
Indien deze scanner nog altijd niet deftig wil werken, voer volgende online scan uit:

Kaspersky WebScanner
Klik "Launch Kaspersky Anti-Virus Web Scanner"
Men zal vragen of je de activeX wil installeren, klik ja.
Het zal daarna beginnen met de database/definition files te downloaden.
Wanneer dit gedaan is, klik op "Next"

* Klik "Scan Settings"
Selecteer het volgende: (zal normaal zo al standaard staan)

░Scan using the following Anti-Virus database: Standard

░Scan Options: Scan Archives
Scan Mail Bases

* Klik OK
* Onder 'select a target to scan', kies "My Computer"

* Nu zal het beginnen scannen. Dit zal een tijdje duren, dus asjeblief wees geduldig.
Wanneer de scan gedaan is zal het een lijst tonen van alle ge´nfecteerde bestanden.

* Klik op de "Save as Text"- knop:
Bewaar die log naar je bureaublad en kopieer en plak die in je volgend bericht.

Ik hoop dus echt dat je NIET met dit virus te maken hebt, want zelfs het desinfecteren van deze infectie kan sommige bestanden die je systeem nodig heeft 'nutteloos' maken. Dus, het zal afhangen van in welke mate deze al schade aan je systeem heeft toegebracht of een format al dan niet aangeraden is.
Doch, zoals ik al eerder heb aangegeven wil ik eerst een log zien van een andere scanner om zeker te zijn of je al dan niet met deze infectie te maken hebt en/of voorgaande misschien een valse melding is, want ik vind het raar dat enkel maar ÚÚn scanner deze ziet als polipos en de anderen herkennen het niet.
AntispywareScanners---Antivirus Scanners---Firewalls---Online Scanners---Prevention---Help! My computer is slow---My Blog---Follow me on Twitter.
My help is ALWAYS FREE, but if you want to donate to help me continue my fight against malware -- click here!
Asking for help via Private Message or Mail will be ignored - So If you need help, post your problem in the forum.

#9 Marcvertigo

Marcvertigo
  • Topic Starter

  • Members
  • 8 posts
  • OFFLINE
  •  
  • Local time:08:24 AM

Posted 28 April 2006 - 02:03 PM

Begin hier serieus ongerust te worden.

Na Bitdefender draait ook Kasperksy niet. Als ik op 'accept' klik doet scherm niets, alleen links onderaan staat fout op pagina.

Daarna gans PC maar heropgestart (hoop dat dat niet erg is) en kreeg niet wel een melding dat een bestand (Setzn5IE of zoiets) niet gevonden werd, maar ik kon wel verder.

Zijn er nog mogelijkheden. Ik moet wel zeggen dat PC voor de rest normaal doet. Onze eigen website heb ik terug als startpagina gezet en ik kreeg geen enkele ongewenste pop up of melding meer.

Maar ik vrees dat daarmee niet alles opgekuist is.

Leuke hondjes heb je trouwens. Ik was zelf 15 jaar hondeninstructeur
(gehoorzaamheid) en heb 2 border collies waarvan 1 in competitie.
(Ik was zo vrij even je website te bekijken in afwachting van dit 'probleem')Zeer mooie site, en dat zeg ik niet uit beleefdheid.

Nogmaals dank.

MVG

Marc

#10 miekiemoes

miekiemoes

    Malware Killer Dog


  • Malware Response Team
  • 19,420 posts
  • OFFLINE
  •  
  • Gender:Female
  • Location:Belgium
  • Local time:03:24 PM

Posted 28 April 2006 - 02:53 PM

Vreemd. ActiveX werkt blijkbaar, anders kon je Panda online scan ook niet uitvoeren.
We zullen even je hosts file moeten aanpakken denk ik, dus voer het volgende uit:
* Download: Hoster
Unzip hoster naar een eigen map, bv C:\Hoster
Start Hoster.exe, klik 'Restore Original Hosts' en klik OK. Sluit daarna het programma af.

