Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

Pop-ups, pc traag en krijg het niet verwijderd.

KAPE
15 antwoorden
  • Hallo allemaal,

    Ik kreeg gisteren diverse meldingen van NOD32 over diverse dreigingen tijdens het surfen op (gerenomeerde) sites.
    Vandaag is surfen haast niet meer mogelijk en de pc wordt steeds trager.
    Diverse pop-ups over sex (naaktkijker??), virusmeldingen etc.
    Ik heb diverse berichten hier op het forum gelezen en het volgende al gedaan:
    Complete virusscan.
    CCleaner.
    Malwarebytes antimalware.
    Spysweeper.
    Spydocter.
    Hitman pro.

    Maar nog steeds niet verholpen, hierbij een Hijack log.

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 21:43:03, on 20-7-2008
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Sygate\SPF\Smc.exe
    C:\PROGRA~1\COMMON~1\Stardock\SDMCP.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\acs.exe
    C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
    C:\WINDOWS\Mixer.exe
    C:\Program Files\Hewlett-Packard\HP Officejet Pro K550 Series\Toolbox\HPWUTBX.exe
    C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
    C:\Program Files\Common Files\Seagate\Schedule2\schedhlp.exe
    C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
    C:\Program Files\Sweex\SWU.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\PROGRA~1\XEMICO~1\DeskLook\DeskLook.exe
    C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
    C:\Program Files\Microsoft Office\Office10\OUTLOOK.EXE
    C:\WINDOWS\System32
    vsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\HP\hpcoretech\comp\hptskmgr.exe
    C:\Program Files\Winamp\winamp.exe
    C:\Program Files\Outlook Express\msimn.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.merlijnwinkel.nl/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 7\SnagItIEAddin.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
    O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
    O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
    O4 - HKLM\..\Run: [HPWUTOOLBOX] C:\Program Files\Hewlett-Packard\HP Officejet Pro K550 Series\Toolbox\HPWUTBX.exe "-i"
    O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\Smc.exe -startgui
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Common Files\Seagate\Schedule2\schedhlp.exe"
    O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
    O4 - HKLM\..\Run: [SWU] "C:\Program Files\Sweex\SWU.exe" -nogui
    O4 - HKLM\..\Run: [BM0d492735] Rundll32.exe "C:\WINDOWS\System32\aubehqhd.dll",s
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [DeskLook] C:\PROGRA~1\XEMICO~1\DeskLook\DeskLook.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Lokale service')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Netwerkservice')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Startup: hamachi.lnk = C:\Program Files\Hamachi\hamachi.exe
    O4 - Startup: IMVU.lnk = C:\Program Files\IMVU\IMVUClient.exe
    O4 - Global Startup: Adobe Reader Snelle start.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O23 - Service: Sweex Configuration Service (ACS) - Unknown owner - C:\WINDOWS\System32\acs.exe
    O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
    O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
    vsvc32.exe
    O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\Smc.exe

    Hopelijk ziet iemand wat de oorzaak is…..
  • Start Hijackthis op en kies voor 'Do a system scan only'. Selecteer alleen de items hieronder genoemd:

    [b:9a5a860d0e]O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 –k
    O4 - HKLM\..\Run: [BM0d492735] Rundll32.exe "C:\WINDOWS\System32\aubehqhd.dll",s[/b:9a5a860d0e]

    Klik op 'Fix checked' om de items te verwijderen.

    Download [b:9a5a860d0e]MBAM (Malwarebytes' Anti-Malware)[/b:9a5a860d0e] hier : http://www.besttechie.net/tools/mbam-setup.exe

    Dubbelklik op mbam-setup.exe om het programma te installeren.

    Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien".
    Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden.
    Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan.
    Het scannen kan een tijdje duren, dus wees geduldig.
    Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien.
    Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde.
    Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder)
    De log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in MBAM.

    Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken.
    Daarna zal het vragen om de Computer opnieuw op te starten… dus sta toe dat MBAM de computer opnieuw opstart.

    Plak de inhoud van het logje in je volgende bericht, samen met een nieuw HijackThis log.
  • Het is ondertussen opgelost door in totaal 4x met malware te scannen. Toen pas was alles verwijderd, elke keer vond het weer wat nieuws.
    Gelijk een volgende vraag, welke programma's zijn nu het beste aan te schaffen? Malware, ad aware e.d. ? Is NOD32 nu wel een goed keus van mij geweest?

