Vraag & Antwoord

Beveiliging & privacy

Soort virus ofzo..? hulp nodig

12 antwoorden
  • Hallo, Ik heb nu sinds denk ik een paar weken erg last van een aantal dingen en ik heb het idee dat het erger word. Ik heb last van meerdere dingen - Ik heb een soort screensaver met waarschuwing, mijn scherm word na ong. 10 minuten niks doen blauw met een hele grote boodschap over dat er mischien een fout bestand ergens zit. dat blauwe scherm blijft zo'n 10 seconde en dan springt het over naar het "Windows laad-scherm" wat je ook altijd hebt als je m opstart. dat laad-scherm en het blauwe(soms ook roze vooraf) scherm wisselen zich steeds af. Ik kan ten alle tijden op een toest drukken waardoor ik door kan gaan waarmee ik bezig was. - Ook is internet ENORM traag en komt het ook heel vaak voor dat de site drie keer aangeeft het niet te doen voordat hij het eindelijk doet. sommige sites doen het zelfs helemaal niet, bij download.microsoft.com doet het niet. Ik wilde Ad-Aware downloaden maar dat kon dus niet. Uiteindelijk via een andere site wel gelukt maar als ik een scan start, start me pc tijdens de scan na 30 sec. opnieuw op. - Ook is google heel vervelend. Als ik op een link bij google klik krijg ik niet de site die ernoder staat maar gaat ie naar een hele andere site(willekeurig) maar volgens mij zit er wel een verband tussen de site waar ik op klik en waar die vervolgens naar toe gaat. Ik moet dus copy/paste doen i.p.v gewoon op die link te klikken. Als iemand gelijk ziet wat er aan de hand is of als iemand mij kan helpen met dit probleem zou het echt heel fijn zijn. Groeten
  • hoi, Om goed te kijken wat het probleem is, moet je onderstaande stap nemen. Download [url=http://download.bleepingcomputer.com/hijackthis/HJTInstall.exe]Trend Micro Hijack This [/url] Dubbelklik op HJTInstall.exe Hijackthis wordt nu op je PC geïnstalleerd, een snel koppeling wordt op je bureaublad geplaatst HijackThis zal openen na het installeren. Klik op "Do a systemscan and save a logfile". Er opent een Kladblok venster, houd gelijkt tijdig de CTRL en A toets ingedrukt, nu is alles geselecteerd. Houd gelijkt tijdig de CTRL en C toets ingedrukt, nu is alles gekopieerd. Wil je dit logje als antwoord zetten zodat we je verder kunnen helpen. Roelof
  • Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:00:47, on 12-9-2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: J:\WINDOWS\system32\csrss.exe J:\WINDOWS\system32\winlogon.exe J:\WINDOWS\system32\services.exe J:\WINDOWS\system32\lsass.exe J:\WINDOWS\system32\svchost.exe J:\WINDOWS\system32\svchost.exe J:\WINDOWS\System32\svchost.exe J:\WINDOWS\system32\svchost.exe J:\WINDOWS\system32\svchost.exe J:\Program Files\Lavasoft\Ad-Aware\aawservice.exe J:\WINDOWS\Explorer.EXE J:\Program Files\Java\jre1.6.0_07\bin\jusched.exe J:\WINDOWS\SOUNDMAN.EXE J:\Program Files\iTunes\iTunesHelper.exe J:\Program Files\Spyware Doctor\pctsTray.exe J:\WINDOWS\system32\RUNDLL32.EXE J:\Program Files\Sitecom\Sitecom WL-151 Wireless LAN Card\Installer\WLANUTL.exe J:\WINDOWS\system32\spoolsv.exe J:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe J:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe J:\Program Files\Belkin\Belkin Wireless Network Utility\WLanCfgG.exe J:\Program Files\Bonjour\mDNSResponder.exe J:\Program Files\Eset\nod32krn.exe J:\WINDOWS\system32\nvsvc32.exe J:\WINDOWS\system32\PnkBstrA.exe J:\WINDOWS\system32\wdfmgr.exe J:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe J:\Program Files\iPod\bin\iPodService.exe J:\WINDOWS\System32\alg.exe C:\Program Files\Mozilla Firefox\firefox.exe J:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe C:\Program Files\Internet Explorer\Iexplore.exe J:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - J:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - J:\Program Files\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - J:\Program Files\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Aanmelden - Help - {9030D464-4C02-4ABF-8ECC-5164760863C6} - J:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] "J:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE J:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroFilterCheck] J:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AXIS TONS THE MP3] J:\Documents and Settings\All Users\Application Data\Readme Live Axis Tons\soft city.exe O4 - HKLM\..\Run: [QuickTime Task] "J:\Program Files\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "J:\Program Files\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [lphcl2mj0etfc] J:\WINDOWS\system32\lphcl2mj0etfc.exe O4 - HKLM\..\Run: [J:\WINDOWS\system32\kdxhp.exe] J:\WINDOWS\system32\kdxhp.exe O4 - HKLM\..\Run: [ISTray] "J:\Program Files\Spyware Doctor\pctsTray.exe" O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE J:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [sysrest32.exe] J:\WINDOWS\system32\sysrest32.exe O4 - HKLM\..\Run: [Hitman Pro Expiration Helper] "J:\Program Files\Hitman Pro\xphelper.