MBR Malware / Rootkit

[Stan00]

Dag allemaal,

Jullie zijn mijn laatste redding en hebben misschien nog een oplossing of tips.
Ik kreeg gisteren opeens mooi nagemaakte foutmelding en daarop volgde een nep scanner die precies uitziet als in het screen hier.
Vervolgens ben ik gaan scannen met AVG en Malwarebytes. Ik heb diverse geïnfecteerde bestanden kunnen verwijderen, maar na een restart kwamen deze weer terug en ook onder een andere naam.
Verder werkt internet nog wel, maar wordt ik willekeurig naar een andere rare website gestuurd.

AVG had het eerst nog over een rootkit.sss.b virus, maar is nu buitenwerking door de malware. Ik heb ook nog de tool MBRCheck.exe gebruikt, omdat deze werd genoemd op een forum. Deze vond malware op alle 4 mijn hd's in de computer. Ik heb de andere 3 HD's even losgekoppeld en heb nog geprobeerd met bootsect en bootrec commando's via de Windows 7 repair console de MBR te fixen, maar ik krijg dan nog steeds dezelfde melding dat de MBR infected is.


Hier mijn HiJackthis log:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 20:50:05, on 29-11-2011
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v9.00 (9.00.8112.16421)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Razer\Lachesis 5600\LachesisSysTray.exe
C:\Windows\SysWOW64\DeltaIITray.exe
C:\Program Files (x86)\AVG\AVG2012\avgtray.exe
C:\Users\Stan\Desktop\MBRCheck.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe
C:\Users\Stan\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://nl.msn.com/?ocid=OIE9HP
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files (x86)\AVG\AVG2012\avgssie.dll
O2 - BHO: Aanmeldhulp voor Windows Live ID - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: LastPass Browser Helper Object - {95D9ECF5-2A4D-4550-BE49-70D42F71296E} - C:\Program Files (x86)\LastPass\LPBar.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: LastPass Toolbar - {9f6b5cc3-5c7b-4b5c-97af-19dec1e380e5} - C:\Program Files (x86)\LastPass\LPBar.dll
O4 - HKLM\..\Run: [Razer Lachesis Driver] C:\Program Files (x86)\Razer\Lachesis 5600\LachesisSysTray.exe
O4 - HKLM\..\Run: [M-Audio Taskbar Icon] C:\Windows\system32\DeltaIITray.exe
O4 - HKLM\..\Run: [AVG_TRAY] "C:\Program Files (x86)\AVG\AVG2012\avgtray.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~2\MIF5BA~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: LastPass - file://C:\Program Files (x86)\LastPass\context.html?cmd=lastpass
O8 - Extra context menu item: LastPass Fill Forms - file://C:\Program Files (x86)\LastPass\context.html?cmd=fillforms
O9 - Extra button: LastPass - {43699cd0-e34f-11de-8a39-0800200c9a66} - C:\Program Files (x86)\LastPass\LPBar.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\hma! pro vpn\bin\forceinterfacelsp.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\hma! pro vpn\bin\forceinterfacelsp.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\hma! pro vpn\bin\forceinterfacelsp.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\hma! pro vpn\bin\forceinterfacelsp.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\hma! pro vpn\bin\forceinterfacelsp.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\hma! pro vpn\bin\forceinterfacelsp.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/ve....2.5.0.cab
O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) - http://chat.yahoo.com/cab/yuplapp.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files (x86)\AVG\AVG2012\avgpp.dll
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: AVGIDSAgent - AVG Technologies CZ, s.r.o. - C:\Program Files (x86)\AVG\AVG2012\AVGIDSAgent.exe
O23 - Service: AVG WatchDog (avgwd) - AVG Technologies CZ, s.r.o. - C:\Program Files (x86)\AVG\AVG2012\avgwdsvc.exe
O23 - Service: Cron Service for Prey (CronService) - Fork Ltd. - C:\Program Files\Office2007\platform\windows\cronsvc.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updateservice (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Google Update-service (gupdatem) (gupdatem) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NIHardwareService - Native Instruments GmbH - C:\Program Files\Common Files\Native Instruments\Hardware\NIHardwareService.exe
O23 - Service: Nalpeiron Licensing Service (nlsX86cc) - Nalpeiron Ltd. - C:\Windows\SysWOW64\nlssrv32.exe
O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\Program Files (x86)\HMA! Pro VPN\bin\openvpnserv.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies, Inc. - C:\Program Files (x86)\WinPcap\rpcapd.exe
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: ServiceLayer - Nokia - C:\Program Files (x86)\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: SwitchBoard - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
O23 - Service: TeamViewer 6 (TeamViewer6) - TeamViewer GmbH - C:\Program Files (x86)\TeamViewer\Version6\TeamViewer_Service.exe
O23 - Service: TomTomHOMEService - TomTom - C:\Program Files (x86)\TomTom HOME 2\TomTomHOMEService.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)
O23 - Service: Yahoo! Updater (YahooAUService) - Yahoo! Inc. - C:\Program Files (x86)\Yahoo!\SoftwareUpdate\YahooAUService.exe