Ook raad ik aan om sun Java te herinstalleren, want het is me hier niet helemaal duidelijk of deze nog deftig ge´nstalleerd is of niet en kan ook de reden zijn waarom online scans niet lukken -
Dus download Sun Java van hier en installeer het:
http://www.java.com/en/download/manual.jsp

Blijkbaar wordt die SetZn5IE.exe ook van ergens anders opgestart, anders zou je die foutmelding niet moeten krijgen na herstart.

Voer even het volgende uit..

Download Silent Runners
Unzip het naar een permanente map.
Start SilentRunners.vbs
Wanneer je antivirus een melding geeft, blokkeer dit niet, maar laat het script toe.
Kopieer en plak de inhoud van de txtfile die je verkrijgt in je volgende post.

Probeer ook ÚÚn van de online scanners opnieuw (bitdefender, kaspersky)
AntispywareScanners---Antivirus Scanners---Firewalls---Online Scanners---Prevention---Help! My computer is slow---My Blog---Follow me on Twitter.
My help is ALWAYS FREE, but if you want to donate to help me continue my fight against malware -- click here!
Asking for help via Private Message or Mail will be ignored - So If you need help, post your problem in the forum.

#11 miekiemoes

miekiemoes

    Malware Killer Dog


  • Malware Response Team
  • 19,420 posts
  • OFFLINE
  •  
  • Gender:Female
  • Location:Belgium
  • Local time:03:24 PM

Posted 28 April 2006 - 04:39 PM

Hoi Marc,

Wat ik zitten denken heb..

Wat ik nog vergeten was : ik heb dat bestand Setzn5IE.exe (na virustotal) manueel verwijderd, hoop dat dat niet erg was


Hoe meer ik naar je log begin te kijken, hoe meer ik ervan overtuigd ben dat dit een valse melding is. :thumbsup:
Ik heb even op enkele entries in je hijackthislog gegoogeld, vooral gerelateerd met http://www.portima.com/ ( http://www.portima.com/Nl/Producten/netwerkproducten.shtm ) en enkele andere logs bekeken waar dit bestandje ook in aanwezig was: Setzn5IE.exe
Maw, die Setzn5IE.exe is gerelateerd met je Portima. Dus was eigenlijk helemaal niks mis mee.
Even de software opnieuw installeren zal dat bestandje terug moeten plaatsen.
Dus in feite is het goed nieuws voor je en heb je helemaal niet met dat virus te maken :flowers:

Bij deze moet je voorgaande scans niet opnieuw uitvoeren en die silent runnerslog is ook niet nodig.

Edited by miekiemoes, 28 April 2006 - 04:43 PM.

AntispywareScanners---Antivirus Scanners---Firewalls---Online Scanners---Prevention---Help! My computer is slow---My Blog---Follow me on Twitter.
My help is ALWAYS FREE, but if you want to donate to help me continue my fight against malware -- click here!
Asking for help via Private Message or Mail will be ignored - So If you need help, post your problem in the forum.

#12 Marcvertigo

Marcvertigo
  • Topic Starter

  • Members
  • 8 posts
  • OFFLINE
  •  
  • Local time:08:24 AM

Posted 28 April 2006 - 05:29 PM

Hoi Miekiemoes,


Dank je voor het goede nieuws. En dank voor je betrokkenheid.

Portima is inderdaad iets wat ik dagelijks nodig heb. Kan dat waarschijnlijk wel niet zelf opnieuw installeren.
Mss kan ik dat bestand van een van de andere PC's kopiŰren ? Ik vraag wel eens aan de leveranciers.

Ben nu toch wel gerustgesteld. Stel je een format voor !


Nogmaals dank ...als ik ooit iets terug kan doen ? :thumbsup:


Zal ik via donaties gaan of ga je liever op restaurant ? :flowers:

Groeten

Marc

#13 miekiemoes

miekiemoes

    Malware Killer Dog


  • Malware Response Team
  • 19,420 posts
  • OFFLINE
  •  
  • Gender:Female
  • Location:Belgium
  • Local time:03:24 PM

Posted 28 April 2006 - 06:18 PM

Hoi Marc,

Ja, dat bestandje kan je van een andere pc kopieren met deze software ge´nstalleerd, is geen probleem.
Plaats het gewoon terug in de map waar je het verwijderd hebt (Ik veronderstel dat dit de system32-map was?)

