Het Gumblar virus, hoe kom ik er vanaf?!

quote:

Op dinsdag 11 augustus 2009 15:49 schreef CantFazeMe het volgende:

[..]

quote:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:52:04, on 11-8-2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18813)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Samsung\EBM\EasyBatteryMgr3.exe
C:\Program Files\Samsung\Samsung Magic Doctor\MagicDoctorKbdHk.exe
C:\Program Files\SAMSUNG\EasySpeedUpManager\EasySpeedUpManager.exe
C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe
C:\Program Files\Samsung\Samsung Update Plus\SUPBackground.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Windows\system32\igfxsrvc.exe
C:\Windows\system32\igfxext.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Aanmelden - Help - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETWORK SERVICE')
O13 - Gopher Prefix:
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe

--
End of file - 3746 bytes

quote:

Op dinsdag 11 augustus 2009 15:50 schreef Qwea het volgende:

[..]

echt

quote:

Op dinsdag 11 augustus 2009 15:49 schreef Qwea het volgende:
Het bestand in file:///C:/Users/Qwea/AppData/Roaming/Mozilla/Firefox/Profiles/zgodd7xy.default/

en dan die formhistory kan ook gewoon niet verwijderd worden ennu zittie ook in places ik had godverdomme net mn laptop gekocht en geconfigged donderdag!

quote:

Op dinsdag 11 augustus 2009 15:53 schreef Swetsenegger het volgende:

[..]

Nou dan heb je nog weinig spannende data. Formateren maar.

quote:

Op dinsdag 11 augustus 2009 15:53 schreef CantFazeMe het volgende:

[..]

Ik geloof je wel hoor.

Verwijder hem maar snel.

quote:

Op dinsdag 11 augustus 2009 15:53 schreef MissBliss het volgende:
Je hebt toch Vista? Daar kon het toch juist niet op komen?

quote:

Op dinsdag 11 augustus 2009 15:55 schreef Qwea het volgende:

[..]

als jij mn hijackthis log wil checken?

quote:

Op dinsdag 11 augustus 2009 15:59 schreef CantFazeMe het volgende:

[..]

't ziet er goed uit juist. Hardnekkig die Gumblar. Kan je ook Malwarebytes erop los laten?

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) <<< Fix checked

oobefldr.dll <<< Onderdeel van Vista? Denk t wel.
http://www.google.nl/search?hl=nl&q=oobefldr.dll&btnG=Zoeken&meta=lr%3Dlang_nl

quote:

Op dinsdag 11 augustus 2009 16:01 schreef Qwea het volgende:

[..]

Malware is al bezig. Hijack was eerder klaar

Windows errors related to oobefldr.dll?

oobefldr.dll is a process belonging to the Microsoft® Windows® Operating System program . "oobefldr.dll is a Welcome Center Component" "from Microsoft Corporation" "belonging to Microsoft® Windows® Operating System"

ik hoef dus niks te verwijderen en kan hem (hijackthis) afsluiten?

quote:

Op dinsdag 11 augustus 2009 16:04 schreef CantFazeMe het volgende:

[..]

Nee niet echt, die (no file) kun je eventueel verwijderen, maar de rest niet. Die no file doet niks zeg maar
Ok. Laat die dll maar staan idd.

quote:

Op dinsdag 11 augustus 2009 16:05 schreef Swetsenegger het volgende:
Het ontging me even hoe gumblar aan ftp gegevens kwam, maar ik zie nu dat bv filezilla sinds versie 3 de passes in plaintext in een xml tieft

quote:

Op dinsdag 11 augustus 2009 15:24 schreef Qwea het volgende:

[..]

Nou ja, tijd aan uitzoeken? Weet je hoe omslachtig formatten is? Je kan alle partities gaan formatten. Dus je moet een back up maken, windows opnieuw installen, ect

Je laat het een beetje klinken alsof formatten binnen een half u gepiept is wast maar zo simpel

quote:

Op dinsdag 11 augustus 2009 16:09 schreef Mr.Noodle het volgende:

[..]

Als je meerdere partities hebt is het alleen maar makkelijker. Je kan de virusscanner en malwarescanner er op los laten. Maar daar zul je weinig kwaadaardigs vinden. Zeker omdat er op andere partities niet het besturingssysteem staat. Enige wat geinfecteerd wordt is de partitie met Windows erop. Daar staat het register in en daar worden alle taken van programma's uitgevoerd.

quote:

Op dinsdag 11 augustus 2009 16:08 schreef MissBliss het volgende:

[..]

Ik snap niet wat je precies typt, maar ik gebruik dus ook filezilla en het ergerde me juist zo dat ie mn inloggegevens nooit onthield Maar dat doet ie dus kennelijk wél

quote:

Op dinsdag 11 augustus 2009 16:05 schreef Swetsenegger het volgende:
Het ontging me even hoe gumblar aan ftp gegevens kwam, maar ik zie nu dat bv filezilla sinds versie 3 de passes in plaintext in een xml tieft

quote:

Op dinsdag 11 augustus 2009 16:14 schreef MissBliss het volgende:

[..]

Ok. Kan je daar nog iets aan doen? Of is dat gewoon een minpunt van Filezilla?

quote:

Op dinsdag 11 augustus 2009 16:05 schreef Swetsenegger het volgende:
Het ontging me even hoe gumblar aan ftp gegevens kwam, maar ik zie nu dat bv filezilla sinds versie 3 de passes in plaintext in een xml tieft

quote:

Op dinsdag 11 augustus 2009 16:17 schreef MissBliss het volgende:

[..]

