Avast WEBforum

Avast Products => Non-english zone => Nederlands => Topic started by: jjcth on March 04, 2011, 12:20:53 PM

Title: Threat melding voor bn323bn.com site
Post by: jjcth on March 04, 2011, 12:20:53 PM
Ik krijg sinds enige dagen zo ongeveer iedere 10 minuten een melding "threat has been detected" met als oorzaak het process Windows/system32/svchost en een site die geblokkeerd wordt die bh323bn.com heet. Hoe kom ik daar vanaf??
Weet iemand dat?
Title: Re: Threat melding voor bn323bn.com site
Post by: Rednose on March 04, 2011, 06:18:15 PM
Probeer eerst eens een scan met Malwarebytes' Anti-Malware (MBAM). Ik moest even zoeken voor een goede Nederlandse uitleg, maar deze voldoet :

http://users.telenet.be/marcvn/spyware/1781812.htm

Post de log die het produceert in je volgende antwoord.

Groetjes, Red.



Title: Re: Threat melding voor bn323bn.com site
Post by: jjcth on March 05, 2011, 05:11:07 AM
Hallo Red,

ik heb gedaan wat je zei en ja het programma vond trojan downloaders. Die heb ik met wat moeite verwijderd(Malwarebytes kon dat niet alleen, ik moest eerst het svchost process stoppen wat hiermee verbonden was) en nu lijkt alles OK. Ik zal de logfile hierna laten zien:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Database version: 5958

Windows 5.2.3790 Service Pack 2
Internet Explorer 8.0.6001.18702

3/5/2011 4:48:08 AM
mbam-log-2011-03-05 (04-48-08).txt

Scan type: Quick scan
Objects scanned: 166504
Time elapsed: 3 minute(s), 59 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 2
Folders Infected: 0
Files Infected: 2

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
HKEY_CLASSES_ROOT\scrfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: (NOTEPAD.EXE %1) Good: ("%1" /S) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: (NOTEPAD.EXE %1) Good: (regedit.exe "%1") -> Quarantined and deleted successfully.

Folders Infected:
(No malicious items detected)

Files Infected:
d:\documents and settings\Joris\start menu\Programs\Startup\chkntfs.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
d:\documents and settings\Joris\application data\chkntfs.dat (Malware.Trace) -> Quarantined and deleted successfully.

Bedankt!
Title: Re: Threat melding voor bn323bn.com site
Post by: Rednose on March 05, 2011, 02:50:49 PM
Ik ben er niet gerust op. Ik heb Essexboy gevraagd er naar te kijken.

Groetjes, Red.
Title: Re: Threat melding voor bn323bn.com site
Post by: essexboy on March 05, 2011, 03:03:12 PM
Quote
Hi im sorry mijn Engels is niet bestaand, dit is een relatief nieuwe variant, maar ik zal kunnen lezen uw logs

Quote
  • Dubbelklik op het pictogram om het te draaien. Zorg ervoor dat alle andere vensters zijn gesloten en laat het lopen ononderbroken.
  • Selecteer alle gebruikers
  • Onder het vak Aangepaste Scan plak deze in
Download OTL (http://oldtimer.geekstogo.com/OTL.exe)  to your Desktop
netsvcs
%SYSTEMDRIVE%\*.exe
/md5start
explorer.exe
winlogon.exe
Userinit.exe
svchost.exe
/md5stop
%systemroot%\*. /mp /s
CREATERESTOREPOINT


Quote
  • Klik op de knop Quick Scan . Wijzig instellingen niet tenzij het anders te doen. De scan zal niet lang duren.
    [lijst]
  • Wanneer de scan is voltooid, zal het twee windows Kladblok openen. OTL.Txt en Extras.Txt. Deze worden opgeslagen in dezelfde locatie als OTL.
  • Beide logboeken post
Title: Re: Threat melding voor bn323bn.com site
Post by: jjcth on March 06, 2011, 01:45:39 PM
Hi Essexboy done as asked. Will send the files seperate. Too big.
Title: Re: Threat melding voor bn323bn.com site
Post by: jjcth on March 06, 2011, 01:47:03 PM
Hi Essexboy, the other one.
Title: Re: Threat melding voor bn323bn.com site
Post by: essexboy on March 06, 2011, 01:59:14 PM
It looks like MBAM killed it all bar one registry entry
Quote
Het lijkt erop dat MBAM gedood alle bar een registervermelding

Run OTL
Title: Re: Threat melding voor bn323bn.com site
Post by: jjcth on March 07, 2011, 10:53:35 AM
Hello Essexboy. Did what you asked. OTL produced 2 logs: OTL.txt and xxx.log. I will send them both. Just for your info OTL did not start after malwarebytes started up. I had to stop the autostart of Malwarebytes with Windows and restart the computer and only then did OTL run normally.
Title: Re: Threat melding voor bn323bn.com site
Post by: essexboy on March 07, 2011, 12:10:22 PM
They both look good - what are your current problems ?
Title: Re: Threat melding voor bn323bn.com site
Post by: jjcth on March 07, 2011, 01:17:16 PM
Essexboy,

At this moment everything looks fine.

Thanks for the help!
Title: Re: Threat melding voor bn323bn.com site
Post by: essexboy on March 07, 2011, 03:46:44 PM
To remove OTL - run it and hit the cleanup button
Title: Re: Threat melding voor bn323bn.com site
Post by: Rednose on March 08, 2011, 02:30:26 AM
Thnx M. my friend, for helping us out :)

Greetz, Red.