--
End of file - 9097 bytes


Deze MBRCheck log heb ik uitgevoerd zonder de andere HD's te hebben aangesloten:

MBRCheck, version 1.2.3
© 2010, AD

Command-line:
Windows Version: Windows 7 Ultimate Edition
Windows Information: Service Pack 1 (build 7601), 64-bit
Base Board Manufacturer: Gigabyte Technology Co., Ltd.
BIOS Manufacturer: Award Software International, Inc.
System Manufacturer: Gigabyte Technology Co., Ltd.
System Product Name: EX58-UD5
Logical Drives Mask: 0x00000845

Kernel Drivers (total 176):
0x0361E000 \SystemRoot\system32\ntoskrnl.exe
0x03C07000 \SystemRoot\system32\hal.dll
0x00BCF000 \SystemRoot\system32\kdcom.dll
0x00CF2000 \SystemRoot\system32\mcupdate_GenuineIntel.dll
0x00D41000 \SystemRoot\system32\PSHED.dll
0x00D55000 \SystemRoot\system32\CLFS.SYS
0x00C00000 \SystemRoot\system32\CI.dll
0x00E87000 \SystemRoot\system32\drivers\Wdf01000.sys
0x00F2B000 \SystemRoot\system32\drivers\WDFLDR.SYS
0x0107D000 \SystemRoot\System32\Drivers\spuw.sys
0x011A3000 \SystemRoot\System32\Drivers\WMILIB.SYS
0x011AC000 \SystemRoot\System32\Drivers\SCSIPORT.SYS
0x01000000 \SystemRoot\system32\drivers\ACPI.sys
0x01057000 \SystemRoot\system32\drivers\msisadrv.sys
0x01061000 \SystemRoot\system32\drivers\vdrvroot.sys
0x00F3A000 \SystemRoot\system32\drivers\pci.sys
0x011DB000 \SystemRoot\System32\drivers\partmgr.sys
0x00F6D000 \SystemRoot\system32\drivers\volmgr.sys
0x00F82000 \SystemRoot\System32\drivers\volmgrx.sys
0x011F0000 \SystemRoot\system32\drivers\pciide.sys
0x00FDE000 \SystemRoot\system32\drivers\PCIIDEX.SYS
0x00E00000 \SystemRoot\System32\drivers\mountmgr.sys
0x00E1A000 \SystemRoot\system32\drivers\vmbus.sys
0x00E56000 \SystemRoot\system32\drivers\winhv.sys
0x011F7000 \SystemRoot\system32\drivers\atapi.sys
0x00CC0000 \SystemRoot\system32\drivers\ataport.SYS
0x0106E000 \SystemRoot\system32\drivers\amdxata.sys
0x00DB3000 \SystemRoot\system32\drivers\fltmgr.sys
0x00E6A000 \SystemRoot\system32\drivers\fileinfo.sys
0x01209000 \SystemRoot\System32\Drivers\Ntfs.sys
0x014DB000 \SystemRoot\System32\Drivers\msrpc.sys
0x01539000 \SystemRoot\System32\Drivers\ksecdd.sys
0x01554000 \SystemRoot\System32\Drivers\cng.sys
0x015C6000 \SystemRoot\System32\drivers\pcw.sys
0x015D7000 \SystemRoot\System32\Drivers\Fs_Rec.sys
0x01622000 \SystemRoot\system32\drivers\ndis.sys
0x01715000 \SystemRoot\system32\drivers\NETIO.SYS
0x01775000 \SystemRoot\System32\Drivers\ksecpkg.sys
0x01841000 \SystemRoot\System32\drivers\tcpip.sys
0x01A45000 \SystemRoot\System32\drivers\fwpkclnt.sys
0x01A8F000 \SystemRoot\system32\drivers\vmstorfl.sys
0x01A9F000 \SystemRoot\system32\drivers\volsnap.sys
0x01AEB000 \SystemRoot\System32\Drivers\Tpkd.sys
0x01B0E000 \SystemRoot\System32\Drivers\spldr.sys
0x01B16000 \SystemRoot\SysWOW64\speedfan.sys
0x01B1D000 \SystemRoot\System32\drivers\rdyboost.sys
0x01B57000 \SystemRoot\System32\Drivers\mup.sys
0x01B69000 \SystemRoot\System32\drivers\hwpolicy.sys
0x01B72000 \SystemRoot\System32\DRIVERS\fvevol.sys
0x01BAC000 \SystemRoot\system32\DRIVERS\disk.sys
0x01BC2000 \SystemRoot\system32\DRIVERS\CLASSPNP.SYS
0x01BF2000 \SystemRoot\system32\DRIVERS\avgrkx64.sys
0x01800000 \SystemRoot\system32\DRIVERS\AVGIDSEH.Sys
0x017A0000 \SystemRoot\system32\drivers\cdrom.sys
