Threat melding voor bn323bn.com site

Ik krijg sinds enige dagen zo ongeveer iedere 10 minuten een melding “threat has been detected” met als oorzaak het process Windows/system32/svchost en een site die geblokkeerd wordt die bh323bn.com heet. Hoe kom ik daar vanaf??
Weet iemand dat?

Probeer eerst eens een scan met Malwarebytes’ Anti-Malware (MBAM). Ik moest even zoeken voor een goede Nederlandse uitleg, maar deze voldoet :

http://users.telenet.be/marcvn/spyware/1781812.htm

Post de log die het produceert in je volgende antwoord.

Groetjes, Red.

Hallo Red,

ik heb gedaan wat je zei en ja het programma vond trojan downloaders. Die heb ik met wat moeite verwijderd(Malwarebytes kon dat niet alleen, ik moest eerst het svchost process stoppen wat hiermee verbonden was) en nu lijkt alles OK. Ik zal de logfile hierna laten zien:
Malwarebytes’ Anti-Malware 1.50.1.1100
www.malwarebytes.org

Database version: 5958

Windows 5.2.3790 Service Pack 2
Internet Explorer 8.0.6001.18702

3/5/2011 4:48:08 AM
mbam-log-2011-03-05 (04-48-08).txt

Scan type: Quick scan
Objects scanned: 166504
Time elapsed: 3 minute(s), 59 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 2
Folders Infected: 0
Files Infected: 2

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
HKEY_CLASSES_ROOT\scrfile\shell\open\command(default) (Broken.OpenCommand) → Bad: (NOTEPAD.EXE %1) Good: (“%1” /S) → Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\regfile\shell\open\command(default) (Broken.OpenCommand) → Bad: (NOTEPAD.EXE %1) Good: (regedit.exe “%1”) → Quarantined and deleted successfully.

Folders Infected:
(No malicious items detected)

Files Infected:
d:\documents and settings\Joris\start menu\Programs\Startup\chkntfs.exe (Trojan.Downloader) → Quarantined and deleted successfully.
d:\documents and settings\Joris\application data\chkntfs.dat (Malware.Trace) → Quarantined and deleted successfully.

Bedankt!

Ik ben er niet gerust op. Ik heb Essexboy gevraagd er naar te kijken.

Groetjes, Red.

Hi I am sorry but my Dutch is non existant, this is a relatively new variant, but I will be able to read your logs - translations courtesy of Bing ;D

Hi im sorry mijn Engels is niet bestaand, dit is een relatief nieuwe variant, maar ik zal kunnen lezen uw logs
[*]Dubbelklik op het pictogram om het te draaien. Zorg ervoor dat alle andere vensters zijn gesloten en laat het lopen ononderbroken. [*]Selecteer [b] alle gebruikers [/b] [*]Onder het vak Aangepaste Scan plak deze in
Download [url=http://oldtimer.geekstogo.com/OTL.exe][b]OTL[/b][/url] to your Desktop

[*]Double click on the icon to run it. Make sure all other windows are closed and to let it run uninterrupted.
[*]Select All Users
[*]Under the Custom Scan box paste this in

netsvcs
%SYSTEMDRIVE%*.exe
/md5start
explorer.exe
winlogon.exe
Userinit.exe
svchost.exe
/md5stop
%systemroot%*. /mp /s
CREATERESTOREPOINT

[*]Click the Quick Scan button. Do not change any settings unless otherwise told to do so. The scan wont take long.
[list]
[*]When the scan completes, it will open two notepad windows. OTL.Txt and Extras.Txt. These are saved in the same location as OTL.
[*]Post both logs

[/list]

[*]Klik op de knop [u] Quick Scan [/u]. Wijzig instellingen niet tenzij het anders te doen. De scan zal niet lang duren. [lijst] [*]Wanneer de scan is voltooid, zal het twee windows Kladblok openen. [b]OTL.Txt [/b] en [b]Extras.Txt[/b]. Deze worden opgeslagen in dezelfde locatie als OTL. [*]Beide logboeken post

Hi Essexboy done as asked. Will send the files seperate. Too big.

Hi Essexboy, the other one.

It looks like MBAM killed it all bar one registry entry

Het lijkt erop dat MBAM gedood alle bar een registervermelding

Run OTL

[*]Under the Custom Scans/Fixes box at the bottom, paste in the following

:OTL O20 - HKLM Winlogon: System - (lsass.exe) - File not found

:Files
ipconfig /flushdns /c

:Commands
[purity]
[resethosts]
[emptytemp]
[EMPTYFLASH]
[CREATERESTOREPOINT]
[Reboot]

[*]Then click the Run Fix button at the top
[*]Let the program run unhindered, reboot the PC when it is done
[*]Open OTL again and click the Quick Scan button. Post the log it produces in your next reply.

Hello Essexboy. Did what you asked. OTL produced 2 logs: OTL.txt and xxx.log. I will send them both. Just for your info OTL did not start after malwarebytes started up. I had to stop the autostart of Malwarebytes with Windows and restart the computer and only then did OTL run normally.

They both look good - what are your current problems ?

Essexboy,

At this moment everything looks fine.

Thanks for the help!

To remove OTL - run it and hit the cleanup button

Thnx M. my friend, for helping us out :slight_smile:

Greetz, Red.