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [iexplorer] J:\WINDOWS\iexplorer.exe --system O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] J:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader Speed Launch.lnk = J:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Sitecom Wireless Utility.lnk = J:\Program Files\Sitecom\Sitecom WL-151 Wireless LAN Card\Installer\WLANUTL.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - J:\Program Files\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - J:\Program Files\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - J:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - J:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - J:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - J:\Program Files\Messenger\msmsgs.exe O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O21 - SSODL: wGzjrQPm - {98FEEA1C-3254-40B6-A758-42F8961577E0} - J:\WINDOWS\system32\glr.dll O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - J:\Program Files\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Apple Mobile Device - Apple, Inc. - J:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Belkin Wireless USB Network Adapter (Belkin Wireless USB Network Adapter Service) - Unknown owner - J:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe O23 - Service: Bonjour-service (Bonjour Service) - Apple Inc. - J:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: iPod-service (iPod Service) - Apple Inc. - J:\Program Files\iPod\bin\iPodService.exe O23 - Service: NOD32 Kernel Service (nod32krn) - Eset - J:\Program Files\Eset\nod32krn.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - J:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - J:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - J:\Program Files\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - J:\Program Files\Spyware Doctor\pctsSvc.exe O23 - Service: Webroot Spy Sweeper Engine (WebrootSpySweeperService) - Webroot Software, Inc. - J:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe -- End of file - 7199 bytes
  • Hoi, JE bent aardig besmet maar dit varkentje wassen we ook wel. 1)Download [url=http://home.hetnet.nl/~stefsmeenk/LOP-uninstall.exe]LOP-uninstall.exe [/url] Voer bij "Uninstall verification" de zevencijferige code in en klik "Uninstall" Klik bij "Legal notice" OK Sluit alle vensters en klik OK Wacht .......en klik bij "Uninstall complete for all users" OK. 2) Download dit bestand: [url=http://home.hetnet.nl/~stefsmeenk/tools/deljob.exe]Deljob.exe[[/url]([url=http://members.lycos.nl/deljob]mirror[/url]) Plaats het op je bureaublad. Dubbelklik Deljob.exe. Een logje(logit.txt) zal openen, het bestandje kan je ook terugvinden op je bureaublad. Post de inhoud van logit.txt in je volgende bericht. 3)Download [url=http://www.besttechie.net/tools/mbam-setup.exe][b:791b1bf76f][color=red:791b1bf76f]MalwareBytes' Anti-Malware[/color:791b1bf76f][/b:791b1bf76f][/url] en sla het op je bureaublad op. Dubbelklik op [b:791b1bf76f]mbam-setup.exe[/b:791b1bf76f] om het programma te installeren. Zorg dat er na de installatie een vinkje is geplaatst bij:[list:791b1bf76f][*:791b1bf76f]Update MalwareBytes' Anti-Malware [*:791b1bf76f]Start MalwareBytes' Anti-Malware [/list:u:791b1bf76f]Klik daarna op "[b:791b1bf76f]Voltooien[/b:791b1bf76f]". Indien een update gevonden wordt, zal die gedownload en geïnstalleerd worden.[list:791b1bf76f][*:791b1bf76f]Zodra het programma gestart is, ga dan naar het tabblad "[b:791b1bf76f]Instellingen[/b:791b1bf76f]". [*:791b1bf76f]Vink hier aan: "[b:791b1bf76f]Sluit Internet Explorer tijdens verwijdering van malware[/b:791b1bf76f]". [*:791b1bf76f]Ga daarna naar het tabblad "[b:791b1bf76f]Scanner[/b:791b1bf76f]", kies hier voor "[b:791b1bf76f]Snelle Scan[/b:791b1bf76f]". [*:791b1bf76f]Druk vervolgens op "[b:791b1bf76f]Scannen[/b:791b1bf76f]" om de scan te starten. [*:791b1bf76f]Het scannen kan een tijdje duren, dus wees geduldig. [*:791b1bf76f]Wanneer de scan voltooid is, klik op [b:791b1bf76f]OK[/b:791b1bf76f], daarna "[b:791b1bf76f]Bekijk Resultaten[/b:791b1bf76f]" om de resultaten te zien. [*:791b1bf76f]Zorg ervoor dat daar alles aangevinkt is, daarna klik op: "[b:791b1bf76f]Verwijder geselecteerde[/b:791b1bf76f]". [*:791b1bf76f]Na het verwijderen zal een log openen, indien er gevraagd wordt om je computer te herstarten moet je dit toestaan. Dit is namelijk noodzakelijk om sommige infecties te kunnen verwijderen [/list:u:791b1bf76f]Het log wordt automatisch bewaard door MalwareBytes' Anti-Malware en kan je terugvinden door op de "[b:791b1bf76f]Logs[/b:791b1bf76f]" tab te klikken in het programma. Post dit logje in je volgende reactie. 