0x017CA000 \SystemRoot\system32\DRIVERS\avgmfx64.sys
0x01400000 \SystemRoot\system32\DRIVERS\MpFilter.sys
0x017DA000 \SystemRoot\System32\Drivers\Null.SYS
0x017E3000 \SystemRoot\System32\Drivers\Beep.SYS
0x017EA000 \SystemRoot\System32\drivers\vga.sys
0x01431000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
0x01600000 \SystemRoot\System32\drivers\watchdog.sys
0x01610000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0x01619000 \SystemRoot\system32\drivers\rdpencdd.sys
0x01456000 \SystemRoot\system32\drivers\rdprefmp.sys
0x0145F000 \SystemRoot\System32\Drivers\Msfs.SYS
0x0146A000 \SystemRoot\System32\Drivers\Npfs.SYS
0x0147B000 \SystemRoot\system32\DRIVERS\tdx.sys
0x0149D000 \SystemRoot\system32\DRIVERS\TDI.SYS
0x042A8000 \SystemRoot\system32\DRIVERS\avgtdia.sys
0x04308000 \SystemRoot\System32\DRIVERS\netbt.sys
0x0434D000 \SystemRoot\system32\drivers\afd.sys
0x043D6000 \SystemRoot\system32\drivers\ws2ifsl.sys
0x043E1000 \SystemRoot\system32\DRIVERS\wfplwf.sys
0x04200000 \SystemRoot\system32\DRIVERS\pacer.sys
0x04226000 \SystemRoot\system32\DRIVERS\netbios.sys
0x04235000 \SystemRoot\system32\DRIVERS\wanarp.sys
0x04250000 \SystemRoot\system32\drivers\termdd.sys
0x013AC000 \SystemRoot\system32\DRIVERS\rdbss.sys
0x04264000 \SystemRoot\system32\drivers\nsiproxy.sys
0x04270000 \SystemRoot\system32\drivers\mssmbios.sys
0x0427B000 \SystemRoot\System32\drivers\discache.sys
0x0428A000 \SystemRoot\System32\Drivers\dfsc.sys
0x043EA000 \SystemRoot\system32\DRIVERS\blbdrive.sys
0x014AA000 \SystemRoot\system32\DRIVERS\tunnel.sys
0x015E1000 \SystemRoot\system32\DRIVERS\intelppm.sys
0x04468000 \SystemRoot\system32\DRIVERS\atikmpag.sys
0x04ACA000 \SystemRoot\system32\DRIVERS\atikmdag.sys
0x044BD000 \SystemRoot\System32\drivers\dxgkrnl.sys
0x05520000 \SystemRoot\System32\drivers\dxgmms1.sys
0x05566000 \SystemRoot\system32\drivers\HDAudBus.sys
0x0558A000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0x05597000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0x055ED000 \SystemRoot\system32\DRIVERS\usbehci.sys
0x04A00000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
0x04A0D000 \SystemRoot\system32\DRIVERS\Rt64win7.sys
0x04A3F000 \SystemRoot\system32\DRIVERS\fdc.sys
0x04A4C000 \SystemRoot\system32\drivers\i8042prt.sys
0x04A6A000 \SystemRoot\system32\drivers\kbdclass.sys
0x04A79000 \SystemRoot\System32\Drivers\apbe5pds.SYS
0x04ABE000 \SystemRoot\system32\drivers\wmiacpi.sys
0x045B1000 \SystemRoot\system32\drivers\CompositeBus.sys
0x05830000 \SystemRoot\system32\DRIVERS\wcmvcam64.sys
0x05934000 \SystemRoot\system32\DRIVERS\STREAM.SYS
0x05945000 \SystemRoot\system32\DRIVERS\ks.sys
0x05988000 \SystemRoot\system32\drivers\ksthunk.sys
0x0598E000 \SystemRoot\system32\DRIVERS\AgileVpn.sys
0x059A4000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0x059C8000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0x05800000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0x059D4000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0x045CC000 \SystemRoot\system32\DRIVERS\raspptp.sys
0x04400000 \SystemRoot\system32\DRIVERS\rassstp.sys
0x059EF000 \SystemRoot\system32\DRIVERS\tap0901.sys
0x0441A000 \SystemRoot\system32\DRIVERS\rdpbus.sys