    Alvast bedankt.
  • Op mijn 2e pc staat ook van alles, maar krijg niet alles verwijderd met Malware. Telkens weer vindt hij 14 geïnfecteerde bestanden.
    Hieronder de log:

    Malwarebytes' Anti-Malware 1.22
    Database versie: 979
    Windows 5.1.2600

    22:36:39 22-7-2008
    mbam-log-7-22-2008 (22-36-35).txt

    Scan type: Snelle Scan
    Objecten gescand: 34820
    Verstreken tijd: 5 minute(s), 17 second(s)

    Geheugenprocessen geïnfecteerd: 0
    Geheugenmodulen geïnfecteerd: 2
    Registersleutels geïnfecteerd: 5
    Registerwaarden geïnfecteerd: 1
    Registerdata bestanden geïnfecteerd: 2
    Mappen geïnfecteerd: 0
    Bestanden geïnfecteerd: 4

    Geheugenprocessen geïnfecteerd:
    (Geen kwaadaardige items gevonden)

    Geheugenmodulen geïnfecteerd:
    C:\WINDOWS\system32\hgGaxwtt.dll (Trojan.Vundo) -> No action taken.
    C:\WINDOWS\system32\awtsRiff.dll (Trojan.Vundo) -> No action taken.

    Registersleutels geïnfecteerd:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8ca26027-b114-4bb3-b1e5-e444da0ac251} (Trojan.Vundo) -> No action taken.
    HKEY_CLASSES_ROOT\CLSID\{8ca26027-b114-4bb3-b1e5-e444da0ac251} (Trojan.Vundo) -> No action taken.
    HKEY_CLASSES_ROOT\CLSID\{769d8280-a207-4eea-9963-f8b156c32855} (Trojan.Vundo) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{769d8280-a207-4eea-9963-f8b156c32855} (Trojan.Vundo) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\awtsriff (Trojan.Vundo) -> No action taken.

    Registerwaarden geïnfecteerd:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{769d8280-a207-4eea-9963-f8b156c32855} (Trojan.Vundo) -> No action taken.

    Registerdata bestanden geïnfecteerd:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo) -> Data: c:\windows\system32\hggaxwtt -> No action taken.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\hggaxwtt -> No action taken.

    Mappen geïnfecteerd:
    (Geen kwaadaardige items gevonden)

    Bestanden geïnfecteerd:
    C:\WINDOWS\system32\hgGaxwtt.dll (Trojan.Vundo) -> No action taken.
    C:\WINDOWS\system32\ttwxaGgh.ini (Trojan.Vundo) -> No action taken.
    C:\WINDOWS\system32\ttwxaGgh.ini2 (Trojan.Vundo) -> No action taken.
    C:\WINDOWS\system32\awtsRiff.dll (Trojan.Vundo) -> No action taken.

    Hijackthis:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 22:37:51, on 22-7-2008
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Sygate\SPF\Smc.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\acs.exe
    C:\Program Files\Sweex\SWU.exe
    C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
    C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
    C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\Program Files\Hamachi\hamachi.exe
    C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
    C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [SWU] "C:\Program Files\Sweex\SWU.exe" -nogui
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\Smc.exe -startgui
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
    O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
    O4 - HKLM\..\Run: [Malwarebytes Anti-Malware Reboot] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe"
    uncleanupscript
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Lokale service')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Netwerkservice')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O4 - Global Startup: hamachi.lnk = C:\Program Files\Hamachi\hamachi.exe
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O23 - Service: Sweex Configuration Service (ACS) - Unknown owner - C:\WINDOWS\System32\acs.exe
    O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
    O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\Smc.exe


    End of file - 3587 bytes
  • Dat tweede logje ziet er goed uit.

    Maar met MBAM heb je geen opdracht tot verwijderen gegeven. Die "no action taken" wijst daar op. Nog eens laten runnen en dan wel voor verwijderen van de besmette onderdelen kiezen.
  • Ik had eerst een log opgeslagen voordat ik had aangegeven de bestanden te verwijderen, telkens geeft hij dan aan dat er een aantal pas worden verwijder bij het opstarten.
    Heb nu zeker 10x in totaal een scan uitgevoerd, maar blijft er op staan.
    Wellicht is er een beter programma om het te kunnen verwijderen?
  • Lijkt me vreemd dat je deze niet kan verwijderen met MBAM. Zeker na opstarten zouden deze moeten opgeruimd worden. Het alternatief is handmatig opruimen. Voor de bestanden kan je dat via Windows Verkenner, maar voor alle registerdata moet je dat in het register aanpassen. Vraag is of je daar voldoende ervaring mee hebt en of je dit wil doen ?
  • Hieronder nieuw logje van een scan, nu geloof ik 16 gevonden en zal alles verwijderen, maar sommigen bij opnieuw opstarten van de pc. Dat zal ik nu weer doen en straks weer een scan draaien en weer een log plaatsen.

