Mivercon Security Forum

Volledige versie: Help! Iemand bestuurd mijn pc!
U bekijkt momenteel een uitgeklede versie van ons materiaal. De volledige versie met bijbehorende opmaak weergeven.
Hallo,

Ik speel een online spel, genaamd Silkroad Online. Een andere onbekende speler (JannixTR lid van een groep CruelTurks) stuurde mij een link naar een site waar ik een zogenaamde "bot" kon downloaden. Zo stom als ik was deed ik dat ook en ik probeerde het te openen maar dat lukte niet. Dan zei die speler dat ik mijn ID en paswoord moest opschrijven op het notitieblok. Toen had ik door dat hij dat ging zien en ik deed het niet. Ik zei tegen hem dat hij een hacker was en dat ik hem door had. Hij somde dan alle programma's op die ik op mijn bureaublad heb staan + het feit dat ik een laptop heb (dat zag hij waarschijnlijk aan het batterijicoontje rechtsonderaan)

Ik maakte me vreselijk ongerust en scande mijn hele systeem met McAffee, Spybot S&D, Malwarebyte's Anti-Malware en Lavasoft Ad-Aware. Deze gaven allemaal aan dat er geen virus aanwezig was. Ik was weer gerust maar de volgende dag begon mijn muis helemaal uit zichzelf te werken. Hij ging niet naar links of rechts alleen naar boven en onder. Ik had gehoord dat ik via de commando's
netstat -a, -b, -n kon achterhalen welke connecties er met mijn pc gemaakt worden. Ik werd hier niet veel wijzer uit aangezien ik hier niets van ken. Ik checkte ook de draaiende processen maar daar was maar 1 verdacht iest: csrss.exe. Dat na mijn onderzoek een essentieel programma bleek te zijn als het zich in de map System32 bevond. Er stond echter geen pad bij en ook geen beschrijving, al was er wel een csrss.exe in mijn System32. Ik deed alle scans nog eens opnieuw en nu vond Malwarebyte's een programma ofzo genaamd "Cybergate". Ik zocht hier het nodige over op en ontdekte (http://www.youtube.com/watch?v=OrB9na5uVT0) dat het een programma was om een andere pc mee te besturen, zijn webcam te zien, zijn microfoon te beluisteren en zijn schermt te zien natuurlijk ook. Ik verwijderde het natuurlijk met Malwarebyte's maar ik weet niet zeker of alles nu opgelost is... Op het filmpje maakt iemand een server ofzo, die toegang geeft tot mijn pc. Het .exe bestand dat ik had gedownload was dan waarschijnlijk een server en hij heeft waarschijnlijk ook nog andere dingen geïnstalleerd(aangezien er een ftp-functie op zit). De bestanden die MBAM vond zaten in C:/directory/Cybergate... dat was dezelfde directory van het filmpje... Ik heb nog 2 computers in mijn netwerk: Een Mac 27" (1 jaar oud) en een oude desktop die via een router met elkaar verbonden zijn. Ik weet niet of de hacker (die dit waarschijnlijk niet kan lezen omdat het een Turk is, heb ik afgeleid uit zijn naam) nu nog aan mijn pc kan en/of de andere computers ook geïnfecteerd zijn. Ik ben hier nogal ongerust over. Ik kan een hijacklog posten, maar ik weet niet of dat mag in deze thread. Anders post ik hem later wel. Volgens mijn kan hij nog aan mijn pc, want telken als ik probeer op te zoeken hoe ik een Cybergate rat moet verwijderen, valt mijn browser stil. Op het filpje zag ik ook nog een heleboel dingen die hij waarschijnlijk ook van mij kan zien... zoals het programma dat openstaat enz. Wat moet ik nu doen?

Alvast bedankt voor jullie antwoorden,

Thorka
Hoi,

Blijkbaar heb je met een SpyNet Rat variant te maken. Dit is zo'n "toolkit" die amateurs in principe kunnen maken. Ze hoeven enkel de toolkit te gebruiken om de bestanden te laten maken en daarna je een link sturen zodat je erop klikt en het installeert.
Malwarebytes zal het waarschijnlijk ook wel als Backdoor.SpyNet gedetecteerd hebben. Heb je de log van Malwarebytes nog?
In ieder geval, ja post ook maar je HijackThis log.
Ivm je Mac hoef je je geen zorgen te maken, deze backdoor is niet voor een Mac gemaakt. Alsook hoef je je geen zorgen te maken over andere computers aanwezig. Deze backdoor is enkel maar actief op de pc waar je het geïnstalleerd hebt.