4)Volg [url=http://www.bleepingcomputer.com/combofix/nl/hoe-dient-combofix-gebruikt-te-worden]deze instructies[/url] om Combofix te downloaden. Is er iets niet duidelijk, dan vraag je het. Voer de instructies op de BleepingComputer pagina uit, [b:791b1bf76f]inclusief het installeren van de XP Recovery Console[/b:791b1bf76f]. Indien je combofix al eerder gebruikt hebt en de recovery console al geïnstalleerd hebt mag je die stap overslaan. [b:791b1bf76f]OPMERKING[/b:791b1bf76f]: Indien je, tijdens of na het downloaden van Combofix of tijdens het gebruik van Combofix een melding krijgt van je Antivirus- of een andere realtime scanner, [b:791b1bf76f]schakel dan deze scanner uit[/b:791b1bf76f] en download Combofix opnieuw. Sommige scanners zien bepaalde componenten die Combofix gebruikt als verdacht en gaan deze blokkeren of verwijderen! Dubbelklik op Combofix.exe, als Combofix aangeeft dat er een nieuwere versie beschikbaar is, dan sta je toe dat deze gedownload wordt. Volg de instructies en aanvaard de disclaimer. Tijdens het runnen van de fix, [b:791b1bf76f]NIET[/b:791b1bf76f] in het venster klikken, want dit zal je pc doen vasthangen. Wanneer de fix voltooid is en na herstart, zal de log [b:791b1bf76f]Combofix.txt[/b:791b1bf76f] openen. Post de inhoud van dit bestandje samen met een nieuwe hijackthislog. 5) Mag ik de logjes van Deljob, MBAM en Combofix van je. Groetjes,
  • -------------------------------------------------------- Backups created in C:\deljob AED5C115956675E9.job -------------------------------------------------------- Files in Windows Tasks folder AppleSoftwareUpdate.job Norton Security Scan.job -------------------------------------------------------- Export App Data folders -------------------------------------------------------- Het volume in station J heeft geen naam. Het volumenummer is C0B4-41E2 Map van J:\Documents and Settings\Joris Vroonland\Application Data 06-09-2008 15:29 <DIR> . 06-09-2008 15:29 <DIR> .. 02-07-2008 19:28 <DIR> Adobe 16-01-2008 17:58 <DIR> AdobeUM 08-07-2008 17:56 <DIR> APPLEC~1 Apple Computer 29-03-2008 13:49 <DIR> Azureus 26-07-2008 15:23 <DIR> dvdcss 29-11-2007 14:55 <DIR> Google 09-11-2007 17:04 <DIR> IDENTI~1 Identities 22-11-2007 16:18 <DIR> Lavasoft 09-01-2008 16:57 <DIR> MACROM~1 Macromedia 12-08-2008 19:25 <DIR> MICROS~1 Microsoft 31-08-2008 18:39 <DIR> Mozilla 09-08-2008 22:24 <DIR> PCTOOL~1 PC Tools 11-05-2008 15:57 <DIR> PROPEL~1 Propellerhead Software 06-09-2008 15:29 <DIR> Samsung 10-08-2008 14:55 <DIR> SecuROM 09-11-2007 16:55 <DIR> Sun 26-07-2008 14:42 <DIR> SYSTEM~1 SystemRequirementsLab 01-12-2007 16:37 <DIR> TEAMSP~1 teamspeak2 16-11-2007 15:36 <DIR> Ventrilo 13-11-2007 12:58 <DIR> vlc 09-08-2008 22:23 <DIR> Webroot 16-11-2007 15:31 <DIR> WinRAR 05-08-2008 02:54 <DIR> Xfire 0 bestand(en) 0 bytes 25 map(pen) 39.017.046.016 bytes beschikbaar Het volume in station J heeft geen naam. Het volumenummer is C0B4-41E2 Map van J:\Documents and Settings\All Users\Application Data 12-09-2008 15:22 <DIR> . 12-09-2008 15:22 <DIR> .. 09-11-2007 19:12 <DIR> Adobe 04-12-2007 23:25 <DIR> Apple 04-12-2007 23:27 <DIR> APPLEC~1 Apple Computer 27-02-2008 13:54 <DIR> Azureus 18-01-2008 19:32 <DIR> DVDSHR~1 DVD Shrink 10-09-2008 21:39 <DIR> Lavasoft 10-09-2008 21:38 <DIR> MICROS~1 Microsoft 18-01-2008 18:20 <DIR> NVIEW_~1 nView_Profiles 12-08-2008 19:21 <DIR> PCDRIV~1 PC Drivers Headquarters 09-08-2008 22:21 <DIR> Prevx 11-05-2008 15:56 <DIR> PROPEL~1 Propellerhead Software 22-11-2007 16:16 <DIR> SALESM~1 SalesMonitor 22-11-2007 16:16 <DIR> SCHIJF~1 schijfbewaker 10-09-2008 16:02 <DIR> SPYBOT~1 Spybot - Search & Destroy 12-09-2008 11:37 <DIR> TEMP 01-07-2008 19:39 <DIR> TRACKM~1 TrackMania 09-08-2008 22:23 <DIR> Webroot 02-03-2008 22:44 <DIR> WLINST~1 WLInstaller 0 bestand(en) 0 bytes 20 map(pen) 39.017.046.016 bytes beschikbaar -------------------------------------------------------- All User Accounts -------------------------------------------------------- All Users Joris Vroonland -------------------------------------------------------- Malwarebytes' Anti-Malware 1.28 Database versie: 1142 Windows 5.1.2600 Service Pack 2 12-9-2008 15:38:17 mbam-log-2008-09-12 (15-38-17).txt Scan type: Snelle Scan Objecten gescand: 49866 Verstreken tijd: 6 minute(s), 34 second(s) Geheugenprocessen geïnfecteerd: 0 Geheugenmodulen geïnfecteerd: 0 Registersleutels geïnfecteerd: 7 Registerwaarden geïnfecteerd: 3 Registerdata bestanden geïnfecteerd: 4 Mappen geïnfecteerd: 3 Bestanden geïnfecteerd: 34 Geheugenprocessen geïnfecteerd: (Geen kwaadaardige items gevonden) Geheugenmodulen geïnfecteerd: (Geen kwaadaardige items gevonden) Registersleutels geïnfecteerd: HKEY_CLASSES_ROOT\CLSID\{773b1aad-a8dd-4010-a903-cdb32938f595} (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{ea3775f2-28be-11d3-9c8d-00105a24ed29} (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\divocodec_is1 (Trojan.Downloader) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\WakeNet (Trojan.Adware) -> Quarantined and deleted successfully. Registerwaarden geïnfecteerd: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysrest32.exe (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphcl2mj0etfc (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\iexplorer (Trojan.Agent) -> Quarantined and deleted successfully. Registerdata bestanden geïnfecteerd: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System (Rootkit.DNSChanger.H) -> Data: kdxhp.exe -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\regfile\shell\open\command\ (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Mappen geïnfecteerd: J:\Documents and Settings\All