    Malwarebytes' Anti-Malware 1.22
    Database versie: 979
    Windows 5.1.2600

    22:09:23 23-7-2008
    mbam-log-7-23-2008 (22-09-23).txt

    Scan type: Snelle Scan
    Objecten gescand: 61473
    Verstreken tijd: 5 minute(s), 48 second(s)

    Geheugenprocessen geïnfecteerd: 0
    Geheugenmodulen geïnfecteerd: 2
    Registersleutels geïnfecteerd: 7
    Registerwaarden geïnfecteerd: 1
    Registerdata bestanden geïnfecteerd: 2
    Mappen geïnfecteerd: 0
    Bestanden geïnfecteerd: 4

    Geheugenprocessen geïnfecteerd:
    (Geen kwaadaardige items gevonden)

    Geheugenmodulen geïnfecteerd:
    C:\WINDOWS\system32\hgGaxwtt.dll (Trojan.Vundo) -> Unloaded module successfully.
    C:\WINDOWS\system32\awtsRiff.dll (Trojan.Vundo) -> Unloaded module successfully.

    Registersleutels geïnfecteerd:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9926c530-5077-4858-aa9a-095bb1e96b6c} (Trojan.Vundo) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\CLSID\{9926c530-5077-4858-aa9a-095bb1e96b6c} (Trojan.Vundo) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\CLSID\{769d8280-a207-4eea-9963-f8b156c32855} (Trojan.Vundo) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{769d8280-a207-4eea-9963-f8b156c32855} (Trojan.Vundo) -> Delete on reboot.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\awtsriff (Trojan.Vundo) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

    Registerwaarden geïnfecteerd:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{769d8280-a207-4eea-9963-f8b156c32855} (Trojan.Vundo) -> Quarantined and deleted successfully.

    Registerdata bestanden geïnfecteerd:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo) -> Data: c:\windows\system32\hggaxwtt -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\hggaxwtt -> Quarantined and deleted successfully.

    Mappen geïnfecteerd:
    (Geen kwaadaardige items gevonden)

    Bestanden geïnfecteerd:
    C:\WINDOWS\system32\hgGaxwtt.dll (Trojan.Vundo) -> Delete on reboot.
    C:\WINDOWS\system32\ttwxaGgh.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\ttwxaGgh.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\awtsRiff.dll (Trojan.Vundo) -> Delete on reboot.
  • Hij heeft er 1 kunnen verwijderen, wederom 15 gevonden, zie hieronder.
    Nu kan ik alleen nog maar in het registeren gaan spitten?


    Malwarebytes' Anti-Malware 1.22
    Database versie: 979
    Windows 5.1.2600

    22:31:31 23-7-2008
    mbam-log-7-23-2008 (22-31-31).txt

    Scan type: Snelle Scan
    Objecten gescand: 61324
    Verstreken tijd: 8 minute(s), 3 second(s)

    Geheugenprocessen geïnfecteerd: 0
    Geheugenmodulen geïnfecteerd: 2
    Registersleutels geïnfecteerd: 6
    Registerwaarden geïnfecteerd: 1
    Registerdata bestanden geïnfecteerd: 2
    Mappen geïnfecteerd: 0
    Bestanden geïnfecteerd: 4

    Geheugenprocessen geïnfecteerd:
    (Geen kwaadaardige items gevonden)

    Geheugenmodulen geïnfecteerd:
    C:\WINDOWS\system32\hgGaxwtt.dll (Trojan.Vundo) -> Unloaded module successfully.
    C:\WINDOWS\system32\awtsRiff.dll (Trojan.Vundo) -> Unloaded module successfully.

    Registersleutels geïnfecteerd:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{79352fbd-d1b9-4aca-b1e3-434631a173e3} (Trojan.Vundo) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\CLSID\{79352fbd-d1b9-4aca-b1e3-434631a173e3} (Trojan.Vundo) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\CLSID\{769d8280-a207-4eea-9963-f8b156c32855} (Trojan.Vundo) -> Delete on reboot.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{769d8280-a207-4eea-9963-f8b156c32855} (Trojan.Vundo) -> Delete on reboot.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\awtsriff (Trojan.Vundo) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

    Registerwaarden geïnfecteerd:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{769d8280-a207-4eea-9963-f8b156c32855} (Trojan.Vundo) -> Delete on reboot.

    Registerdata bestanden geïnfecteerd:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo) -> Data: c:\windows\system32\hggaxwtt -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\hggaxwtt -> Delete on reboot.

