virus: windowssecurity?

[bruintje]

Dag forumleden,

vandaag m'n account willen openen met paswoord (m'n kids hebben een ander account). Bij openen krijg ik een klein venster in een vreemde taal, schijnt van windows te zijn. Muis kan ik alleen bewegen binnen dit kleine venster, en niks werkt. Ctrl+Alt+Delete klikken dan maar; blijkt enkel een programma van windowssecurity actief te zijn. Ik heb dit gestopt, via andere account gescand met malware en enkele virussen eraf gegooid (TR/Crypt....) en opnieuw opgestart, maar probleem is er nog. Ben nu opnieuw aan't scannen.
Heeft iemand dit probleem ook gehad? Ik ben nu op de PC via de account van m'n kids; dit werkt wel. Via deze account aan het scannen, maar ik weet niet of dan de files van mijn eigen account ook gescand worden.

Dank bij voorbaat
Bruintje

 

[swake]

Dag Bruintje.

Als het lukt om de computer op te starten in veilige modus met netwerkmogelijkheden voer dan eens het stappenplan uit, zoals het hier beschreven staat.
De computer opstarten in veilige modus doe je door bij het aanzetten van de computer op de F8 toets te tokkelen.
Je zal dan de verschillende opstartmodussen te zien krijgen.
Bij opstarten in veilige modus zal je beeldscherm er wat anders uitzien, maar dit is normaal.
Laat zeker iets horen als de veilige modus ook niet lukt, dan zullen we een ander middeltje gebruiken om je computer te scannen.

 

[bruintje]

Swake,

ferm bedankt! ik kan terug op mijn account. Wel nog een probleempje. Als ik mijn Outlook express wil openen, krijg ik melding dat MSOE.DLL niet kan geïnitialiseerd worden. Kan ik dus mijn mail niet lezen. Weet je hoe ik dit kan oplossen?

Mille Grazie

 

[bruintje]

Verdikke, te vroeg victory gekraaid.. al mijn bestanden staan er nog, maar krijg geen enkele excell file open, kan geen printscrn doen, en getracht om een update te doen van windows, maar krijg melding dat internet explorer deze website niet kan openen. Ter info: verwijdert virus (laatste) was TR/Ransom.
Zoals al blijkt ken ik niks van een PC; ik dacht om IE eraf te halen, en opnieuw trachten te downloaden. Kan dit? En wat als ik de herstelschijf van het operating system gebruik?
Sorry voor de last, en alvast dank bij voorbaat.

Bruintje

 

[swake]

Dag bruintje.
Niets verkeerd bedoelt , maar wil je aub mijn instructies opvolgen , en zelf niets ondernemen .
Ransomware is een virus dat bestanden gijzelt.
Als je het stappenplan al uitgevoert hebt , wil je dan het resultaat van DDS , Mbam MalwareBytes en een nieuw aangemaakt HijackThis log plaatsen in een nieuw antwoord.

Sorry voor de last, en alvast dank bij voorbaat.

Sorry is helemaal niet nodig, we zijn er om jou te helpen.

 

[bruintje]

alle kladbloks

alle kladbloks

Swake,

hieronder het gevraagde. Hopelijk zijn de bestanden meegegaan.
Groetjes

Bruintje
malware:Malwarebytes Anti-Malware 1.60.1.1000
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Database version: v2012.03.27.05

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Administrator :: HP16286177978 [administrator]

27/03/2012 22:08:31
mbam-log-2012-03-27 (22-08-31).txt

Scan type: Full scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM
Scan options disabled: P2P
Objects scanned: 366771
Time elapsed: 1 hour(s), 2 minute(s), 9 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)


Bekijk bijlage dds 27-3-12.zipBekijk bijlage hijackthis 27-3-12.txt

 

[swake]

Dag bruintje.

Je computer heeft een ernstige infectie, maar we zullen er wel komen.
Mbam MalwareBytes heeft geen infecties gevonden. Voor deze scan , heb je dan al eens een scan uitgevoerd met Mbam?
Indien ja , wil je hiervan het resultaat ook eens plaatsen.

Voer volgende stappen uit.

Start Hijackthis en kies voor Do a system scan only
Vink na de scan volgende items aan.