Ik heb zo lang gezocht naar een handig ftp-prog

Nee, ik heb even tussendoor een ander programma laten draaien, superantispyware, die heeft inmiddels al 96 threats gevonden Daarna doe ik mailwaren-dinges wel weer.

quote:

Op dinsdag 11 augustus 2009 16:30 schreef Mr.Noodle het volgende:
Wat zei ik nou net over aVast...

quote:

Op dinsdag 11 augustus 2009 16:24 schreef Qwea het volgende:
zodra ik ff weer opnieuw opstart en naar C:\Users\Qwea\AppData\Roaming\Mozilla\Firefox\Profiles\zgodd7xy.default\

ga is formhistory.sqlite er weer !

quote:

Op dinsdag 11 augustus 2009 16:35 schreef CasB het volgende:

[..]

formhistory.sql is het bestand wat firefox aanmaakt waar je zoekhistory in staat, of van formulieren, dus het is niet zo gek dat het er weer staat.

quote:

Op dinsdag 11 augustus 2009 16:34 schreef Qwea het volgende:

[..]

Nou, ja, ehm



Ik snap het alleen niet. Hij zegt wel BAD IFRAME BAD IFRAME! en dan connectie verbreken, en dan vervolgens toch het iframe inladen das krom

malware bytes is wel een poosje bezig zeg al 50 min

quote:

Op dinsdag 11 augustus 2009 16:30 schreef Mr.Noodle het volgende:
Wat zei ik nou net over aVast...

quote:

Op dinsdag 11 augustus 2009 16:38 schreef Re het volgende:

[..]

ff uitleggen wat je nou precies moet doen om te zorgen dat hij bij opstarten niet weer alles inlaadt uit een vorige sessie

quote:

Op dinsdag 11 augustus 2009 16:39 schreef Re het volgende:
bij IT zijn ze trouwens ook nog bezig op mijn laptop

quote:

Op dinsdag 11 augustus 2009 16:38 schreef Qwea het volgende:


ik die superantispyware opstarten.. is mijn homepage in IE (wat ik nooit gebruik) google.com, krijg ik opeens een melding dat iets mijn homepage probeert te veranderen naar google.com/redirect nog wat

quote:

Op dinsdag 11 augustus 2009 16:40 schreef Re het volgende:

[..]

ja dat klopt toch, gumbler zorgt ervoor dat je een fake google.com als homepage krijgt

quote:

Malwarebytes' Anti-Malware 1.40
Database versie: 2601
Windows 6.0.6001 Service Pack 1

11-8-2009 16:46:32
mbam-log-2009-08-11 (16-46-32).txt

Scan type: Volledige Scan (C:\|D:\|)
Objecten gescand: 181146
Verstreken tijd: 1 hour(s), 0 minute(s), 42 second(s)

Geheugenprocessen geïnfecteerd: 0
Geheugenmodulen geïnfecteerd: 0
Registersleutels geïnfecteerd: 0
Registerwaarden geïnfecteerd: 0
Registerdata bestanden geïnfecteerd: 0
Mappen geïnfecteerd: 0
Bestanden geïnfecteerd: 0

Geheugenprocessen geïnfecteerd:
(Geen kwaadaardige items gevonden)

Geheugenmodulen geïnfecteerd:
(Geen kwaadaardige items gevonden)

Registersleutels geïnfecteerd:
(Geen kwaadaardige items gevonden)

Registerwaarden geïnfecteerd:
(Geen kwaadaardige items gevonden)

Registerdata bestanden geïnfecteerd:
(Geen kwaadaardige items gevonden)

Mappen geïnfecteerd:
(Geen kwaadaardige items gevonden)

Bestanden geïnfecteerd:
(Geen kwaadaardige items gevonden)

quote:

Op dinsdag 11 augustus 2009 16:38 schreef Re het volgende:

[..]

ff uitleggen wat je nou precies moet doen om te zorgen dat hij bij opstarten niet weer alles inlaadt uit een vorige sessie

quote:

Op dinsdag 11 augustus 2009 16:53 schreef Mr.Noodle het volgende:

[..]

Dan komt het erop neer dat je je Register even door moet spitten (ja erg tijdrovend). En dat is per virus weer verschillend. Principe is wel vaak hetzelfde, ergens in een register staat een verwijzing naar een bestand om het virus weer terug te kopieren als het verwijderd is. Tevens komt de registersleutel ook weer terug in de HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run of HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce of HKEY_LOCAL_MACHINE\SOFTWARE\Windows\CurrentVersion\Explorer terecht.

Ik weet het niet precies, heb het virus zelf niet. Maar wel een soortgelijk ander virus ooit op m'n Windows machine gehad, die toevallig z'n verborgen bestand ergens in de prullenbak verborgen gehad en dat was erg naar te verwijderen omdat je em gewoon niet kan zien door op het prullenbakje te klikken enkel door een speciaal commando via de dos-prompt te gebruiken, waardoor die ineens wel te zien was. Hij was niet handmatig te verwijderen (vanwege systeemrestricties oid) enkel Malwarebytes kon em wel weg krijgen..