Users\Application Data\SalesMonitor (Rogue.Multiple) -> Quarantined and deleted successfully. J:\Documents and Settings\All Users\Application Data\SalesMonitor\Data (Rogue.Multiple) -> Quarantined and deleted successfully. J:\Program Files\DivoCodec (Trojan.Downloader) -> Quarantined and deleted successfully. Bestanden geïnfecteerd: J:\WINDOWS\system32\kdxhp.exe (Rootkit.DNSChanger.H) -> Delete on reboot. J:\Program Files\DivoCodec\WakeSplitter.ax (Trojan.Agent) -> Quarantined and deleted successfully. J:\WINDOWS\system32\wpx20.cpx (Spyware.Passwords) -> Quarantined and deleted successfully. J:\Documents and Settings\Joris Vroonland\Local Settings\Temp\rsyncini.exe (Trojan.Shutdowner) -> Quarantined and deleted successfully. J:\Program Files\DivoCodec\minime.exe (Trojan.Downloader) -> Quarantined and deleted successfully. J:\Program Files\DivoCodec\settings.stp (Trojan.Downloader) -> Quarantined and deleted successfully. J:\Program Files\DivoCodec\unins000.dat (Trojan.Downloader) -> Quarantined and deleted successfully. J:\Program Files\DivoCodec\unins000.exe (Trojan.Downloader) -> Quarantined and deleted successfully. J:\Program Files\DivoCodec\WakeService.exe (Trojan.Downloader) -> Quarantined and deleted successfully. J:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> Delete on reboot. J:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> Delete on reboot. J:\WINDOWS\system32\tdssserf.dll (Trojan.Agent) -> Delete on reboot. J:\WINDOWS\system32\tdssmain.dll (Trojan.Agent) -> Delete on reboot. J:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> Delete on reboot. J:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> Delete on reboot. J:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> Delete on reboot. J:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> Delete on reboot. J:\WINDOWS\system32\phcl2mj0etfc.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully. J:\Documents and Settings\Joris Vroonland\Local Settings\Temp\.tt1.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. J:\Documents and Settings\Joris Vroonland\Local Settings\Temp\.tt2.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. J:\Documents and Settings\Joris Vroonland\Local Settings\Temp\.tt3.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. J:\Documents and Settings\Joris Vroonland\Local Settings\Temp\.tt4.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. J:\Documents and Settings\Joris Vroonland\Local Settings\Temp\.tt5.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. J:\Documents and Settings\Joris Vroonland\Local Settings\Temp\.tt6.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. J:\Documents and Settings\Joris Vroonland\Local Settings\Temp\.tt7.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. J:\Documents and Settings\Joris Vroonland\Local Settings\Temp\.tt8.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. J:\Documents and Settings\Joris Vroonland\Local Settings\Temp\.tt9.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. J:\Documents and Settings\Joris Vroonland\Local Settings\Temp\.ttA.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. J:\Documents and Settings\Joris Vroonland\Local Settings\Temp\.ttB.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. J:\Documents and Settings\Joris Vroonland\Local Settings\Temp\.ttC.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. J:\Documents and Settings\Joris Vroonland\Local Settings\Temp\.ttD.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. J:\Documents and Settings\Joris Vroonland\Local Settings\Temp\.ttF.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. J:\Documents and Settings\Joris Vroonland\Local Settings\Temp\bndE.tmp (Trojan.Agent) -> Quarantined and deleted successfully. J:\Documents and Settings\Joris Vroonland\Local Settings\Temp\gosE.tmp (Dialer) -> Quarantined and deleted successfully.
  • De Combofix wilde ik eerst even overleggen want daar was ik niet helemaal zeker van. Dit bericht kwam ik tegen: -Aangezien ComboFix een krachtige tool is wordt het ten sterkste afgeraden om ComboFix te gebruiken zonder toezicht van een ervaren Analyst. Ik weet ook niet echt wat dat XP recovery console inhoud maar ik wil niet straks mijn hele pc restarten en recoveren waarna mijn bestanden verloren gaan. Ik denk niet dat dat zo zal gaan maar ik wilde het eerst even zeker stellen en overleggen voor ik volgende stappen onderneem. Groeten
  • Hoi, Ik ben een ervaren Analyst. Heb via verschillende fora dit geleerd. De recovery console is ervoor bedoeld dat als malware zo veel kapot maakt dat je XP niet meer kunt opstarten, kunnen we via de console je Xp reparen. Je raakt geen instellingen of bestanden kwijt of je moet op eigen houtje zaken doen. Groetjes, Roelof