    Mappen geïnfecteerd:
    (Geen kwaadaardige items gevonden)

    Bestanden geïnfecteerd:
    C:\WINDOWS\system32\hgGaxwtt.dll (Trojan.Vundo) -> Delete on reboot.
    C:\WINDOWS\system32\ttwxaGgh.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\ttwxaGgh.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\awtsRiff.dll (Trojan.Vundo) -> Delete on reboot.
  • Dat ziet er netjes uit. Nu nog graag een nieuw logje met HJT ?
  • Dat lijkt zo, de pop-ups beginnen alweer, overduidelijk dat het nog steeds niet schoon is. De log:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 23:23:22, on 23-7-2008
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Sygate\SPF\Smc.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
    C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
    C:\Program Files\Unlocker\UnlockerAssistant.exe
    C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\Program Files\Hamachi\hamachi.exe
    C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
    C:\WINDOWS\System32\rundll32.exe
    C:\WINDOWS\System32\rundll32.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\Smc.exe -startgui
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
    O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
    O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe" -H
    O4 - HKLM\..\Run: [Malwarebytes Anti-Malware Reboot] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe"
    uncleanupscript
    O4 - HKLM\..\Run: [BM1d6326ce] Rundll32.exe "C:\WINDOWS\System32\tnfgiodw.dll",s
    O4 - HKLM\..\Run: [1e501552] rundll32.exe "C:\WINDOWS\System32\dicliuuq.dll",b
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Lokale service')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Netwerkservice')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O4 - Global Startup: hamachi.lnk = C:\Program Files\Hamachi\hamachi.exe
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
    O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\Smc.exe


    End of file - 3600 bytes
  • Deze regel wil nu niet weg:
    O4 - HKLM\..\Run: [BM1d6326ce] Rundll32.exe "C:\WINDOWS\System32\tnfgiodw.dll",s
  • Deze twee regels moet je fixen met HJT :

    O4 - HKLM\..\Run: [BM1d6326ce] Rundll32.exe "C:\WINDOWS\System32\tnfgiodw.dll",s
    O4 - HKLM\..\Run: [1e501552] rundll32.exe "C:\WINDOWS\System32\dicliuuq.dll",b

    Download Combofix hier :
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe en zet het op je Bureaublad.

    Indien je Combofix al eerder hebt gebruikt, gelieve die versie te verwijderen en Combofix opnieuw te downloaden via bovenstaande link, want Combofix wordt dagelijks geupdate.

    Dubbelklik op Combofix.exe en volg de instructies, aanvaard de disclaimer door y te typen. Tijdens het runnen van de fix, NIET in het venster klikken, want dit zal je pc doen vasthangen.
    Wanneer de fix voltooid is en na herstart, zal de log combofix.txt openen.

    Indien je, tijdens of na het downloaden van Combofix of tijdens het gebruik van Combofix een melding krijgt van je antivirus- of een andere realtime scanner, schakel dan deze scanner uit en download Combofix opnieuw.
    Sommige scanners zien bepaalde componenten die Combofix gebruikt als verdacht en gaan deze blokkeren of verwijderen!

    Hang het log van Combofix aan je volgende bericht.
  • ComboFix 08-07-22.4 - Merlijn 2008-07-23 23:41:03.1 - [b:3da77a477a]FAT32[/b:3da77a477a][/color:3da77a477a]x86
    Microsoft Windows XP Professional 5.1.2600.0.1252.1.1043.18.869 [GMT 2:00]
    Gestart vanuit: C:\Documents and Settings\Merlijn\Bureaublad\ComboFix.exe
    * Nieuw herstelpunt werd aangemaakt
    * Resident AV is active


    [b:3da77a477a]WAARSCHUWING - DE RECOVERY CONSOLE IS NIET OP DIT SYSTEEM GEINSTALLEERD !![/b:3da77a477a][/color:3da77a477a]
    .

    (((((((((((((((((((((((((((((((((( Andere Verwijderingen )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\Documents and Settings\Merlijn\Menu Start\Programma's\Antivirus 2008 PRO
    C:\Documents and Settings\Merlijn\Menu Start\Programma's\Antivirus 2008 PRO\antivirus-2008pro.lnk
    C:\WINDOWS\Downloaded Program Files\setup.inf
    C:\WINDOWS\pskt.ini
    C:\WINDOWS\system32\awtsRiff.dll
    C:\WINDOWS\system32\dicliuuq.dll
    C:\WINDOWS\system32\gigtjees.dll
    C:\WINDOWS\system32
    tdxmlij.dll
    C:\WINDOWS\system32\pveqbabm.dll
    C:\WINDOWS\system32\tnfgiodw.dll
    C:\WINDOWS\system32\ttwxaGgh.ini
    C:\WINDOWS\system32\ttwxaGgh.ini2

    .
    (((((((((((((((((((( Bestanden Gemaakt van 2008-06-23 to 2008-07-23 ))))))))))))))))))))))))))))))
    .

