Internet Explorer

[cavecat]

Hello,

Ik heb een PC van vrienden hier bij mij om onder handen te nemen.
Symptomen waren :
Geinfecteerd met System Security & ander lekkers

Ik heb de System security eraf gekregen door met een Ubuntu Live CD de executables daarvan te verwijderen en vervolgens terug in Windows (XP Pro NL) te starten.

Daarna een Anti-Malware scan gedaan , log :
Malwarebytes' Anti-Malware 1.37
Database versie: 2182
Windows 5.1.2600 Service Pack 3

1/06/2009 12:35:48
mbam-log-2009-06-01 (12-35-48).txt

Scan type: Volledige Scan (C:\|E:\|)
Objecten gescand: 97037
Verstreken tijd: 47 minute(s), 43 second(s)

Geheugenprocessen geïnfecteerd: 1
Geheugenmodulen geïnfecteerd: 1
Registersleutels geïnfecteerd: 8
Registerwaarden geïnfecteerd: 1
Registerdata bestanden geïnfecteerd: 0
Mappen geïnfecteerd: 0
Bestanden geïnfecteerd: 5

Geheugenprocessen geïnfecteerd:
C:\WINDOWS\system32\SYSDLL.exe (Trojan.Proxy) -> Unloaded process successfully.

Geheugenmodulen geïnfecteerd:
C:\WINDOWS\system32\sysloc\sysloc.dll (Trojan.BHO) -> Delete on reboot.

Registersleutels geïnfecteerd:
HKEY_CLASSES_ROOT\ty667.ty667mgr (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{e63648f7-3933-440e-b4f6-a8584dd7b7eb} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{f7d09218-46d7-4d3d-9b7f-315204cd0836} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{437a43d5-e5c3-4959-bbd0-f2bfb1edc6fd} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{437a43d5-e5c3-4959-bbd0-f2bfb1edc6fd} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{437a43d5-e5c3-4959-bbd0-f2bfb1edc6fd} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ty667.ty667mgr.1 (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{2178f3fb-2560-458f-bdee-631e2fe0dfe4} (Rogue.WinAntivirus) -> Quarantined and deleted successfully.

Registerwaarden geïnfecteerd:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\pp (Worm.Koobface) -> Quarantined and deleted successfully.

Registerdata bestanden geïnfecteerd:
(Geen kwaadaardige items gevonden)

Mappen geïnfecteerd:
(Geen kwaadaardige items gevonden)

Bestanden geïnfecteerd:
C:\WINDOWS\system32\SYSDLL.exe (Trojan.Proxy) -> Quarantined and deleted successfully.
C:\WINDOWS\pp10.exe (Worm.Koobface) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sysloc\sysloc.dll (Trojan.BHO) -> Delete on reboot.
c:\documents and settings\beheerder\local settings\temporary internet files\Content.IE5\67QRABCD\install[1].exe (Rogue.Systemsecurity) -> Quarantined and deleted successfully.
c:\documents and settings\beheerder\local settings\temporary internet files\Content.IE5\C7LRMQ7H\nfr[1].exe (Trojan.Proxy) -> Quarantined and deleted successfully.

Na de installatie van IE 8 , merk ik dat de PC moeite heeft om te surfen.
Als ik een URL intik , vindt ie 'm niet :
Adresbalk springt terug naar htp:///
(ik zie eventjes in de statusbar een link voorbijkomen van Livesearch waar ie de pagina wil gaan zoeken)

Google.be (startpagina) gaat wel en zo raak ik op bluemedicine bijv.
Bizar genoeg geeft ie eerst een foutmelding :
De pagina kan niet weergegeven worden en dan een knop naar een XP wizard om de verbinding te herstellen.
Als ik op die knop klik , opent de wizard , maar dus ook de pagina die ik eerst opvroeg ... strange!

Ik heb een Hijackthis log gemaakt maar zie daar niks vreemds aan.
Eset Smart Security is ook actief op de achtergrond in trial versie

Dank voor alle hulp!

groetjes,
Dries

[cavecat]

Heeft zichzelf opgelost blijkbaar , strange!

Mag gesloten worden.

[captain kirk]

Soms zijn computers niet te begrijpen en lijken ze een eigen leven te hebben. Dat houdt het wel weer spannend. Bij deze voldoe ik aan je verzoek tot sluiting van het topic. Wil je het toch weer opnieuw open hebben, stuur mij dan even een PM.
Voor een nieuw probleem vragen we je een nieuw onderwerp te starten.