  • ComboFix 08-09-10.04 - Joris Vroonland 2008-09-12 16:08:56.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1043.18.1141 [GMT 2:00] Gestart vanuit: J:\Documents and Settings\Joris Vroonland\Downloads Map\ComboFix.exe * Nieuw herstelpunt werd aangemaakt [color=red:a2fd5c90f3][b:a2fd5c90f3]WAARSCHUWING - DE RECOVERY CONSOLE IS NIET OP DIT SYSTEEM GEINSTALLEERD !![/b:a2fd5c90f3][/color:a2fd5c90f3] . (((((((((((((((((((((((((((((((((( Andere Verwijderingen ))))))))))))))))))))))))))))))))))))))))))))))))) . J:\Documents and Settings\Joris Vroonland\Cookies\joris_vroonland@ad.yieldmanager[1].txt J:\Documents and Settings\Joris Vroonland\Cookies\joris_vroonland@network.adsmarket[2].txt J:\Documents and Settings\Joris Vroonland\Cookies\joris_vroonland@www.mt50[2].txt J:\Documents and Settings\Joris Vroonland\Local Settings\Application Data\Microsoft\Windows Media\10.0\WMSDKNSD.XML J:\WINDOWS\system32\drivers\c4dbd796.sys J:\WINDOWS\system32\drivers\Ocg26.sys J:\WINDOWS\system32\windows_update.exe J:\WINDOWS\Sysvxd.exe J:\WINDOWS\wiaservb.log . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_OCG26 -------\Legacy_SYSREST.SYS -------\Legacy_TDSSSERV -------\Service_c4dbd796 -------\Service_Ocg26 -------\Service_tdssserv (((((((((((((((((((( Bestanden Gemaakt van 2008-08-12 to 2008-09-12 )))))))))))))))))))))))))))))) . 2008-09-12 15:28 . 2008-09-12 15:28 <DIR> d-------- J:\Program Files\Malwarebytes' Anti-Malware 2008-09-12 15:28 . 2008-09-12 15:28 <DIR> d-------- J:\Documents and Settings\Joris Vroonland\Application Data\Malwarebytes 2008-09-12 15:28 . 2008-09-12 15:28 <DIR> d-------- J:\Documents and Settings\All Users\Application Data\Malwarebytes 2008-09-12 15:28 . 2008-09-10 00:04 38,528 --a------ J:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-09-12 15:28 . 2008-09-10 00:03 17,200 --a------ J:\WINDOWS\system32\drivers\mbam.sys 2008-09-12 14:00 . 2008-09-12 14:00 <DIR> d-------- J:\Program Files\Trend Micro 2008-09-12 01:27 . 2008-09-12 01:27 197 --a------ J:\WINDOWS\system32\MRT.INI 2008-09-10 21:39 . 2008-09-10 21:39 <DIR> d-------- J:\Documents and Settings\All Users\Application Data\Lavasoft 2008-09-07 22:23 . 2008-09-07 22:23 <DIR> d-------- J:\Program Files\MSXML 4.0 2008-09-07 17:53 . 2008-09-12 11:40 <DIR> d-------- J:\WINDOWS\system32\CatRoot_bak 2008-09-06 15:30 . 2008-09-06 15:30 <DIR> d-------- J:\ConvertTemp 2008-09-06 15:29 . 2008-09-06 15:29 <DIR> d-------- J:\Documents and Settings\Joris Vroonland\Application Data\Samsung 2008-09-06 15:25 . 2008-09-06 15:25 <DIR> d-------- J:\Program Files\DIFX 2008-09-06 15:25 . 2006-05-03 22:53 174,592 --a------ J:\WINDOWS\system32\framedyn.dll 2008-09-06 15:24 . 2006-07-24 16:05 5,632 --a------ J:\WINDOWS\system32\drivers\StarOpen.sys 2008-09-06 15:23 . 2008-09-06 15:24 <DIR> d-------- J:\WINDOWS\system32\Samsung_USB_Drivers 2008-09-06 15:23 . 2008-09-06 15:23 <DIR> d-------- J:\Program Files\Samsung 2008-09-06 15:23 . 2008-02-22 15:33 114,304 --a------ J:\WINDOWS\system32\drivers\sscdmdm.sys 2008-09-06 15:23 . 2008-02-22 15:33 87,936 --a------ J:\WINDOWS\system32\drivers\sscdbus.sys 2008-09-06 15:23 . 2008-02-22 15:33 14,976 --a------ J:\WINDOWS\system32\drivers\sscdmdfl.sys 2008-09-06 15:23 . 2008-02-22 15:33 12,160 --a------ J:\WINDOWS\system32\drivers\sscdwhnt.sys 2008-09-06 15:23 . 2008-02-22 15:33 12,160 --a------ J:\WINDOWS\system32\drivers\sscdwh.sys 2008-09-06 15:23 . 2008-02-22 15:33 12,160 --a------ J:\WINDOWS\system32\drivers\sscdcmnt.sys 2008-09-06 15:23 . 2008-02-22 15:33 12,160 --a------ J:\WINDOWS\system32\drivers\sscdcm.sys 2008-09-06 15:23 . 2005-08-28 20:51 766 --a------ J:\WINDOWS\system32\Uninstall.ico 2008-09-01 12:33 . 2008-09-01 12:33 <DIR> dr------- J:\Documents and Settings\NetworkService\Favorieten 2008-09-01 12:30 . 2008-09-01 12:30 <DIR> d-------- J:\Program Files\SpywareBlaster 2008-09-01 12:30 . 2005-08-25 18:18 118,784 --a------ J:\WINDOWS\system32\MSSTDFMT.DLL 2008-09-01 12:30 . 2005-08-25 18:19 115,920 --a------ J:\WINDOWS\system32\MSINET.OCX 2008-09-01 12:29 . 2008-09-01 13:41 <DIR> d-------- J:\Program Files\ESET 2008-09-01 12:29 . 2008-09-01 12:29 512,096 --a------ J:\WINDOWS\system32\drivers\amon.sys 2008-09-01 12:29 . 2008-09-01 12:29 298,104 --a------ J:\WINDOWS\system32\imon.dll 2008-09-01 12:29 . 2008-09-01 12:29 15,424 --a------ J:\WINDOWS\system32\drivers\nod32drv.sys 2008-09-01 12:27 . 2008-09-01 12:27 <DIR> d-------- J:\Program Files\TeaTimer (Spybot - Search & Destroy) 2008-08-12 19:21 . 2008-08-12 19:21 <DIR> d-------- J:\Documents and Settings\All Users\Application Data\PC Drivers Headquarters 2008-08-12 19:19 . 2008-08-12 19:19 <DIR> d-------- J:\Program Files\PC Drivers HeadQuarters 2008-08-12 19:03 . 