R3 - URLSearchHook: SweetIM ToolbarURLSearchHook Class - {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgHelper.dll
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Babylon toolbar helper - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Searchqu Toolbar - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\PROGRA~1\WI371A~1\Datamngr\ToolBar\searchqudtx.dll
O2 - BHO: Bing Bar Helper - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - "C:\Program Files\Microsoft\BingBar\BingExt.dll" (file missing)
O2 - BHO: SWEETIE - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O3 - Toolbar: SweetIM Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O3 - Toolbar: Bing Bar - {8dcb7100-df86-4384-8842-8fa844297b3f} - "C:\Program Files\Microsoft\BingBar\BingExt.dll" (file missing)
O3 - Toolbar: Babylon Toolbar - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll
O3 - Toolbar: Searchqu Toolbar - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\PROGRA~1\WI371A~1\Datamngr\ToolBar\searchqudtx.dll
O4 - HKUS\S-1-5-21-2692538435-2206542588-2337483369-1006\..\Run: [Shell] C:\DOCUME~1\Bruno\LOCALS~1\Temp\~!#3E.tmp (User 'Bruno')
O4 - HKUS\S-1-5-21-2692538435-2206542588-2337483369-1006\..\Policies\Explorer\Run: [BEID] C:\Documents and Settings\Bruno\Application Data\AFAED6.exe (User 'Bruno')
O8 - Extra context menu item: &AOL-werkbalk Search - C:\Documents and Settings\All Users\Application Data\AOL\ieToolbar\resources\nl-BE\local\search.html
O20 - AppInit_DLLs: C:\PROGRA~1\WI371A~1\Datamngr\datamngr.dll C:\PROGRA~1\WI371A~1\Datamngr\IEBHO.dll

Klik op Fix checked om de items te fixen.
Sluit HijackThis en schakel daarna de computer volledig uit, niet heropstarten. Na een minuutje mag je de computer terug aanzetten.

Verwijder alles wat je vind van
SweetIM
Babylon
Maak onmiddelijk de prullenbak leeg.
Laat in een volgend antwoord eens weten welke problemen er zich nog voordoen, en voeg in je volgend antwoord ook een
nieuw aangemaakt HijackThis log.
Wil je ook eens het DDS.txt bestand bijvoegen en niet het zip bestand.

 

[bruintje]

Swake,

ik kan op mijn account, maar kan geen enkele file openen, en ook geen mail. Ik kan wel op het internet, maar kon bv niet HiJackThis downloaden.

volgende dingen dus nog:
ik neem aan dat je de scan met malware bedoelt die infecties gevonden heeft, die hieronder dus; hierna nog enkele scans gedaan zonder resultaat.
De bijlage HiJackThis printscreen is een mededeling die ik kreeg voor ik kon scannen.
Ik heb alles gevonden van uw lijst, behalve:

O4 - HKUS\S-1-5-21-2692538435-2206542588-2337483369-1006\..\Run: [Shell] C:\DOCUME~1\Bruno\LOCALS~1\Temp\~!#3E.tmp (User 'Bruno')
O4 - HKUS\S-1-5-21-2692538435-2206542588-2337483369-1006\..\Policies\Explorer\Run: [BEID] C:\Documents and Settings\Bruno\ApplicationMalwarebytes Anti-Malware 1.60.1.1000


Deze lijnen waren er niet meer; nu had mijn vrouw de PC opgezet deze namiddag, mss daarom.
Hopelijk krijg je er iets van gemaakt Swake. Moest er nog iets onduidelijk zijn, laat maar weten.
Bedankt!

Bruintje

Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Database version: v2012.03.26.02

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Administrator :: HP16286177978 [administrator]

26/03/2012 8:18:00
mbam-log-2012-03-26 (08-18-00).txt

Scan type: Full scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM
Scan options disabled: P2P
Objects scanned: 365237
Time elapsed: 1 hour(s), 22 minute(s), 33 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|41428 (Trojan.Agent) -> Data: C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msdubmn.bat -> Delete on reboot.

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 5
C:\Documents and Settings\Bruno\Application Data\CCEDB9.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\Bruno\Application Data\Bylou\toxoe.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\Bruno\Application Data\Keqen\olpozia.exe (Trojan.Inject) -> Quarantined and deleted successfully.
C:\Documents and Settings\Bruno\Local Settings\Temp\000646df.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\Bruno\Local Settings\Temp\00064a1b.tmp (Trojan.Agent) -> Quarantined and deleted successfully.