0x04425000 \SystemRoot\system32\drivers\mouclass.sys
0x059FC000 \SystemRoot\system32\drivers\swenum.sys
0x05A71000 \SystemRoot\system32\DRIVERS\MarvinBus64.sys
0x05AB5000 \SystemRoot\system32\drivers\umbus.sys
0x05AC7000 \SystemRoot\system32\DRIVERS\usbhub.sys
0x05B21000 \SystemRoot\system32\DRIVERS\flpydisk.sys
0x05B2C000 \SystemRoot\System32\Drivers\NDProxy.SYS
0x05B4E000 \SystemRoot\system32\drivers\RtHDMIVX.sys
0x05BA7000 \SystemRoot\system32\drivers\portcls.sys
0x05A00000 \SystemRoot\system32\drivers\drmk.sys
0x06A67000 \SystemRoot\system32\drivers\RTKVHD64.sys
0x06CBB000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0x06CD8000 \SystemRoot\system32\DRIVERS\USBD.SYS
0x06CDA000 \SystemRoot\system32\DRIVERS\hidusb.sys
0x06CE8000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0x06D01000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0x06D0A000 \SystemRoot\system32\DRIVERS\mouhid.sys
0x06D17000 \SystemRoot\system32\drivers\kbdhid.sys
0x000B0000 \SystemRoot\System32\win32k.sys
0x06D25000 \SystemRoot\System32\drivers\Dxapi.sys
0x06D31000 \SystemRoot\system32\DRIVERS\monitor.sys
0x00410000 \SystemRoot\System32\TSDDD.dll
0x00690000 \SystemRoot\System32\cdd.dll
0x00810000 \SystemRoot\System32\ATMFD.DLL
0x06D3F000 \SystemRoot\system32\DRIVERS\udfs.sys
0x06D94000 \SystemRoot\system32\drivers\luafv.sys
0x06DB7000 \SystemRoot\system32\drivers\WudfPf.sys
0x06DD8000 \SystemRoot\System32\Drivers\crashdmp.sys
0x06DE6000 \SystemRoot\System32\Drivers\dump_dumpata.sys
0x06DF2000 \SystemRoot\System32\Drivers\dump_atapi.sys
0x06A00000 \SystemRoot\System32\Drivers\dump_dumpfve.sys
0x06A13000 \SystemRoot\system32\DRIVERS\diginet.sys
0x06A1B000 \SystemRoot\system32\DRIVERS\lltdio.sys
0x06A30000 \SystemRoot\system32\DRIVERS\rspndr.sys
0x06A48000 \SystemRoot\system32\DRIVERS\TurboB.sys
0x03E17000 \SystemRoot\system32\drivers\HTTP.sys
0x03EE0000 \SystemRoot\system32\DRIVERS\bowser.sys
0x03EFE000 \SystemRoot\System32\drivers\mpsdrv.sys
0x03F16000 \SystemRoot\system32\drivers\mrxdav.sys
0x03F3E000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0x03F6B000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
0x03FB9000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
0x03FDD000 \SystemRoot\System32\Drivers\adfs.SYS
0x03FF5000 \SystemRoot\system32\DRIVERS\AVGIDSFilter.Sys
0x03E00000 \??\C:\Windows\system32\drivers\cpuz133_x64.sys
0x03E09000 \??\C:\Windows\system32\drivers\cpuz135_x64.sys
0x0703D000 \SystemRoot\system32\drivers\peauth.sys
0x070E3000 \SystemRoot\System32\Drivers\secdrv.SYS
0x070EE000 \SystemRoot\System32\DRIVERS\srvnet.sys
0x0711F000 \SystemRoot\System32\drivers\tcpipreg.sys
0x07131000 \SystemRoot\system32\DRIVERS\AVGIDSDriver.Sys
0x0715C000 \SystemRoot\System32\DRIVERS\srv2.sys
0x0B645000 \SystemRoot\System32\DRIVERS\srv.sys
0x0B6DD000 \SystemRoot\system32\drivers\spsys.sys
0x0B759000 \SystemRoot\system32\drivers\LVUSBS64.sys
0x0D60D000 \SystemRoot\system32\DRIVERS\lvuvc64.sys
0x0D97E000 \SystemRoot\syswow64\drivers\dptrackerd.sys
0x0D285000 \SystemRoot\system32\DRIVERS\lvpopf64.sys
0x0D3D0000 \SystemRoot\system32\drivers\usbaudio.sys
0x770A0000 \Windows\System32\ntdll.dll
0x47DC0000 \Windows\System32\smss.exe
0xFF3C0000 \Windows\System32\apisetschema.dll