Trouwens, kan je me even de naam van die Hacker geven? Hoogstwaarschijnlijk is het een nicknaam, maar sommige van die amateurs zijn zo "stom" om hun echte naam op het internet te gebruiken.
Hallo,

Bedankt voor het snelle antwoord. Dit was ik nog vergeten te zeggen: Ik heb het .exe bestand ongeveer een maand geleden gedownload en geopend. In die maand is het 2x voorgevallen dat ik met alle pc's in mijn netwerk niet op Youtube of Facebook kon. Ik kon wel nog op facebook met de site m.facebook.com.
Sinds eergisteren schakelt mijn virusscanner zijn realtime-scanfunctie automatich uit, ook al zet ik het terug aan. Hetgeen ik hier typ typ ik in kladblok in de veilige modus omdat de normale modus altijd vast raakt en dan kan ik nog alleen de muis bewegen. Ik kon jullie site ook niet laden met de gewonde modus. Wel
met de Mac, dus ik zet deze logs op een usb-stick en post dit met de Mac. Terwijl ik dit typ, doet mijn muis weer raar. Mijn batterij was blijkbaar op en ik heb er een nieuwe ingestopt, maar hij schakelt zich nar 5 seconden automatich uit. Ik begon dus met het touchpad door te doen en dat deed ook al raar. Maar ik heb
wel iets ontdekt: als ik 3 centimeter boven het touchpad mijn hand naar beweeg, beweegt de muis mee. (alleen naar boven en onder). Misschien was het muisprobleem dat ik al eerder vermeld had dan het probleem van de hitte van de laptop die het touchpad in verwarring bracht... MBAM vond de mappen:
C:/directory/cybergate en C:/directory/cybergate/windows en herkende ze als Trojan.PWS Er zaten wle geen bestanden in. Ik weet dus toch niet zeker of het cybergate het probleem is. De Log's ga ik bijvoegen op de Mac en over de hacker: Waarschijnlijk zal het een amateur zijn, want ik denk niet dat serieuse hackers
hun tijd verdoen met spelletjes spelen... Hij wou waarschijnlijk alleen mijn Silkroad-account hacken, maar dat is natuurlijk niet zeker. (Hij heeft alleszins nog niet gehacked). Zijn nick is JannixTR en hij is lid van een "groep" op dat spel genaamd "Guild" CruelTurks. Uit deze namen kan ik afleiden dat het hoogstwaarschijnlijk een
Turk is. Op het filmpje in mijn vorige bericht zag je ook dat er een boot-bestand in het register zat, de install files in de root (beneden staat dan C:/directory/Cybergate, precies dezelfde map die MBAM had gevonden) en dat hij winlogon.exe infecteerde met iets. Ik weet hier niet veel over registerdingen enz. maar misschien
heeft dat er ook iets mee te maken. Ik heb ook ergens op google gelezen dat je zoiets kon oplossen door sommige poorten te blokkeren van het die het programma gebruikt, maar daar weet ik dan ook weer niets over... Ik dacht er over om mijn HD te formatteren en Windows opnieuw te installeren. Ik hoop dat de virus dan
weg is. Maar ik zal nog niets ondernemen tot ik daar zeker van ben.


De logs (ik vind niet hoe je een bijlage moet toevoegen in dit forum, sorry dat ik het hier gewoon kopieer):

Malwarebytes' Anti-Malware 1.46
http://www.malwarebytes.org

Databaseversie: 4666

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

6/10/2010 18:18:00
mbam-log-2010-10-06 (18-18-00).txt

Scantype: Snelle scan
Objecten gescand: 134834
Verstreken tijd: 2 minuut/minuten, 59 seconde(n)

Geheugenprocessen geïnfecteerd: 0
Geheugenmodulen geïnfecteerd: 0
Registersleutels geïnfecteerd: 0
Registerwaarden geïnfecteerd: 0
Registerdata geïnfecteerd: 0
Mappen geïnfecteerd: 2
Bestanden geïnfecteerd: 0

Geheugenprocessen geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)

Geheugenmodulen geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)

Registersleutels geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)

Registerwaarden geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)

Registerdata geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)

Mappen geïnfecteerd:
C:\directory\CyberGate (Trojan.PWS) -> Quarantined and deleted successfully.
C:\directory\CyberGate\vvindows (Trojan.PWS) -> Quarantined and deleted successfully.