2008-08-12 19:03 23,600 --a------ J:\WINDOWS\system32\drivers\TVICHW32.SYS . ((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-09-12 14:13 --------- d---a-w J:\Documents and Settings\All Users\Application Data\TEMP 2008-09-12 14:13 --------- d-----w J:\Program Files\Hitman Pro 2008-09-10 19:39 --------- d-----w J:\Program Files\Lavasoft 2008-09-10 19:38 --------- d-----w J:\Program Files\Common Files\Wise Installation Wizard 2008-09-10 19:38 --------- d-----w J:\Documents and Settings\Joris Vroonland\Application Data\Lavasoft 2008-09-10 16:00 --------- d-----w J:\Program Files\Norton Security Scan 2008-09-10 14:02 --------- d-----w J:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2008-09-07 10:25 --------- d-----w J:\Program Files\Common Files\Symantec Shared 2008-09-06 14:37 --------- d-----w J:\Program Files\LimeWire 2008-09-06 13:24 --------- d--h--w J:\Program Files\InstallShield Installation Information 2008-09-01 10:33 --------- d-----w J:\Program Files\Spyware Doctor 2008-08-25 09:36 81,288 ----a-w J:\WINDOWS\system32\drivers\iksyssec.sys 2008-08-25 09:36 66,952 ----a-w J:\WINDOWS\system32\drivers\iksysflt.sys 2008-08-25 09:36 40,840 ----a-w J:\WINDOWS\system32\drivers\ikfilesec.sys 2008-08-10 12:55 --------- d--h--r J:\Documents and Settings\Joris Vroonland\Application Data\SecuROM 2008-08-10 10:32 --------- d-----w J:\Program Files\Java 2008-08-10 10:20 90,112 ----a-w J:\WINDOWS\DUMP4b70.tmp 2008-08-09 20:24 --------- d-----w J:\Documents and Settings\LocalService\Application Data\Webroot 2008-08-09 20:24 --------- d-----w J:\Documents and Settings\Joris Vroonland\Application Data\PC Tools 2008-08-09 20:23 --------- d-----w J:\Program Files\Webroot 2008-08-09 20:23 --------- d-----w J:\Program Files\Spybot - Search & Destroy 2008-08-09 20:23 --------- d-----w J:\Documents and Settings\Joris Vroonland\Application Data\Webroot 2008-08-09 20:23 --------- d-----w J:\Documents and Settings\All Users\Application Data\Webroot 2008-08-09 20:21 --------- d-----w J:\Documents and Settings\All Users\Application Data\Prevx 2008-08-09 10:39 --------- d-----w J:\Program Files\ATC for COH 2008-08-05 00:54 --------- d-----w J:\Documents and Settings\Joris Vroonland\Application Data\Xfire 2008-08-04 15:14 --------- d-s---w J:\Program Files\Xfire 2008-08-02 12:22 --------- d-----w J:\Program Files\THQ 2008-08-01 13:43 --------- d-----w J:\Program Files\ATC 2008-07-27 12:40 136,888 ----a-w J:\WINDOWS\system32\drivers\PnkBstrK.sys 2008-07-26 13:23 --------- d-----w J:\Documents and Settings\Joris Vroonland\Application Data\dvdcss 2008-07-26 12:42 --------- d-----w J:\Program Files\SystemRequirementsLab 2008-07-26 12:42 --------- d-----w J:\Documents and Settings\Joris Vroonland\Application Data\SystemRequirementsLab 2008-07-20 12:14 --------- d-----w J:\Program Files\EA GAMES 2007-11-09 16:52 22,328 ----a-w J:\Documents and Settings\Joris Vroonland\Application Data\PnkBstrK.sys . ------- Sigcheck ------- 2008-04-14 19:03 14336 e410ec73e2be2a41d923b006f51c8427 J:\WINDOWS\SoftwareDistribution\Download\822ceb2331d0360bde8948c432c9beec\svchost.exe md5deep: J:\WINDOWS\system32\svchost.exe: error at offset 0: Permission denied 2008-04-14 19:03 510464 1247d4d5444e28519bbe31be8ab4c029 J:\WINDOWS\SoftwareDistribution\Download\822ceb2331d0360bde8948c432c9beec\winlogon.exe md5deep: J:\WINDOWS\system32\winlogon.exe: error at offset 0: Permission denied md5deep: J:\WINDOWS\explorer.exe: error at offset 0: Permission denied 2007-06-13 15:12 1036800 1d6245afbd3faabc16a885116be1874d J:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe 2004-08-04 14:00 1035776 a1d7304a87fc3093150f5e3cc7b0f338 J:\WINDOWS\$NtUninstallKB938828$\explorer.exe 2008-04-14 19:02 1037312 aa04f042a820bf1868e643575887e1a6 J:\WINDOWS\SoftwareDistribution\Download\822ceb2331d0360bde8948c432c9beec\explorer.exe 2008-04-14 19:03 109056 b77bc5cd88eb96d4352af5202ec4aec2 J:\WINDOWS\SoftwareDistribution\Download\822ceb2331d0360bde8948c432c9beec\services.exe md5deep: J:\WINDOWS\system32\services.exe: error at offset 0: Permission denied 2008-04-14 19:03 13312 8754210a3399d19610ce2d71e0c3e5d9 J:\WINDOWS\SoftwareDistribution\Download\822ceb2331d0360bde8948c432c9beec\lsass.exe md5deep: J:\WINDOWS\system32\lsass.exe: error at offset 0: Permission denied 2005-06-11 02:17 57856 ad3d9d191aea7b5445fe1d82ffbb4788 J:\WINDOWS\$hf_mig$\KB896423\SP2QFE\spoolsv.exe 2004-08-04 14:00 57856 cccb8b94b17466efb9dc27f42625b0e5 J:\WINDOWS\$NtUninstallKB896423$\spoolsv.exe 2008-04-14 19:03 57856 db454135de1a09fe7feda7b554b5cca2 J:\WINDOWS\SoftwareDistribution\Download\822ceb2331d0360bde8948c432c9beec\spoolsv.exe md5deep: J:\WINDOWS\system32\spoolsv.exe: error at offset 0: Permission denied . ((((((((((((((((((((((((((((((((((((( Reg Opstartpunten ))))))))))))))))))))))))))))))))))))))))))))))))))) . . *Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SunJavaUpdateSched"="J:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784] "NvCplDaemon"="J:\WINDOWS\system32\NvCpl.dll" [2008-05-16 13529088] "NeroFilterCheck"="J:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648] "QuickTime Task"="J:\Program Files\QuickTime\QTTask.exe" [2008-02-01 385024] "iTunesHelper"="J:\Program Files\iTunes\iTunesHelper.exe" [2008-02-19 267048] "ISTray"="J:\Program Files\Spyware Doctor\pctsTray.exe" [2008-08-25 1168264] "NvMediaCenter"="J:\WINDOWS\system32\NvMcTray.dll" [2008-05-16 86016] "Hitman Pro Expiration Helper"="J:\Program Files\Hitman Pro\xphelper.exe" [2007-01-30 596760] "nwiz"="nwiz.exe" [2008-05-16 J:\WINDOWS\system32\nwiz.exe] "SoundMan"="SOUNDMAN.EXE" [2004-08-30 J:\WINDOWS\SOUNDMAN.EXE] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="J:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360] J:\Documents and Settings\All Users\Menu Start\Programma's\Opstarten\ Adobe Reader Speed Launch.lnk - J:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696] Sitecom Wireless Utility.lnk - J:\Program Files\Sitecom\Sitecom WL-151 Wireless LAN Card\Installer\WLANUTL.exe [2008-01-16 913408] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "wGzjrQPm"= {98FEEA1C-3254-40B6-A758-42F8961577E0} - J:\WINDOWS\System32\glr.dll [2007-04-16 32768] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.XFR1"= xfcodec.dll [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "J:\\Program Files\\Xfire\\Xfire.exe"= "C:\\Program Files\\BitLord\\BitLord.exe"= "J:\\WINDOWS\\system32\\PnkBstrA.exe"= "J:\\WINDOWS\\system32\\PnkBstrB.exe"= "J:\\Documents and Settings\\Joris Vroonland\\Bureaublad\\msnmsgr.exe"= "C:\\Program Files\\mIRC\\mirc.exe"= "J:\\Program Files\\The All-Seeing Eye\\eye.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "J:\\Program Files\\LimeWire\\LimeWire.exe"= "J:\\Program Files\\MotoGP 2007\\motogp.exe"= "J:\\Program Files\\KONAMI\\Pro Evolution Soccer 2008\\PES2008.exe"= "J:\\Program Files\\Azureus\\Azureus.exe"= "J:\\Program Files\\Bonjour\\mDNSResponder.exe"= "J:\\Program Files\\iTunes\\iTunes.exe"= "J:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"= "J:\\Program Files\\Windows Live\\Messenger\\livecall.exe"= "J:\\Documents and Settings\\Joris Vroonland\\Bureaublad\\PES2008.exe"= "J:\\Program Files\\TmNationsForever\\TmForever.exe"= "J:\\Program Files\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"= "J:\\Program Files\\THQ\\Company of Heroes\\RelicCOH.exe"= "J:\\WINDOWS\\system32\\regsvr32.exe"= "J:\\Documents and Settings\\Joris Vroonland\\Bureaublad\\hitmanpro2.exe"= S3 EraserUtilDrv10741;EraserUtilDrv10741;J:\Program Files\Common Files\Symantec Shared\EENGINE\EraserUtilDrv10741.sys [ ] S3 PciCon;PciCon;I:\PciCon.sys [ ] . Inhoud van de 'Gedeelde Taken' map . - - - - ORPHANS REMOVED - - - - ShellIconOverlayIdentifiers-{EA3775F2-28BE-11D3-9C8D-00105A24ED29} - (no file) HKLM-Run-J:\WINDOWS\system32\kdxhp.exe - J:\WINDOWS\system32\kdxhp.exe . ------- Supplementary Scan ------- . FireFox -: Profile - J:\Documents and Settings\Joris Vroonland\Application Data\Mozilla\Firefox\Profiles\mditso2o.default\ FireFox -: prefs.js - STARTUP.HOMEPAGE - www.filmtotaal.nl FF -: plugin - C:\Program Files\Mozilla Firefox\plugins\np32dsw.dll FF -: plugin - C:\Program Files\Mozilla Firefox\plugins\npbittorrent.dll FF -: plugin - C:\Program Files\Mozilla Firefox\plugins\npdivx32.dll FF -: plugin - C:\Program Files\Mozilla Firefox\plugins\npnul32.dll FF -: plugin - C:\Program Files\Mozilla Firefox\plugins\npqtplugin.dll FF -: plugin - C:\Program Files\Mozilla Firefox\plugins\npqtplugin2.dll FF -: plugin - C:\Program Files\Mozilla Firefox\plugins\npqtplugin3.dll FF -: plugin - C:\Program Files\Mozilla Firefox\plugins\npqtplugin4.dll FF -: plugin - C:\Program Files\Mozilla Firefox\plugins\npqtplugin5.dll FF -: plugin - C:\Program Files\Mozilla Firefox\plugins\npqtplugin6.dll FF -: plugin - C:\Program Files\Mozilla Firefox\plugins\npqtplugin7.dll FF -: plugin - J:\Program Files\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll FF -: plugin - J:\Program Files\DivX\DivX Content Uploader\npUpload.dll FF -: plugin - J:\Program Files\iTunes\Mozilla Plugins\npitunes.dll . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-09-12 16:13:56 Windows 5.1.2600 Service Pack 2 NTFS scannen van verborgen processen ... scannen van verborgen autostart items ... scannen van verborgen bestanden ... Scan succesvol afgerond verborgen bestanden: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . J:\Program Files\Lavasoft\Ad-Aware\aawservice.exe J:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe J:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe J:\Program Files\Belkin\Belkin Wireless Network Utility\WLanCfgG.exe J:\Program Files\Bonjour\mDNSResponder.exe J:\Program Files\ESET\nod32krn.exe J:\WINDOWS\system32\nvsvc32.exe J:\WINDOWS\system32\PnkBstrA.exe J:\WINDOWS\system32\wdfmgr.exe J:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe J:\WINDOWS\system32\wscntfy.exe J:\WINDOWS\system32\rundll32.exe J:\Program Files\iPod\bin\iPodService.exe . ************************************************************************** . Voltooingstijd: 2008-09-12 16:16:50 - machine was rebooted ComboFix-quarantined-files.txt 2008-09-12 14:16:47 Pre-Run: 38,890,659,840 bytes beschikbaar Post-Run: 47,530,233,856 bytes beschikbaar 232 --- E O F --- 2008-09-12 09:40:43 Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:18:57, on 12-9-2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: J:\WINDOWS\System32\smss.exe J:\WINDOWS\system32\winlogon.exe J:\WINDOWS\system32\services.exe J:\WINDOWS\system32\lsass.exe J:\WINDOWS\system32\svchost.exe J:\WINDOWS\System32\svchost.exe J:\Program Files\Lavasoft\Ad-Aware\aawservice.exe J:\WINDOWS\system32\spoolsv.exe J:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe J:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe J:\Program Files\Belkin\Belkin Wireless Network Utility\WLanCfgG.exe J:\Program Files\Bonjour\mDNSResponder.exe J:\Program Files\Eset\nod32krn.exe