(end)


Bekijk bijlage dds 28-3-12.txtBekijk bijlage hijackthis 28-3-12.txtBekijk bijlage Hijack prtscrn 28-3-12.doc

 

[swake]

Dag bruintje.
Is er een tweede computer in huis waarmee je kan downloaden?
Ik zou dan voorstellen om het ISO bestand te downloaden van Avira en dit naar een schijfje te branden.
Dit is een Antivirus schijfje waarmee je de computer dan kan opstarten en een diepe virusscan laten uitvoeren.

 

[bruintje]

Kan idd, ..maar dat kan ik normaal ook op mijn PC, enkel mijn account werkt niet. De PC start goed, en dan komt er het beginscherm met de verschillende accounts. Als administrator kan ik inloggen, alle programma's openen, en op het internet plus (bv HiJackThis) downloaden.
Indien ik mijn eigen account open, dan krijg ik mijn beginscherm, maar kan geen enkele file openen.
Swake, dat ISO bestand, waar vind ik dat? Moet ik hier voor naar de website van Avira?

 

[swake]

Dag bruintje
Het ISO bestand kun je hier downloaden. de moment dat je het bestand download is dit al bijgewerkt met de laatste virusdefinties.
http://dlpro.antivir.com/package/rescue_system/common/en/rescue_system-common-en.iso

Hier wat uitleg hoe je Avira Rescue moet gebruiken.
Laat een diepe scan uitvoeren. deze scan duurt een paar uurtjes. Laat alle infecties verwijderen.
[Rescue CD] Tutorial for Avira Rescue CD - Tipps und Tricks - Avira Support Forum

Voer dit ook eens uit
Open je Internet Explorer.
Klik bovenaan bij Extra en kies daar voor Internetopties
Klik op tabbladje verbindingen.
Klik onderaan op het vakje Lan instellingen.
Controleer daar eens of het vakje is aangevinkt bij Proxyserver. Als het vakje is aangevinkt , haal het vinkje weg.
Bij automatische configuratie , vink het vakje aan bij : Instellingen automatisch detecteren.
Klik daarna op Toepassen > OK
Laat in een nieuw antwoord ook eens het resultaat van de Avira scan weten.

 

[bruintje]

Dag Swake,

rescue-CD gebrand, en gebruikt. Na scan, 2 detecties. Log gesaved, op shut down en dan restart gedrukt. Windows start echter niet meer. De PC gaat telkens naar het scherm terug waar je kan kiezen tussen Windows normaal opstarten, of veilige modus. Heb beide al eens geprobeerd, maar lukt niet.

Indien echt nodig, heb ik nog een back up van ca 6 weken terug.

Groetjes
Bruintje

 

[swake]

Dag bruintje.
Als je de computer aanzet en je tokkelt op de F8 toets krijg je de opstartmodussen te zien.
Kies daar eens voor opstarten in laatst bekende juiste configuratie.
Lukt dat?

 

[bruintje]

Swake,

Dat heb ik deze morgen geprobeerd, maar niks. Kreeg telkens het "blauwe scherm" kortstondig, en dan terug naar af.
Ik ben daarna al begonnen met de windows XP er terug op te zetten. Wel een probleempje omdat ik de code niet terug vind. Origineel was het een Windows Vista, waarvan ik dus wel de productcode heb, maar Vista is gedowngrade naar XP, en productcode van Vista werkt dus niet met de XP. Ik hoop om tegen morgen een code te hebben, en hier dan terug een (hopelijk positief) berichtje te kunnen zetten.
Dus.. wait and see tomorrow hoop ik dan toch. Bedankt Swake, ik hou je op de hoogte.

Salukes

 

[bruintje]

Swake,

installatie van Windows XP Professional (service pack 2) is gelukt. De PC heb ik in veilige modus opgestart en gescand. TR/Rootkit.Gen2 is verwijderd. Probleem nu is melding: "u dient dit exemplaar van Windows via Microsoft te activeren enz..." Klik ik op OK, dan gebeurd er niets. Kan het zijn dat dit is omdat het Service Pack 2 nog is?

Groetjes