Bestanden geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)


Hijack log:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 19:19:24, on 8/10/2010
Platform: Windows 7 (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Safe mode

Running processes:
C:\Program Files (x86)\Lavasoft\Ad-Aware\AAWTray.exe
C:\Program Files (x86)\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://g.uk.msn.com/USCON/4
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://g.uk.msn.com/USCON/4
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files (x86)\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files (x86)\Common Files\McAfee\SystemCore\ScriptSn.20100922181442.dll
O2 - BHO: Aanmeldhulp voor Windows Live ID - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files (x86)\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - C:\PROGRA~2\TerraTec\TERRAT~1\THCDES~1.DLL
O4 - HKLM\..\Run: [StartCCC] "c:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [mcui_exe] "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey
O4 - HKLM\..\Run: [Microsoft Default Manager] "C:\Program Files (x86)\Microsoft\Search Enhancement Pack\Default Manager\DefMgr.exe" -resume
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files (x86)\iTunes\iTunesHelper.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
O4 - .DEFAULT User Startup: Dell Dock First Run.lnk = C:\Program Files\Dell\DellDock\DellDock.exe (User 'Default user')
O8 - Extra context menu item: Add to &Evernote - res://C:\Program Files (x86)\Evernote\Evernote3.5\enbar.dll/2000
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200
O9 - Extra button: @C:\Program Files (x86)\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1004 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: @C:\Program Files (x86)\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1003 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: Add to Evernote - {E0B8C461-F8FB-49b4-8373-FE32E92528A6} - C:\Program Files (x86)\Evernote\Evernote3.5\enbar.dll
O9 - Extra 'Tools' menuitem: Add to Evernote - {E0B8C461-F8FB-49b4-8373-FE32E92528A6} - C:\Program Files (x86)\Evernote\Evernote3.5\enbar.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files (x86)\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll
O23 - Service: Andrea ST Filters Service (AESTFilters) - Andrea Electronics Corporation - C:\Windows\System32\DriverStore\FileRepository\stwrt64.inf_amd64_neutral_0057cbec48a2d7cf\AESTSr64.e​xe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: Mobiel Apple apparaat (Apple Mobile Device) - Apple Inc. - C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Bonjour-service (Bonjour Service) - Apple Inc. - C:\Program Files (x86)\Bonjour\mDNSResponder.exe
O23 - Service: Cron Service for Prey (CronService) - Fork Ltd. - C:\Prey\platform\windows\cronsvc.exe
O23 - Service: Dock Login Service (DockLoginService) - Unknown owner - C:\Program Files\Dell\DellDock\DockLogin.exe (file missing)
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\x86\ekrn.exe
O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel® Corporation - C:\Program Files\Intel\WiFi\bin\EvtEng.exe
O23 - Service: EyeTV Netstream - Elgato Systems GmbH - C:\Program Files (x86)\Elgato\EyeTV Netstream\EyeTVNetstreamSvc.exe
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: Google Updateservice (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files (x86)\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LogMeIn Hamachi 2.0 Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2.exe
O23 - Service: FF Install Filter Service (InstallFilterService) - Unknown owner - C:\Program Files (x86)\STMicroelectronics\Accelerometer\InstallFilterService.exe
O23 - Service: iPod-service (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files (x86)\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Intel® Management and Security Application Local Management Service (LMS) - Intel Corporation - C:\Program Files (x86)\Intel\Intel® Management Engine Components\LMS\LMS.exe
O23 - Service: McAfee Personal Firewall Service (McMPFSvc) - McAfee, Inc. - C:\Program Files\Common Files\McAfee\McSvcHost\McSvHost.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\Program Files\Common Files\mcafee\McSvcHost\McSvHost.exe
O23 - Service: McAfee VirusScan Announcer (McNaiAnn) - McAfee, Inc. - C:\Program Files\Common Files\mcafee\McSvcHost\McSvHost.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - C:\Program Files\Common Files\mcafee\McSvcHost\McSvHost.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\Program Files\mcafee\VirusScan\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - C:\Program Files\Common Files\mcafee\McSvcHost\McSvHost.exe
O23 - Service: McShield - McAfee, Inc. - C:\Program Files\Common Files\McAfee\SystemCore\\mcshield.exe
O23 - Service: McAfee Firewall Core Service (mfefire) - McAfee, Inc. - C:\Program Files\Common Files\McAfee\SystemCore\\mfefire.exe
O23 - Service: McAfee Validation Trust Protection Service (mfevtp) - McAfee, Inc. - C:\Program Files\Common Files\McAfee\SystemCore\mfevtps.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: Wireless PAN DHCP Server (MyWiFiDHCPDNS) - Unknown owner - C:\Program Files\Intel\WiFi\bin\PanDhcpDns.exe
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel® Corporation - C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: SoftThinks Agent Service (SftService) - SoftThinks - C:\Program Files (x86)\Dell DataSafe Local Backup\sftservice.EXE
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: Audio Service (STacSV) - IDT, Inc. - C:\Windows\System32\DriverStore\FileRepository\stwrt64.inf_amd64_neutral_0057cbec48a2d7cf\STacSV64.e​xe
O23 - Service: TurboBoost - Intel® Corporation - C:\Program Files\Intel\TurboBoost\TurboBoost.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: Intel® Management & Security Application User Notification Service (UNS) - Intel Corporation - C:\Program Files (x86)\Intel\Intel® Management Engine Components\UNS\UNS.exe
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 12928 bytes