    2008-07-23 23:36 . 2008-07-23 23:36 0 –a—— C:\WINDOWS\BM1d6326ce.xml
    2008-07-22 22:41 . 2008-07-22 22:41 <DIR> d——– C:\Program Files\Unlocker
    2008-07-22 22:16 . 2008-07-22 22:16 <DIR> d——– C:\Program Files\Trend Micro
    2008-07-22 21:22 . 2008-07-22 21:22 <DIR> d——– C:\Program Files\Malwarebytes' Anti-Malware
    2008-07-22 21:22 . 2008-07-22 21:22 <DIR> d——– C:\Documents and Settings\Merlijn\Application Data\Malwarebytes
    2008-07-22 21:22 . 2008-07-22 21:22 <DIR> d——– C:\Documents and Settings\All Users\Application Data\Malwarebytes
    2008-07-22 21:22 . 2008-07-20 20:21 38,472 –a—— C:\WINDOWS\system32\drivers\mbamswissarmy.sys
    2008-07-22 21:22 . 2008-07-20 20:21 17,144 –a—— C:\WINDOWS\system32\drivers\mbam.sys
    2008-07-22 21:05 . 2008-07-22 21:05 323,648 ——— C:\WINDOWS\system32\hgGaxwtt.dll
    2008-07-22 20:59 . 2008-07-22 20:59 192,659 –a—— C:\DOWN.EXE
    2008-07-14 14:54 . 2008-07-14 14:54 17,144 –a—— C:\Documents and Settings\Merlijn\Application Data\GDIPFONTCACHEV1.DAT
    2008-07-14 13:45 . 2008-07-14 13:45 <DIR> d——– C:\hp

    .
    ((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2007-02-19 00:45 49 —-a-w C:\Documents and Settings\Marisca\Application Data\internaldb41.dat
    2006-11-30 11:05 334 —-a-w C:\Documents and Settings\Marisca\Application Data\internaldb1942.dat
    2006-11-30 09:29 13,046 —-a-w C:\Documents and Settings\Marisca\Application Data\internaldb5436.dat
    2006-11-30 09:29 0 —-a-w C:\Documents and Settings\Marisca\Application Data\internaldb4604.dat
    2006-11-26 16:55 175,104 —-a-w C:\Documents and Settings\Marisca\Application Data\internaldb4827.dat
    2006-11-18 08:42 0 —-a-w C:\Documents and Settings\Marisca\Application Data\internaldb2391.dat
    2006-11-15 21:34 0 —-a-w C:\Documents and Settings\Marisca\Application Data\internaldb153.dat
    2006-11-13 11:59 0 —-a-w C:\Documents and Settings\Marisca\Application Data\internaldb8253.dat
    2006-11-13 11:59 0 —-a-w C:\Documents and Settings\Marisca\Application Data\internaldb3902.dat
    2006-11-11 15:57 9,216 —-a-w C:\Documents and Settings\Marisca\Application Data\internaldb8467.dat
    2006-11-11 15:57 0 —-a-w C:\Documents and Settings\Marisca\Application Data\internaldb6334.dat
    2006-03-03 20:48 18,224 —-a-w C:\Documents and Settings\Marisca\Application Data\GDIPFONTCACHEV1.DAT
    .

    ((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-18 19:24 68856]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SmcService"="C:\PROGRA~1\Sygate\SPF\Smc.exe" [2003-03-21 16:32 2138183]
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00 132496]
    "egui"="C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" [2008-02-20 11:06 1443072]
    "UnlockerAssistant"="C:\Program Files\Unlocker\UnlockerAssistant.exe" [2008-03-01 07:10 15872]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-09-07 13:00 13312]

    C:\Documents and Settings\All Users\Menu Start\Programma's\Opstarten\
    Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 10:01:04 83360]
    hamachi.lnk - C:\Program Files\Hamachi\hamachi.exe [2007-02-20 23:11:01 599592]

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
    SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll,

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\FPAVServer]
    @="Service"

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programma's^Opstarten^Adobe Reader Snelle start.lnk]
    path=C:\Documents and Settings\All Users\Menu Start\Programma's\Opstarten\Adobe Reader Snelle start.lnk
    backup=C:\WINDOWS\pss\Adobe Reader Snelle start.lnkCommon Startup

