Author Topic: Threat melding voor bn323bn.com site  (Read 10821 times)

0 Members and 1 Guest are viewing this topic.

jjcth

  • Guest
Threat melding voor bn323bn.com site
« on: March 04, 2011, 12:20:53 PM »
Ik krijg sinds enige dagen zo ongeveer iedere 10 minuten een melding "threat has been detected" met als oorzaak het process Windows/system32/svchost en een site die geblokkeerd wordt die bh323bn.com heet. Hoe kom ik daar vanaf??
Weet iemand dat?

Offline Rednose

  • Pirate Party Member
  • Avast Überevangelist
  • Massive Poster
  • *****
  • Posts: 3739
  • Bits of Freedom : https://www.bof.nl
    • Nederlandstalig Avast! forum
Re: Threat melding voor bn323bn.com site
« Reply #1 on: March 04, 2011, 06:18:15 PM »
Probeer eerst eens een scan met Malwarebytes' Anti-Malware (MBAM). Ik moest even zoeken voor een goede Nederlandse uitleg, maar deze voldoet :

http://users.telenet.be/marcvn/spyware/1781812.htm

Post de log die het produceert in je volgende antwoord.

Groetjes, Red.



OS: Win 10 / iOS 17 / Debian 12 / Tails 5
Real Time: Avast Premium Security
On Demand: Malwarebytes
VPN: NordVPN ( NordLynx ) with Threat Protection ( Lite )

jjcth

  • Guest
Re: Threat melding voor bn323bn.com site
« Reply #2 on: March 05, 2011, 05:11:07 AM »
Hallo Red,

ik heb gedaan wat je zei en ja het programma vond trojan downloaders. Die heb ik met wat moeite verwijderd(Malwarebytes kon dat niet alleen, ik moest eerst het svchost process stoppen wat hiermee verbonden was) en nu lijkt alles OK. Ik zal de logfile hierna laten zien:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Database version: 5958

Windows 5.2.3790 Service Pack 2
Internet Explorer 8.0.6001.18702

3/5/2011 4:48:08 AM
mbam-log-2011-03-05 (04-48-08).txt

Scan type: Quick scan
Objects scanned: 166504
Time elapsed: 3 minute(s), 59 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 2
Folders Infected: 0
Files Infected: 2

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
HKEY_CLASSES_ROOT\scrfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: (NOTEPAD.EXE %1) Good: ("%1" /S) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: (NOTEPAD.EXE %1) Good: (regedit.exe "%1") -> Quarantined and deleted successfully.

Folders Infected:
(No malicious items detected)

Files Infected:
d:\documents and settings\Joris\start menu\Programs\Startup\chkntfs.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
d:\documents and settings\Joris\application data\chkntfs.dat (Malware.Trace) -> Quarantined and deleted successfully.

Bedankt!

Offline Rednose

  • Pirate Party Member
  • Avast Überevangelist
  • Massive Poster
  • *****
  • Posts: 3739
  • Bits of Freedom : https://www.bof.nl
    • Nederlandstalig Avast! forum
Re: Threat melding voor bn323bn.com site
« Reply #3 on: March 05, 2011, 02:50:49 PM »
Ik ben er niet gerust op. Ik heb Essexboy gevraagd er naar te kijken.

Groetjes, Red.
OS: Win 10 / iOS 17 / Debian 12 / Tails 5
Real Time: Avast Premium Security
On Demand: Malwarebytes
VPN: NordVPN ( NordLynx ) with Threat Protection ( Lite )

Offline essexboy

  • Malware removal instructor
  • Avast Überevangelist
  • Probably Bot
  • *****
  • Posts: 40589
  • Dragons by Sasha
    • Malware fixes
Re: Threat melding voor bn323bn.com site
« Reply #4 on: March 05, 2011, 03:03:12 PM »
    Hi I am sorry but my Dutch is non existant, this is a relatively new variant, but I will be able to read your logs - translations courtesy of Bing  ;D
Quote
Hi im sorry mijn Engels is niet bestaand, dit is een relatief nieuwe variant, maar ik zal kunnen lezen uw logs