Ook zal je volgend regeltje terug moeten herstellen in hijackthis:
O4 - HKLM\..\Run: [SetZn5IE] SetZn5IE.exe
Dit kan je doen door hijackthis te openen, kiezen voor config (rechts onderaan), kies voor de opties backup en daar zal je ook alle regeltjes vinden die je gefixt hebt. Daar selecteer je O4 - HKLM\..\Run: [SetZn5IE] SetZn5IE.exe en klik je op de restore knop rechts.
Dit was enkel een startup sleutel die eerder verwijderd werd - maar hijackthis kan die probleemloos terugzetten.

Hoe dit te voorkomen in de toekomst:

Download en installeer alvast Spywareblaster
Dit voorkomt de installatie van op ActiveX gebaseerde spyware, adware, dialers, browserkapers en andere pests. Het beperkt tevens de acties van potentieel gevaarlijke sites in Internet Explorer en het blokkeert tracking cookies in Internet Explorer, Mozilla en Firefox. SpywareBlaster runt niet op de achtergrond.
Laat het ook wekelijks updaten.

Tijdens het surfen, klik niet overal klakkeloos op ja als je dit gevraagd wordt... doe dit enkel wanneer je het volledig vertrouwt.

En kies eventueel een alternatieve browser zoals Opera of Firefox.

Laat je antispywarescanners regelmatig scannen en zorg ervoor dat je ze eerst update vooraleer je ze laat scannen!! Ook hen eens laten scannen in veilige mode kan wonderen verrichten.

En ik raad je ook aan om af en toe een online virusscan uit te voeren. (Housecall en/of Bitdefender). Want, wat de ene scanner niet kan vinden, kan een andere misschien wel.
Zorg er ook voor dat je virusscanner die op je systeem ge´nstalleerd is altijd up to date is!!

En... geregeld eens een bezoekje brengen aan: http://windowsupdate.microsoft.com/

Wanneer je XP SP2 hebt, kijk hier hoe je je instellingen wat betreft de veiligheid in je Internet Explorer het best kan configureren:
http://www.microsoft.com/technet/security/...xp/iesecxp.mspx

Bezoek ook deze Free Online Scanner for PC Health and Safety

Happy surfing again!! :thumbsup:

Edited by miekiemoes, 28 April 2006 - 06:18 PM.

AntispywareScanners---Antivirus Scanners---Firewalls---Online Scanners---Prevention---Help! My computer is slow---My Blog---Follow me on Twitter.
My help is ALWAYS FREE, but if you want to donate to help me continue my fight against malware -- click here!
Asking for help via Private Message or Mail will be ignored - So If you need help, post your problem in the forum.

#14 Marcvertigo

Marcvertigo
  • Topic Starter

  • Members
  • 8 posts
  • OFFLINE
  •  
  • Local time:08:24 AM

Posted 29 April 2006 - 03:56 AM

Hello,

Bestandje setZn5ie teruggezet.

Regeltje hersteld in Hijackthis.

Spywareblaster geinstalleerd.

Ziet er nu allemaal heel netjes uit.

Zal inderdaad wat voorzichtiger zijn in de toekomst en nog meer letten op updates and scanning.


Nogmaals 1000 x dank.

Groeten

Marc

#15 miekiemoes

miekiemoes

    Malware Killer Dog


  • Malware Response Team
  • 19,420 posts
  • OFFLINE
  •  
  • Gender:Female
  • Location:Belgium
  • Local time:03:24 PM

Posted 29 April 2006 - 06:38 AM

Graag gedaan hoor. :thumbsup:

Since this issue appears resolved ... this Topic is closed.

If you need this topic reopened, please request this by sending the moderating team
a PM with the address of the thread. This applies only to the original topic starter.

Everyone else please begin a New Topic.
AntispywareScanners---Antivirus Scanners---Firewalls---Online Scanners---Prevention---Help! My computer is slow---My Blog---Follow me on Twitter.
My help is ALWAYS FREE, but if you want to donate to help me continue my fight against malware -- click here!
Asking for help via Private Message or Mail will be ignored - So If you need help, post your problem in the forum.




0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users