Processes (total 62):
0 System Idle Process
4 System
348 C:\Windows\System32\smss.exe
500 csrss.exe
572 C:\Windows\System32\wininit.exe
600 csrss.exe
640 C:\Windows\System32\services.exe
656 C:\Windows\System32\lsass.exe
668 C:\Windows\System32\lsm.exe
744 C:\Windows\System32\winlogon.exe
820 C:\Windows\System32\svchost.exe
900 C:\Windows\System32\svchost.exe
964 C:\Program Files\Microsoft Security Client\Antimalware\MsMpEng.exe
132 C:\Windows\System32\atiesrxx.exe
452 C:\Windows\System32\svchost.exe
472 C:\Windows\System32\svchost.exe
716 C:\Windows\System32\svchost.exe
1152 C:\Windows\System32\svchost.exe
1276 C:\Windows\System32\svchost.exe
1308 C:\Windows\System32\atieclxx.exe
1496 C:\Windows\System32\spoolsv.exe
1524 C:\Windows\System32\svchost.exe
1784 C:\Windows\System32\taskhost.exe
1960 C:\Windows\System32\dwm.exe
1988 C:\Windows\explorer.exe
1556 C:\Program Files (x86)\AVG\AVG2012\avgwdsvc.exe
1968 C:\Program Files\Office2007\platform\windows\cronsvc.exe
1736 C:\Program Files\Common Files\Native Instruments\Hardware\NIHardwareService.exe
1716 C:\Windows\SysWOW64\nlssrv32.exe
1808 C:\Windows\SysWOW64\PnkBstrA.exe
2096 C:\Windows\System32\svchost.exe
2292 C:\Program Files (x86)\TeamViewer\Version6\TeamViewer_Service.exe
2336 C:\Program Files (x86)\TomTom HOME 2\TomTomHOMEService.exe
2380 C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
2424 C:\Program Files (x86)\AVG\AVG2012\avgnsa.exe
2448 C:\Program Files (x86)\AVG\AVG2012\avgemca.exe
2456 C:\Program Files\Windows Sidebar\sidebar.exe
2948 C:\Program Files (x86)\Razer\Lachesis 5600\LachesisSysTray.exe
2956 C:\Windows\SysWOW64\DeltaIITray.exe
1908 C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVCM.EXE
2516 C:\Program Files (x86)\AVG\AVG2012\avgtray.exe
3452 C:\Windows\System32\svchost.exe
3488 C:\Windows\System32\SearchIndexer.exe
3776 C:\Windows\System32\svchost.exe
4400 C:\Windows\System32\sppsvc.exe
4656 C:\Windows\System32\svchost.exe
4832 C:\Program Files\Windows Media Player\wmpnetwk.exe
5016 dllhost.exe
3532 C:\Users\Stan\Desktop\MBRCheck.exe
1380 C:\Windows\System32\conhost.exe
3592 C:\Program Files (x86)\Mozilla Firefox\firefox.exe
1332 C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe
3560 C:\Users\Stan\Desktop\HijackThis.exe
3860 C:\Windows\SysWOW64\notepad.exe
3652 C:\Program Files (x86)\Internet Explorer\iexplore.exe
3908 C:\Windows\System32\taskeng.exe
3212 C:\Windows\System32\SearchProtocolHost.exe
4544 C:\Windows\System32\SearchFilterHost.exe
3660 C:\Users\Stan\Desktop\MBRCheck.exe
828 C:\Windows\System32\conhost.exe
4756 C:\Windows\System32\dllhost.exe
1168 C:\Program Files\Windows NT\Accessories\wordpad.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)

