Avast WEBforum

Non-English Zone => Nederlands => Topic started by: jjcth on March 04, 2011, 12:20:53 PM

Title: Threat melding voor bn323bn.com site
Post by: jjcth on March 04, 2011, 12:20:53 PM

Ik krijg sinds enige dagen zo ongeveer iedere 10 minuten een melding "threat has been detected" met als oorzaak het process Windows/system32/svchost en een site die geblokkeerd wordt die bh323bn.com heet. Hoe kom ik daar vanaf??
Weet iemand dat?

Title: Re: Threat melding voor bn323bn.com site
Post by: Rednose on March 04, 2011, 06:18:15 PM

Probeer eerst eens een scan met Malwarebytes' Anti-Malware (MBAM). Ik moest even zoeken voor een goede Nederlandse uitleg, maar deze voldoet :

http://users.telenet.be/marcvn/spyware/1781812.htm

Post de log die het produceert in je volgende antwoord.

Groetjes, Red.

Title: Re: Threat melding voor bn323bn.com site
Post by: jjcth on March 05, 2011, 05:11:07 AM

Hallo Red,

ik heb gedaan wat je zei en ja het programma vond trojan downloaders. Die heb ik met wat moeite verwijderd(Malwarebytes kon dat niet alleen, ik moest eerst het svchost process stoppen wat hiermee verbonden was) en nu lijkt alles OK. Ik zal de logfile hierna laten zien:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Database version: 5958

Windows 5.2.3790 Service Pack 2
Internet Explorer 8.0.6001.18702

3/5/2011 4:48:08 AM
mbam-log-2011-03-05 (04-48-08).txt

Scan type: Quick scan
Objects scanned: 166504
Time elapsed: 3 minute(s), 59 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 2
Folders Infected: 0
Files Infected: 2

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
HKEY_CLASSES_ROOT\scrfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: (NOTEPAD.EXE %1) Good: ("%1" /S) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: (NOTEPAD.EXE %1) Good: (regedit.exe "%1") -> Quarantined and deleted successfully.

Folders Infected:
(No malicious items detected)

Files Infected:
d:\documents and settings\Joris\start menu\Programs\Startup\chkntfs.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
d:\documents and settings\Joris\application data\chkntfs.dat (Malware.Trace) -> Quarantined and deleted successfully.

Bedankt!

Title: Re: Threat melding voor bn323bn.com site
Post by: Rednose on March 05, 2011, 02:50:49 PM

Ik ben er niet gerust op. Ik heb Essexboy gevraagd er naar te kijken.

Groetjes, Red.

Title: Re: Threat melding voor bn323bn.com site
Post by: essexboy on March 05, 2011, 03:03:12 PM

Quote

Hi im sorry mijn Engels is niet bestaand, dit is een relatief nieuwe variant, maar ik zal kunnen lezen uw logs

Quote

Dubbelklik op het pictogram om het te draaien. Zorg ervoor dat alle andere vensters zijn gesloten en laat het lopen ononderbroken.
Selecteer alle gebruikers
Onder het vak Aangepaste Scan plak deze in

Download OTL (http://oldtimer.geekstogo.com/OTL.exe) to your Desktop

Double click on the icon to run it. Make sure all other windows are closed and to let it run uninterrupted.
Select All Users
Under the Custom Scan box paste this in

netsvcs
%SYSTEMDRIVE%\*.exe
/md5start
explorer.exe
winlogon.exe
Userinit.exe
svchost.exe
/md5stop
%systemroot%\*. /mp /s
CREATERESTOREPOINT

Click the Quick Scan button. Do not change any settings unless otherwise told to do so. The scan wont take long.
- When the scan completes, it will open two notepad windows. OTL.Txt and Extras.Txt. These are saved in the same location as OTL.
- Post both logs

Quote

Klik op de knop Quick Scan . Wijzig instellingen niet tenzij het anders te doen. De scan zal niet lang duren.
[lijst]
Wanneer de scan is voltooid, zal het twee windows Kladblok openen. OTL.Txt en Extras.Txt. Deze worden opgeslagen in dezelfde locatie als OTL.
Beide logboeken post

Title: Re: Threat melding voor bn323bn.com site
Post by: jjcth on March 06, 2011, 01:45:39 PM

Hi Essexboy done as asked. Will send the files seperate. Too big.

Title: Re: Threat melding voor bn323bn.com site
Post by: jjcth on March 06, 2011, 01:47:03 PM

Hi Essexboy, the other one.

Title: Re: Threat melding voor bn323bn.com site
Post by: essexboy on March 06, 2011, 01:59:14 PM

It looks like MBAM killed it all bar one registry entry

Quote

Het lijkt erop dat MBAM gedood alle bar een registervermelding

Run OTL

Under the Custom Scans/Fixes box at the bottom, paste in the following

Quote
:OTL
O20 - HKLM Winlogon: System - (lsass.exe) - File not found

:Files
ipconfig /flushdns /c

:Commands
[purity]
[resethosts]
[emptytemp]
[EMPTYFLASH]
[CREATERESTOREPOINT]
[Reboot]
Then click the Run Fix button at the top
Let the program run unhindered, reboot the PC when it is done
Open OTL again and click the Quick Scan button. Post the log it produces in your next reply.

Title: Re: Threat melding voor bn323bn.com site
Post by: jjcth on March 07, 2011, 10:53:35 AM

Hello Essexboy. Did what you asked. OTL produced 2 logs: OTL.txt and xxx.log. I will send them both. Just for your info OTL did not start after malwarebytes started up. I had to stop the autostart of Malwarebytes with Windows and restart the computer and only then did OTL run normally.

Title: Re: Threat melding voor bn323bn.com site
Post by: essexboy on March 07, 2011, 12:10:22 PM

They both look good - what are your current problems ?

Title: Re: Threat melding voor bn323bn.com site
Post by: jjcth on March 07, 2011, 01:17:16 PM

Essexboy,

At this moment everything looks fine.

Thanks for the help!

Title: Re: Threat melding voor bn323bn.com site
Post by: essexboy on March 07, 2011, 03:46:44 PM

To remove OTL - run it and hit the cleanup button

Title: Re: Threat melding voor bn323bn.com site
Post by: Rednose on March 08, 2011, 02:30:26 AM

Thnx M. my friend, for helping us out :)

Greetz, Red.