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programma's^Opstarten^Adobe Reader Synchronizer.lnk]
    path=C:\Documents and Settings\All Users\Menu Start\Programma's\Opstarten\Adobe Reader Synchronizer.lnk
    backup=C:\WINDOWS\pss\Adobe Reader Synchronizer.lnkCommon Startup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\F-PROT Antivirus Tray application]
    –a—— 2008-04-21 15:25 1597832 C:\Program Files\FRISK Software\F-PROT Antivirus for Windows\FProtTray.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HyvesKwekker]
    –a—— 2007-04-06 11:12 1588736 C:\Program Files\Hyves Kwekker\HyvesDesktop_2.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
    –a—— 2001-08-02 07:14 1077277 C:\Program Files\Messenger\msmsgs.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
    "wuauserv"=2 (0x2)
    "Messenger"=2 (0x2)

    R1 epfwtdir;epfwtdir;C:\WINDOWS\System32\DRIVERS\epfwtdir.sys [2008-02-20 11:11]
    S2 NOD32FiXTemDono;Eset Nod32 Boot;C:\WINDOWS\System32\regedt32.exe [2001-09-07 13:00]
    S3 PRISM_A00;Intersil PRISM 802.11a/g Driver;C:\WINDOWS\System32\DRIVERS\PCTELSAP.SYS [2004-01-29 22:29]
    .
    - - - - ORPHANS REMOVED - - - -

    HKLM-Run-Cmaudio - cmicnfg.cpl


    .
    ——- Supplementary Scan ——-
    .
    R0 -: HKCU-Main,Start Page = hxxp://www.google.nl/
    R0 -: HKCU-Main,Search Page = hxxp://www.google.com
    R0 -: HKCU-Main,Search Bar = hxxp://www.google.com/ie
    R0 -: HKLM-Main,Default_Search_URL = hxxp://www.google.com/ie
    R0 -: HKLM-Main,Start Page = hxxp://www.google.nl/
    R1 -: HKCU-Internet Connection Wizard,ShellNext = iexplore
    R0 -: HKCU-Search,SearchAssistant = hxxp://www.google.com/ie
    R1 -: HKCU-SearchURL,(Default) = hxxp://www.google.com/search?q=%s
    R0 -: HKLM-Search,SearchAssistant = hxxp://www.google.com/ie
    O8 -: E&xporteren naar Microsoft Excel - C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000


    **************************************************************************

    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-07-23 23:44:34
    Windows 5.1.2600 FAT NTAPI

    scannen van verborgen processen …

    scannen van verborgen autostart items …

    scannen van verborgen bestanden …

    Scan succesvol afgerond
    verborgen bestanden: 0

    **************************************************************************
    .
    ———————— Other Running Processes ————————
    .
    C:\PROGRAM FILES\SYGATE\SPF\SMC.EXE
    C:\PROGRAM FILES\ESET\ESET NOD32 ANTIVIRUS\EKRN.EXE
    C:\WINDOWS\SYSTEM32\WDFMGR.EXE
    .
    **************************************************************************
    .
    Voltooingstijd: 2008-07-23 23:45:20 - machine was rebooted
    ComboFix-quarantined-files.txt 2008-07-23 21:45:18

    Pre-Run: 10,825,170,944 bytes beschikbaar
    Post-Run: 13,252,722,688 bytes beschikbaar

    130


    MALWARE:

    Malwarebytes' Anti-Malware 1.22
    Database versie: 979
    Windows 5.1.2600

    23:49:08 23-7-2008
    mbam-log-7-23-2008 (23-49-08).txt

    Scan type: Snelle Scan
    Objecten gescand: 43069
    Verstreken tijd: 2 minute(s), 23 second(s)

    Geheugenprocessen geïnfecteerd: 0
    Geheugenmodulen geïnfecteerd: 0
    Registersleutels geïnfecteerd: 0
    Registerwaarden geïnfecteerd: 0
    Registerdata bestanden geïnfecteerd: 0
    Mappen geïnfecteerd: 0
    Bestanden geïnfecteerd: 3

    Geheugenprocessen geïnfecteerd:
    (Geen kwaadaardige items gevonden)

    Geheugenmodulen geïnfecteerd:
    (Geen kwaadaardige items gevonden)

    Registersleutels geïnfecteerd:
    (Geen kwaadaardige items gevonden)

    Registerwaarden geïnfecteerd:
    (Geen kwaadaardige items gevonden)

    Registerdata bestanden geïnfecteerd:
    (Geen kwaadaardige items gevonden)

    Mappen geïnfecteerd:
    (Geen kwaadaardige items gevonden)

    Bestanden geïnfecteerd:
    C:\WINDOWS\system32\hgGaxwtt.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\WINDOWS\BM1d6326ce.xml (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\WINDOWS\BM1d6326ce.txt (Trojan.Vundo) -> Quarantined and deleted successfully.
  • Wederom met Combofix:

    ComboFix 08-07-22.4 - Merlijn 2008-07-23 23:51:31.2 - [b:c7f0d1f1b2]FAT32[/b:c7f0d1f1b2][/color:c7f0d1f1b2]x86
    Microsoft Windows XP Professional 5.1.2600.0.1252.1.1043.18.943 [GMT 2:00]
    Gestart vanuit: C:\Documents and Settings\Merlijn\Bureaublad\ComboFix.exe
    * Resident AV is active


    [b:c7f0d1f1b2]WAARSCHUWING - DE RECOVERY CONSOLE IS NIET OP DIT SYSTEEM GEINSTALLEERD !![/b:c7f0d1f1b2][/color:c7f0d1f1b2]
    .

    (((((((((((((((((((( Bestanden Gemaakt van 2008-06-23 to 2008-07-23 ))))))))))))))))))))))))))))))
    .

    2008-07-22 22:41 . 2008-07-22 22:41 <DIR> d——– C:\Program Files\Unlocker
    2008-07-22 22:16 . 2008-07-22 22:16 <DIR> d——– C:\Program Files\Trend Micro
    2008-07-22 21:22 . 2008-07-22 21:22 <DIR> d——– C:\Program Files\Malwarebytes' Anti-Malware
    2008-07-22 21:22 . 2008-07-22 21:22 <DIR> d——– C:\Documents and Settings\Merlijn\Application Data\Malwarebytes
    2008-07-22 21:22 . 2008-07-22 21:22 <DIR> d——– C:\Documents and Settings\All Users\Application Data\Malwarebytes
    2008-07-22 21:22 . 2008-07-20 20:21 38,472 –a—— C:\WINDOWS\system32\drivers\mbamswissarmy.sys
    2008-07-22 21:22 . 2008-07-20 20:21 17,144 –a—— C:\WINDOWS\system32\drivers\mbam.sys
    2008-07-22 20:59 . 2008-07-22 20:59 192,659 –a—— C:\DOWN.EXE
    2008-07-14 14:54 . 2008-07-14 14:54 17,144 –a—— C:\Documents and Settings\Merlijn\Application Data\GDIPFONTCACHEV1.DAT
    2008-07-14 13:45 . 2008-07-14 13:45 <DIR> d——– C:\hp

    .
    ((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2007-02-19 00:45 49 —-a-w C:\Documents and Settings\Marisca\Application Data\internaldb41.dat
    2006-11-30 11:05 334 —-a-w C:\Documents and Settings\Marisca\Application Data\internaldb1942.dat
    2006-11-30 09:29 13,046 —-a-w C:\Documents and Settings\Marisca\Application Data\internaldb5436.dat
    2006-11-30 09:29 0 —-a-w C:\Documents and Settings\Marisca\Application Data\internaldb4604.dat
    2006-11-26 16:55 175,104 —-a-w C:\Documents and Settings\Marisca\Application Data\internaldb4827.dat
    2006-11-18 08:42 0 —-a-w C:\Documents and Settings\Marisca\Application Data\internaldb2391.dat
    2006-11-15 21:34 0 —-a-w C:\Documents and Settings\Marisca\Application Data\internaldb153.dat
    2006-11-13 11:59 0 —-a-w C:\Documents and Settings\Marisca\Application Data\internaldb8253.dat
    2006-11-13 11:59 0 —-a-w C:\Documents and Settings\Marisca\Application Data\internaldb3902.dat
    2006-11-11 15:57 9,216 —-a-w C:\Documents and Settings\Marisca\Application Data\internaldb8467.dat
    2006-11-11 15:57 0 —-a-w C:\Documents and Settings\Marisca\Application Data\internaldb6334.dat
    2006-03-03 20:48 18,224 —-a-w C:\Documents and Settings\Marisca\Application Data\GDIPFONTCACHEV1.DAT
    .