PhysicalDrive0 Model Number: WDCWD5000AAKS-00YGA0, Rev: 12.01C02

Size Device Name MBR Status
--------------------------------------------
465 GB \\.\PhysicalDrive0 MBR Code Faked!
SHA1: 4379A3D43019B46FA357F7DD6A53B45A3CA8FB79


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:

Done!

[miekiemoes]

Hoi,

Je hebt hier waarschijnlijk te maken met de laatste TDL4 variant, waar het herstellen van de MBR niet helpt via recovery console. Dit omdat deze variant eigenlijk niets aan de MBR code zelf wijzigt, maar een extra partitie toevoegt in de MBR onderaan, waarna het deze dan op actief zet.
Fixen van de MBR zal dus helaas geen hulp bieden aangezien Windows enkel de MBR code overschrijft en niet de referenties naar de extra aangemaakte partitie.

Maar geen nood:

Kan je TDsskiller even gebruiken?
http://support.kaspersky.com/faq/?qid=208280684
Indien er iets gevonden wordt, klik op CURE

Plaats ook de log die het daarna maakt. De log bevindt zich op je C:\

Uiteraard zijn er ook andere manieren om dit op te lossen, maar normaal gezien moet tdsskiller dit al kunnen herstellen.
Indien niet, dan geef ik je wel een andere methode

[Stan00]

TDSSKiller doet helemaal niks. Hij start dus niet op. Kan zijn dat ik nu te vroeg reageer, maar in Windows Taakbeheer zie ik TDSSKiller.exe *32 samen met WerFault.exe *32 1 seconde verschijnen en weer verdwijnen.

Edit: Ik zie trouwens ook Iexplore.exe *32 draaien, waarbij staat dat het Internet Explorer is met ongeveer 26mb geheugen. Erg vreemd wat die start ik nooit op en ik gebruik Firefox.

[miekiemoes]

Ok, kan je even kijken of er een extra partitie is aangemaakt achter je C:\?

http://www.windowscorner.com/windows7/in...dows_7.php

Asjeblieft, deze niet gaan verwijderen indien deze aanwezig is, of je pc zal niet meer opstarten. Ik zal je nadien stap voor stap uitleggen hoe dit aan te pakken.

Heb je een extra Pc vanwaar je kan werken?

[Stan00]

Dankjewel voor de snelle reacties!

Via Windows Schijfbeheer en EASEUS Partition Master kon ik maar 1 partitie zien en 8MB (9,3MB in EASEUS Partition Master) die niet toegewezen is. Ik heb een andere oudere Windows 7 computer ter beschikking. Kan alleen niet snel reageren, omdat ik de muis en evt. toetsenbord steeds moet wisselen.

[miekiemoes]

Citaat:8MB (9,3MB in EASEUS Partition Master) die niet toegewezen is.

Yep, dat is hoogstwaarschijnlijk de "malware" partitie.
Heb je in je easus partition master een optie om die op te starten via CD? Om een bootcd ermee te maken? Ik dacht van wel...
http://www.partition-tool.com/easeus-par...ablecd.htm

Dan zal je moeten opstarten met die cd.

Ik weet helaas niet hoe easus partition manager er precies uit ziet, maar bij iedere partitie manager kan je kiezen om een bepaalde partitie op active of inactive te zetten.
Bij de malware partitie zou deze ook op "hidden" moeten staan. Deze kan je ook op "unhide" zetten om die zichtbaar te maken nadien.
Ga hier geen partities verwijderen!!
Het komt er op neer dat, wanneer je opstart met de bootcd om easus partitie manager te laden, dat je de malware partitie (8-9MB) op inactive zet+unhide en je huidige partitie, waar je windows dus op staat op active /boot zet.
Daarna moet je de veranderingen laten toepassen en als alles goed verloopt, dan zou je pc daarna correct moeten opstarten, waarbij de "malware partitie" niet meer geladen wordt.

Deze zal je dan ook te zien krijgen in "mijn computer" achterna, waar deze zal zichtbaar zijn.
Eénmaal daarna de pc is correct opgestart kan je via je Windows (dus in windows) zelf die extra malware partitie verwijderen. Wel eerst even controleren met MBR check of je nog die \PhysicalDrive0 MBR Code Faked! krijgt. Indien niet, dan kan je die malware partitie verwijderen. Indien je nog steeds die MBR code faked krijgt, dan nog geen partities verwijderen - laat het me gewoon eerst even weten.