Bedankt voor de hulp,

Thorka
Hoi,

Ik zie hier niks vreemds meer hoor. Mbam heeft blijkbaar de restanten al verwijderd.
Wat betreft je "muisprobleem", kan idd door je touchpad komen. Ik heb dit constant op mijn laptop.
Wat betreft je virusscanner die zichzelf uitschakelt of vreemd doet, dat verwondert me helemaal niet hoor, want ik zie zowel Eset als McAfee geïnstalleerd. Méér dan één antivirus zijn niet compatibel met elkaar, dus zal je de keuze moeten maken welke je wil houden en welke je wil verwijderen. Ik persoonlijk zou kiezen voor het behouden van Eset (NOD32)

In ieder geval, de malware is niet meer aanwezig, want indien nog aanwezig en actief dan zouu het constant de bestanden UuU.uUu en XxX.xXx moeten aanmaken in je tempmap en malwarebytes detecteert deze ook niet meer.
Maar..... Je staat wel méér dan 100 database versies achter met Malwarebytes, dus blijkbaar heb je niet geupdate.
Dus, ik raad je aan om Malwarebytes te updaten, opnieuw een scan te doen en een log te posten.
Bedankt voor het antwoord. Eset NOD32 was maar een trial, voor de rest heb ik nog Spybot S&D, Lavasoft Ad-Aware, Hijackthis, McAffee (gratis met mijn nieuwe Dell laptop geleverd, die nog maar 2 maand oud is) en MBAM natuurlijk.en dat is het. Ik ben van plan om de harde schijf te formatteren, want er stond vanaf het begin al veel Dell troep op die pc... Ik heb nu een oude muis aangesloten, en mijn muis werkt weer perfect. Aangezien deze laptop maar 2 maand oud is, staat er bijna niets op om te backuppen. Dus ik kan die backup gewoon op mijn usbstick zetten. Ik heb wel nog een vraagje: Moet ik een all-in-one antivirus of verschillende (zoals de genoemde hierboven) nemen nadat ik geformatteerd heb? Er zijn veel gratis all-in-one antivirusprogramma's zoals Avast! en Avira... Ik weet nu ondertussen ook dat Spybot, Ad-Aware, MBAM en Hijackthis verschillende dingen scannen enzo. Maar door wat u zei over dat die niet goed samenwerken kan ik het best zo weinig mogelijk scanners gebruiken... MBAM is nu aan het scannen met de laatste versie.

Opnieuw bedankt voor de hulp,

Thorka
Citaat:Moet ik een all-in-one antivirus of verschillende (zoals de genoemde hierboven) nemen nadat ik geformatteerd heb? Er zijn veel gratis all-in-one antivirusprogramma's zoals Avast! en Avira...
Als men over een all-in-one praat, dan is dit eerder een Security Suite, dit is dus ook met Firewall inclusief. Voor Security Suites moet je wel betalen. Zelf gebruik ik Avira Premium Security Suite. http://www.avira.com/en/for-home
Maar ze hebben ook een gratis versie van de Avira Antivirus alleen die ook al heel krachtig is.
Ofwel kan je kiezen voor AVG, Avast.. enfin, heb hier een lijst van de scanners die ik persoonlijk aanraad: http://users.telenet.be/bluepatchy/mieki...20Scanners
Onthoud, de gratis AV scanners hebben geen firewall. Maar, de Windows firewall op Windows 7 vind ik persoonlijk ook al goed.
Desnoods kan je ook een aparte Firewall gebruiken, maar dit is vaak wat geavanceerder in gebruik aangezien je het niet alles mag laten blokkeren die het aangeeft (aangezien het voor ieder nieuw programma een melding zal geven).
Ok bedankt,

Hier is de logfile van mijn laatste scan, er was geen virus aanwezig:

Malwarebytes' Anti-Malware 1.46
http://www.malwarebytes.org

Databaseversie: 4780

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

8/10/2010 22:09:44
mbam-log-2010-10-08 (22-09-44).txt

Scantype: Volledige scan (C:\|D:\|E:\|)
Objecten gescand: 239350
Verstreken tijd: 38 minuut/minuten, 53 seconde(n)

Geheugenprocessen geïnfecteerd: 0
Geheugenmodulen geïnfecteerd: 0
Registersleutels geïnfecteerd: 0
Registerwaarden geïnfecteerd: 0
Registerdata geïnfecteerd: 0
Mappen geïnfecteerd: 0
Bestanden geïnfecteerd: 0

Geheugenprocessen geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)

Geheugenmodulen geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)

Registersleutels geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)

Registerwaarden geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)

Registerdata geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)

Mappen geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)

Bestanden geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Goed! In je HijackThis log was ook niets vreemds meer te bespeuren.
Zoals ik al eerder zei, moest deze backdoor nog aanwezig/actief zijn, dan had malwarebytes wel de extra componenten gevonden in de temp mappen aangezien deze telkens opnieuw worden aangemaakt indien deze nog actief moest zijn Icon_wink
Oef, opluchting... Denk je dat de gratis Avast! alsnog beter is dan McAffee?
McAfee is ook een goede scanner hoor, enkel kan het op bepaalde systemen een enorme vertraging veroorzaken.
Wat de beste Antivirus is, is eigenlijk eerder ook een persoonlijke keuze. Want het is niet alleen detectie die belangrijk is, maar vooral ook hoe gebruiksvriendelijk het is, of het al dan niet het systeem teveel belast, etc etc.. want dat zijn ook heel belangrijke punten.
Wat je kan doen is ze gewoon uittesten. McAfee ken je al, NOD32 ook al, dus probeer even Avast of Avira of AVG uit. Laat het een tweetal weken / maand draaien, daarna deïnstalleer die en installeer een andere om uit te testen. Dit totdat je weet welke het best bij je (systeem) past en voldoet aan je "eisen".
Nota, indien je een andere Antivirus installeert is het wel de bedoeling dat je eerst je huidige Antivirus deïnstalleert, daarna de pc opnieuw opstart en daarna je nieuwe Antivirus installeert. Dit omdat meer dan één Antivirus niet compatibel is met elkaar.
Dit is niet van toepassing op Ad-Aware of Malwarebytes of Spybot aangezien deze probleemloos naast een Antivirus kunnen gebruikt worden.
NOD32 leek me wel leuk, maar gezien ik maar 14 ben ga ik hier niet direct een antivirussuite kopenIcon_mrgreen Ik heb Avast! 4 al in het verleden gebruikt en dat beviel me wel, terwijl McAffee naar mijn mening veel te weinig opties had. Dus ik denk dat ik NOD32 en McAffee (ook al is dat normaalgezien betaald) ga deïnstalleren en Avast! Erop ga zetten. Ik zou het liefst ook 1 Antispyware/adware scanner hebben voor minder belasting van mijn pc. Maar die vinden allemaal dingen die andere scanners niet vinden. Dus houd ik ze maar. Avira heb ik nog nooit gebruikt. Die zal ik dan uitproberen en HijackThis kan je overal bijdoen waarschijnlijk?

Thorka
Citaat:NOD32 leek me wel leuk, maar gezien ik maar 14 ben ga ik hier niet direct een antivirussuite kopen
Ach, met een beetje geluk kan je die van je ouders krijgen, aangezien het toch voor een goed doel is, met name je PC beveiligen. Dit is tegenwoordig écht geen overbodige luxe Icon_wink
Maar met een gratis alternatief sta je inderdaad ook al ver Icon_wink
Ja, HijackThis kan je overal bijdoen, maar het is niet de bedoeling dat je HijackThis op eigen houtje gaat gebruiken. Deze tool wordt vnl gebruikt om informatie van je systeem weer te geven zodat anderen kunnen analyseren of er al dan niet iets verdachts tussenstaat.
Ik heb mn laptop nu geherinstalleerd, eerst had ik wat driverprobleempjes en het touchpadprobleem is nog niet helemaal weg, maar hij werkt ondertussen weer veel sneller. Ik gebruik nu Avast! en ik ben er heel content over. Het is zeer gebruiksvriendelijk met heel veel funties. Precies zoals ik van diverse Mac apps gewend ben...

Nog eens bedankt voor je hulp,

Thorka
Graag gedaan Icon_smile
Koppelingen