    ((((((((((((((((((((((((((((( snapshot@2008-07-23_23.45.02.59 )))))))))))))))))))))))))))))))))))))))))
    .
    - 2008-07-23 20:13:32 32,768 —-a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
    + 2008-07-23 21:44:38 32,768 —-a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
    - 2008-07-23 20:13:32 32,768 —-a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Geschiedenis\History.IE5\index.dat
    + 2008-07-23 21:44:38 32,768 —-a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Geschiedenis\History.IE5\index.dat
    - 2008-07-23 20:13:32 81,920 —-a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
    + 2008-07-23 21:44:38 81,920 —-a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
    - 2008-07-21 19:11:48 40,128 —-a-w C:\WINDOWS\system32\perfc009.dat
    + 2008-07-23 21:45:46 40,128 —-a-w C:\WINDOWS\system32\perfc009.dat
    - 2008-07-21 19:11:48 53,652 —-a-w C:\WINDOWS\system32\perfc013.dat
    + 2008-07-23 21:45:46 53,652 —-a-w C:\WINDOWS\system32\perfc013.dat
    - 2008-07-21 19:11:48 311,740 —-a-w C:\WINDOWS\system32\perfh009.dat
    + 2008-07-23 21:45:46 311,740 —-a-w C:\WINDOWS\system32\perfh009.dat
    - 2008-07-21 19:11:48 364,644 —-a-w C:\WINDOWS\system32\perfh013.dat
    + 2008-07-23 21:45:46 364,644 —-a-w C:\WINDOWS\system32\perfh013.dat
    .
    ((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-18 19:24 68856]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SmcService"="C:\PROGRA~1\Sygate\SPF\Smc.exe" [2003-03-21 16:32 2138183]
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00 132496]
    "egui"="C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" [2008-02-20 11:06 1443072]
    "UnlockerAssistant"="C:\Program Files\Unlocker\UnlockerAssistant.exe" [2008-03-01 07:10 15872]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-09-07 13:00 13312]

    C:\Documents and Settings\All Users\Menu Start\Programma's\Opstarten\
    Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 10:01:04 83360]
    hamachi.lnk - C:\Program Files\Hamachi\hamachi.exe [2007-02-20 23:11:01 599592]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\FPAVServer]
    @="Service"

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programma's^Opstarten^Adobe Reader Snelle start.lnk]
    path=C:\Documents and Settings\All Users\Menu Start\Programma's\Opstarten\Adobe Reader Snelle start.lnk
    backup=C:\WINDOWS\pss\Adobe Reader Snelle start.lnkCommon Startup

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programma's^Opstarten^Adobe Reader Synchronizer.lnk]
    path=C:\Documents and Settings\All Users\Menu Start\Programma's\Opstarten\Adobe Reader Synchronizer.lnk
    backup=C:\WINDOWS\pss\Adobe Reader Synchronizer.lnkCommon Startup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\F-PROT Antivirus Tray application]
    –a—— 2008-04-21 15:25 1597832 C:\Program Files\FRISK Software\F-PROT Antivirus for Windows\FProtTray.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HyvesKwekker]
    –a—— 2007-04-06 11:12 1588736 C:\Program Files\Hyves Kwekker\HyvesDesktop_2.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
    –a—— 2001-08-02 07:14 1077277 C:\Program Files\Messenger\msmsgs.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
    "wuauserv"=2 (0x2)
    "Messenger"=2 (0x2)

    R1 epfwtdir;epfwtdir;C:\WINDOWS\System32\DRIVERS\epfwtdir.sys [2008-02-20 11:11]
    S2 NOD32FiXTemDono;Eset Nod32 Boot;C:\WINDOWS\System32\regedt32.exe [2001-09-07 13:00]
    S3 PRISM_A00;Intersil PRISM 802.11a/g Driver;C:\WINDOWS\System32\DRIVERS\PCTELSAP.SYS [2004-01-29 22:29]
    .
    .
    ——- Supplementary Scan ——-
    .
    R0 -: HKCU-Main,Start Page = hxxp://www.google.nl/
    R0 -: HKCU-Main,Search Page = hxxp://www.google.com
    R0 -: HKCU-Main,Search Bar = hxxp://www.google.com/ie
    R0 -: HKLM-Main,Start Page = hxxp://www.google.nl/
    R1 -: HKCU-Internet Connection Wizard,ShellNext = iexplore
    R1 -: HKCU-SearchURL,(Default) = hxxp://www.google.com/search?q=%s
    O8 -: E&xporteren naar Microsoft Excel - C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000


    **************************************************************************

    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-07-23 23:52:21
    Windows 5.1.2600 FAT NTAPI

    scannen van verborgen processen …

    scannen van verborgen autostart items …

    scannen van verborgen bestanden …

    Scan succesvol afgerond
    verborgen bestanden: 0

    **************************************************************************
    .
    Voltooingstijd: 2008-07-23 23:52:43
    ComboFix-quarantined-files.txt 2008-07-23 21:52:42
    ComboFix2.txt 2008-07-23 21:45:22

    Pre-Run: 13,256,327,168 bytes beschikbaar
    Post-Run: 13,251,067,904 bytes beschikbaar

    En met malware NIETS meer!!!

    Perfect dus dat Combofix!

    Mijn hartelijke dank @Kape!

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.