Anders kan je ook Gparted gebruiken: http://sourceforge.net/projects/gparted/...ve-stable/
branden op cd als ISO en opstarten via cd.

gparted zal dan starten en je zal dan zoiets moeten zien:

   

Zoals je ziet in de screenshot zie je de malware partitie (met boot & hidden) ernaast.
Deze erboven is dus vanwaar de C:\ wordt geboot, dus je "normale partitie" Je zal deze zowiezo wel herkennen aan de grootte.
Op de "normale partitie", dus, waar je windows op staat, moet je rechtsklikken en kiezen voor "manage flags" en selecteren voor BOOT. Aangezien deze dus als boot moet gezet worden ipv de "malware partitie".
Dat zou al voldoende moeten zijn om de infectie ongedaan te maken. Nota, hier ook geen partities gaan verwijderen via bootcd! Dit om zeker te zijn eerst dat je niet het verkeerde verwijderd.

Als je PC daarna correct opstart kan je gewoon de "malware partitie" van 8-9 MB ook verwijderen via windows partitie manager of easus zelf (dus wanneer je Windows geladen is)

De reden waarom ik vraag of je een extra PC hebt is in geval je iets verkeerds doet en je de pc niet meer kan opstarten, zodat je altijd nog via een andere pc kan reageren.

[miekiemoes]

Indien er iets niet helemaal duidelijk is, of je vragen hebt, beter die eerst te stellen vooraleer je van slag gaat

[Stan00]

(29-11-2011 23:03)miekiemoes schreef:  

Citaat:8MB (9,3MB in EASEUS Partition Master) die niet toegewezen is.

Yep, dat is hoogstwaarschijnlijk de "malware" partitie.
Heb je in je easus partition master een optie om die op te starten via CD? Om een bootcd ermee te maken? Ik dacht van wel...
http://www.partition-tool.com/easeus-par...ablecd.htm

Dan zal je moeten opstarten met die cd.

Ik weet helaas niet hoe easus partition manager er precies uit ziet, maar bij iedere partitie manager kan je kiezen om een bepaalde partitie op active of inactive te zetten.
Bij de malware partitie zou deze ook op "hidden" moeten staan. Deze kan je ook op "unhide" zetten om die zichtbaar te maken nadien.
Ga hier geen partities verwijderen!!
Het komt er op neer dat, wanneer je opstart met de bootcd om easus partitie manager te laden, dat je de malware partitie (8-9MB) op inactive zet+unhide en je huidige partitie, waar je windows dus op staat op active /boot zet.
Daarna moet je de veranderingen laten toepassen en als alles goed verloopt, dan zou je pc daarna correct moeten opstarten, waarbij de "malware partitie" niet meer geladen wordt.

Deze zal je dan ook te zien krijgen in "mijn computer" achterna, waar deze zal zichtbaar zijn.
Eénmaal daarna de pc is correct opgestart kan je via je Windows (dus in windows) zelf die extra malware partitie verwijderen. Wel eerst even controleren met MBR check of je nog die \PhysicalDrive0 MBR Code Faked! krijgt. Indien niet, dan kan je die malware partitie verwijderen. Indien je nog steeds die MBR code faked krijgt, dan nog geen partities verwijderen - laat het me gewoon eerst even weten.

Anders kan je ook Gparted gebruiken: http://sourceforge.net/projects/gparted/...ve-stable/
branden op cd als ISO en opstarten via cd.

gparted zal dan starten en je zal dan zoiets moeten zien:



Zoals je ziet in de screenshot zie je de malware partitie (met boot & hidden) ernaast.
Deze erboven is dus vanwaar de C:\ wordt geboot, dus je "normale partitie" Je zal deze zowiezo wel herkennen aan de grootte.
Op de "normale partitie", dus, waar je windows op staat, moet je rechtsklikken en kiezen voor "manage flags" en selecteren voor BOOT. Aangezien deze dus als boot moet gezet worden ipv de "malware partitie".
Dat zou al voldoende moeten zijn om de infectie ongedaan te maken. Nota, hier ook geen partities gaan verwijderen via bootcd! Dit om zeker te zijn eerst dat je niet het verkeerde verwijderd.