Quote
  • Dubbelklik op het pictogram om het te draaien. Zorg ervoor dat alle andere vensters zijn gesloten en laat het lopen ononderbroken.
  • Selecteer alle gebruikers
  • Onder het vak Aangepaste Scan plak deze in
Download OTL  to your Desktop
  • Double click on the icon to run it. Make sure all other windows are closed and to let it run uninterrupted.
  • Select All Users
  • Under the Custom Scan box paste this in
netsvcs
%SYSTEMDRIVE%\*.exe
/md5start
explorer.exe
winlogon.exe
Userinit.exe
svchost.exe
/md5stop
%systemroot%\*. /mp /s
CREATERESTOREPOINT


  • Click the Quick Scan button. Do not change any settings unless otherwise told to do so. The scan wont take long.
    • When the scan completes, it will open two notepad windows. OTL.Txt and Extras.Txt. These are saved in the same location as OTL.
    • Post both logs
Quote
  • Klik op de knop Quick Scan . Wijzig instellingen niet tenzij het anders te doen. De scan zal niet lang duren.
    [lijst]
  • Wanneer de scan is voltooid, zal het twee windows Kladblok openen. OTL.Txt en Extras.Txt. Deze worden opgeslagen in dezelfde locatie als OTL.
  • Beide logboeken post

jjcth

  • Guest
Re: Threat melding voor bn323bn.com site
« Reply #5 on: March 06, 2011, 01:45:39 PM »
Hi Essexboy done as asked. Will send the files seperate. Too big.

jjcth

  • Guest
Re: Threat melding voor bn323bn.com site
« Reply #6 on: March 06, 2011, 01:47:03 PM »
Hi Essexboy, the other one.

Offline essexboy

  • Malware removal instructor
  • Avast Überevangelist
  • Probably Bot
  • *****
  • Posts: 40589
  • Dragons by Sasha
    • Malware fixes
Re: Threat melding voor bn323bn.com site
« Reply #7 on: March 06, 2011, 01:59:14 PM »
It looks like MBAM killed it all bar one registry entry
Quote
Het lijkt erop dat MBAM gedood alle bar een registervermelding

Run OTL
  • Under the Custom Scans/Fixes box at the bottom, paste in the following

    Quote
    :OTL
    O20 - HKLM Winlogon: System - (lsass.exe) - File not found

    :Files
    ipconfig /flushdns /c

    :Commands
    [purity]
    [resethosts]
    [emptytemp]
    [EMPTYFLASH]
    [CREATERESTOREPOINT]
    [Reboot]

  • Then click the Run Fix button at the top
  • Let the program run unhindered, reboot the PC when it is done
  • Open OTL again and click the Quick Scan button. Post the log it produces in your next reply.

jjcth

  • Guest
Re: Threat melding voor bn323bn.com site
« Reply #8 on: March 07, 2011, 10:53:35 AM »
Hello Essexboy. Did what you asked. OTL produced 2 logs: OTL.txt and xxx.log. I will send them both. Just for your info OTL did not start after malwarebytes started up. I had to stop the autostart of Malwarebytes with Windows and restart the computer and only then did OTL run normally.

Offline essexboy

  • Malware removal instructor
  • Avast Überevangelist
  • Probably Bot
  • *****
  • Posts: 40589
  • Dragons by Sasha
    • Malware fixes
Re: Threat melding voor bn323bn.com site
« Reply #9 on: March 07, 2011, 12:10:22 PM »
They both look good - what are your current problems ?

jjcth

  • Guest
Re: Threat melding voor bn323bn.com site
« Reply #10 on: March 07, 2011, 01:17:16 PM »
Essexboy,

At this moment everything looks fine.

Thanks for the help!

Offline essexboy

  • Malware removal instructor
  • Avast Überevangelist
  • Probably Bot
  • *****
  • Posts: 40589
  • Dragons by Sasha
    • Malware fixes
Re: Threat melding voor bn323bn.com site
« Reply #11 on: March 07, 2011, 03:46:44 PM »
To remove OTL - run it and hit the cleanup button

Offline Rednose

  • Pirate Party Member
  • Avast Überevangelist
  • Massive Poster
  • *****
  • Posts: 3739
  • Bits of Freedom : https://www.bof.nl
    • Nederlandstalig Avast! forum
Re: Threat melding voor bn323bn.com site
« Reply #12 on: March 08, 2011, 02:30:26 AM »
Thnx M. my friend, for helping us out :)

Greetz, Red.

OS: Win 10 / iOS 17 / Debian 12 / Tails 5
Real Time: Avast Premium Security
On Demand: Malwarebytes
VPN: NordVPN ( NordLynx ) with Threat Protection ( Lite )