J:\WINDOWS\system32\nvsvc32.exe J:\WINDOWS\system32\PnkBstrA.exe J:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe J:\WINDOWS\system32\wscntfy.exe J:\Program Files\Java\jre1.6.0_07\bin\jusched.exe J:\WINDOWS\SOUNDMAN.EXE J:\Program Files\iTunes\iTunesHelper.exe J:\Program Files\Spyware Doctor\pctsTray.exe J:\WINDOWS\system32\RUNDLL32.EXE J:\Program Files\iPod\bin\iPodService.exe J:\WINDOWS\system32\wuauclt.exe J:\WINDOWS\explorer.exe J:\WINDOWS\system32\notepad.exe C:\Program Files\Mozilla Firefox\firefox.exe J:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - J:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - J:\Program Files\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - J:\Program Files\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Aanmelden - Help - {9030D464-4C02-4ABF-8ECC-5164760863C6} - J:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] "J:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE J:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroFilterCheck] J:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "J:\Program Files\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "J:\Program Files\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [ISTray] "J:\Program Files\Spyware Doctor\pctsTray.exe" O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE J:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Hitman Pro Expiration Helper] "J:\Program Files\Hitman Pro\xphelper.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] J:\WINDOWS\system32\CTFMON.EXE (User 'Lokale service') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] J:\WINDOWS\system32\CTFMON.EXE (User 'Netwerkservice') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] J:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] J:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader Speed Launch.lnk = J:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Sitecom Wireless Utility.lnk = J:\Program Files\Sitecom\Sitecom WL-151 Wireless LAN Card\Installer\WLANUTL.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - J:\Program Files\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - J:\Program Files\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - J:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - J:\Program Files\Messenger\msmsgs.exe O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O21 - SSODL: wGzjrQPm - {98FEEA1C-3254-40B6-A758-42F8961577E0} - J:\WINDOWS\System32\glr.dll O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - J:\Program Files\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Apple Mobile Device - Apple, Inc. - J:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Belkin Wireless USB Network Adapter (Belkin Wireless USB Network Adapter Service) - Unknown owner - J:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe O23 - Service: Bonjour-service (Bonjour Service) - Apple Inc. - J:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: iPod-service (iPod Service) - Apple Inc. - J:\Program Files\iPod\bin\iPodService.exe O23 - Service: NOD32 Kernel Service (nod32krn) - Eset - J:\Program Files\Eset\nod32krn.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - J:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - J:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - J:\Program Files\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - J:\Program Files\Spyware Doctor\pctsSvc.exe O23 - Service: Webroot Spy Sweeper Engine (WebrootSpySweeperService) - Webroot Software, Inc. - J:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe -- End of file - 6465 bytes
  • De recovery console sloeg die totaal over.. Hij begon vrijwel direct met de scan en het leek mij niet verstandig om die af te sluiten. Ik heb ook mijn HijackThis log erbij gezet(nieuwe) en ik merk nu al dat mijn computer veel sneller is. Mijn internetsnelheid is in ieder geval weer de oude. Als er nog iets is wat ik moet weten hoor ik het graag. Je hebt me in ieder geval heel erg geholpen al. Hartelijk dank daarvoor. Groeten
  • Hoi, Scan het volgende bestand bij Jotti: http://virusscan.jotti.org/ J:\WINDOWS\System32\glr.dll Post het resultaat aub Groetjes, Roelof
  • hij deed een beetje raar en ik weet ook niet of dit het goede is maarja: Scanner Malware name A-Squared X AntiVir X ArcaVir X Avast Win32:KeyLogger-RG AVG Antivirus X BitDefender X ClamAV X CPsecure X Dr.Web X F-Prot Antivirus X F-Secure Anti-Virus X Ikarus Virus.Win32.KeyLogger.RG Kaspersky Anti-Virus X NOD32 X Norman Virus Control X Panda Antivirus X Sophos Antivirus X VirusBuster X VBA32 X
  • oke, Voor de zekerheid gaan we eens een andere scanner gebruiken. Ga eens naar [url]http://www.virustotal.com[/url] Plak daar in de balk naast bladeren het volgende: [b:5f1516baa2] J:\WINDOWS\System32\glr.dll [/b:5f1516baa2] Druk daarna op "Bestand verzenden" en wacht de resultaten af. Bewaar deze resultaten Kun je me deze resultaten in het volgende antwoord zetten. Roelof

Beantwoord deze vraag

Weet jij het antwoord op deze vraag? Registreer of meld je aan met je account

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.