Als je PC daarna correct opstart kan je gewoon de "malware partitie" van 8-9 MB ook verwijderen via windows partitie manager of easus zelf (dus wanneer je Windows geladen is)

De reden waarom ik vraag of je een extra PC hebt is in geval je iets verkeerds doet en je de pc niet meer kan opstarten, zodat je altijd nog via een andere pc kan reageren.

Oh ik drukte verkeerd en nu is mijn vorige tekst weg...
Het heeft gewerkt!!

Ik heb Gparted op schijf gebrand en gebruikt. Dit werkte super en is een handig stukje software. Alles gedaan volgens instructies en de kleine partitie is nu verwijderd. Ik heb die paar MB's ook aan de normale partitie toegevoegd wat makkelijk ging (dat was anders in XP).

Snelle Malwarebytes scan en MBRCheck geven niks meer aan. Ik zal nog wel een volledige scan gaan doen vannacht.
Ik zal ook de andere schijven weer aansluiten en ik neem aan dat ik deze op dezelfde manier kan behandelen (behalve dat ik niks op boot hoef te zetten).
Wellicht ga ik toch nog volgende week de computer opnieuw installeren, omdat er in het register toch wat nadelige wijzigingen zijn geweest en na 2,5 jaar is het ook weer eens goed om het weer sneller te maken.
Verder ga ik waarschijnlijk een dualboot maken met op 2 verschillende schijven een windows installatie, want dit soort Malware kost toch wel veel tijd als je niet weet hoe je het kan oplossen.

Ik heb de Malware Preventie pagina gelezen wat ook handig is om te kijken hoe ik aan de malware ben gekomen. Voor nu heb ik nog geen idee. Super handige pagina, want ik zocht nog een goede firewall ipv de Windows Firewall die ik gebruik. Grappig dat ik op minstens 40 pc's bij andere mensen Malwarebytes heb geinstalleerd en iedereen erop wijs om voorzichtig te zijn en nu ben ik zelf eens slachtoffer. Dit was wel volgens mij het betere geschreven stukje Malware van het internet.

Ik wil je heel erg bedanken voor de goede hulp!!
Wellicht zal ik het in de toekomst nog even goedmaken op een betere manier dan alleen een bedankje op het forum.

[miekiemoes]

Goed om te horen dat je probleem is opgelost.

Citaat:en ik neem aan dat ik deze op dezelfde manier kan behandelen (behalve dat ik niks op boot hoef te zetten).

Nee, is helemaal niet nodig aangezien de malware zich op de \PhysicalDrive0 eerder had geplaatst, dus je andere schijven zijn niet "aangetast"

Citaat:Wellicht ga ik toch nog volgende week de computer opnieuw installeren, omdat er in het register toch wat nadelige wijzigingen zijn geweest en na 2,5 jaar is het ook weer eens goed om het weer sneller te maken.

Velen geloven helaas dat het opschonen van het register de pc sneller maakt, maar dit is helaas niet het geval - integendeel.
Door het register op te schonen onstaan er meer "lege fragmenten" in plaats.
Een register opschonen kan ook héél veel problemen met zich meebrengen. Heb hier destijds ook nog over geblogt:
http://miekiemoes.blogspot.com/2008/02/r...ng_13.html

De infectie waarmee je te maken had is idd één van de meer geavanceerdere malware. Hier kan je er meer uitleg over vinden:
http://blog.eset.com/2011/10/18/tdl4-rebooted

Als ik je een goede raad mag geven - de beste preventie is om een "HIPS" gebaseerde applicatie te installeren naast je AV.
http://www.wilderssecurity.com/showthread.php?t=269074

Ikzelf gebruik Malware defender: http://www.softpedia.com/get/Security/Se...nder.shtml maar deze draait helaas niet onder een 64 bit (zelf heb ik win7 32 bit).

Enne, graag gedaan hoor

[miekiemoes]

Aangezien het probleem opgelost is, wordt deze thread verplaatst naar het "Opgeloste/Inactieve HijackThislogs" forum, waar je niet meer kan posten, enkel lezen.

Indien je terug problemen ondervindt in de eerstvolgende dagen, gelieve een PM te sturen naar één van de Moderators of Administrators om deze thread terug te zetten zodat je verder kan geholpen worden.

Bij problemen die opduiken na enkele weken is het beter om een nieuwe thread te starten met een nieuwe log.
Indien er problemen zijn die niks met malware te maken hebben, gelieve een nieuwe thread te starten in het juist forumonderdeel.