Deze website maakt gebruik van cookies. Waarom? Klik hier voor ons privacy- en cookiebeleid. Door op akkoord te klikken of door gebruik te blijven maken van deze website geeft u aan akkoord te zijn met het gebruik van cookies.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

troyan op computer van helena

None
30 antwoorden
  • merkte een troyan op de computer van mijn vrouw

    heb reeds mbam en combofix gedraaid en hierbij de logs

    Malwarebytes' Anti-Malware 1.44
    Database versie: 3510
    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    23-2-2010 12:45:36
    mbam-log-2010-02-23 (12-45-36).txt

    Scan type: Snelle Scan
    Objecten gescand: 112447
    Verstreken tijd: 11 minute(s), 9 second(s)

    Geheugenprocessen geïnfecteerd: 0
    Geheugenmodulen geïnfecteerd: 0
    Registersleutels geïnfecteerd: 1
    Registerwaarden geïnfecteerd: 0
    Registerdata bestanden geïnfecteerd: 0
    Mappen geïnfecteerd: 0
    Bestanden geïnfecteerd: 2

    Geheugenprocessen geïnfecteerd:
    (Geen kwaadaardige items gevonden)

    Geheugenmodulen geïnfecteerd:
    (Geen kwaadaardige items gevonden)

    Registersleutels geïnfecteerd:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{abd42510-9b22-41cd-9dcd-8182a2d07c63} (Trojan.FakeAlert) -> Quarantined and deleted successfully.

    Registerwaarden geïnfecteerd:
    (Geen kwaadaardige items gevonden)

    Registerdata bestanden geïnfecteerd:
    (Geen kwaadaardige items gevonden)

    Mappen geïnfecteerd:
    (Geen kwaadaardige items gevonden)

    Bestanden geïnfecteerd:
    C:\Documents and Settings\PETRONELLA\Local Settings\temp\c.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
    C:\Documents and Settings\PETRONELLA\Local Settings\temp\d.exe (Trojan.Dropper) -> Quarantined and deleted successfully.

    [img:486745cffb]http://www.debraal.nl/mbam.gif[/img:486745cffb]

    plaatje is van de gevonde troyan

    volgende is van combofix
  • ComboFix 10-02-22.07 - PETRONELLA 23-02-2010 15:33:57.3.1 - x86
    Microsoft Windows XP Home Edition 5.1.2600.3.1252.31.1043.18.503.273 [GMT 1:00]
    Gestart vanuit: E:\ComboFix.exe
    .

    (((((((((((((((((((((((((((((((((( Andere Verwijderingen )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
    c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
    c:\windows\system32\0035.DLL
    c:\windows\system32\wexe.exe
    c:\windows\system32\WORK.DAT
    c:\windows\system32\wupd.dat

    —– BITS: Mogelijk geïnfecteerde sites —–

    hxxp://vbj3.net
    Besmet exemplaar van c:\windows\system32\userinit.exe werd aangetroffen en gedesinfecteerd
    Hersteld exemplaar van - c:\windows\system32\dllcache\userinit.exe

    c:\windows\system32\proquota.exe was verdwenen
    Hersteld exemplaar van - c:\windows\ServicePackFiles\i386\proquota.exe

    .
    ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    ——-\Legacy_BNSERV4
    ——-\Service_bnserv4


    (((((((((((((((((((( Bestanden Gemaakt van 2010-01-23 to 2010-02-23 ))))))))))))))))))))))))))))))
    .

    2010-02-23 14:40 . 2008-04-14 17:03 50688 —-a-w- c:\windows\system32\proquota.exe
    2010-02-23 14:31 . 2010-02-23 14:31 399872 —-a-w- c:\windows\system32\CF23412.exe
    2010-02-23 11:29 . 2010-02-23 11:29 5115823 —-a-w- c:\documents and settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
    2010-02-23 11:26 . 2010-01-07 15:07 19160 —-a-w- c:\windows\system32\drivers\mbam.sys
    2010-02-23 11:26 . 2010-01-07 15:07 38224 —-a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2010-02-23 11:26 . 2010-02-23 11:29 ——– d—–w- c:\program files\Malwarebytes' Anti-Malware
    2010-02-16 21:24 . 2010-02-16 21:24 ——– d—–w- c:\documents and settings\PETRONELLA\Local Settings\Application Data\STARGAZE_IMAGE_CACHE
    2010-02-16 21:24 . 2010-02-16 21:24 ——– d—–w- c:\documents and settings\All Users\Application Data\Alawar Stargaze
    2010-02-16 18:26 . 2010-02-16 18:26 ——– d—–w- c:\documents and settings\PETRONELLA\Application Data\Merscom
    2010-02-16 18:26 . 2010-02-16 18:26 ——– d—–w- c:\documents and settings\All Users\Application Data\Merscom
    2010-02-08 20:45 . 2010-02-08 21:26 ——– d—–w- c:\windows\system32\lcl
    2010-01-28 21:27 . 2010-01-28 21:27 ——– d—–w- c:\documents and settings\PETRONELLA\Application Data\My Games
    2010-01-26 20:37 . 2010-01-26 20:37 ——– d—–w- c:\documents and settings\PETRONELLA\Application Data\GamesCafe
    2010-01-24 15:56 . 2010-01-24 15:56 ——– d—–w- c:\documents and settings\PETRONELLA\Application Data\Argonyt

    .
    ((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-02-16 21:23 . 2008-07-08 09:01 ——– d—–w- c:\documents and settings\PETRONELLA\Application Data\Zylom
    2010-02-16 21:23 . 2008-07-08 09:01 ——– d—–w- c:\program files\Zylom Games
    2010-01-23 10:35 . 2010-01-23 10:35 ——– d—–w- c:\documents and settings\All Users\Application Data\GameHouse
    2010-01-20 06:03 . 2009-07-18 14:14 ——– d—–w- c:\program files\Microsoft Silverlight
    2010-01-06 21:29 . 2010-01-06 21:29 ——– d—–w- c:\documents and settings\All Users\Application Data\NeptunesAdve
    2010-01-06 12:45 . 2010-01-06 12:44 ——– d—–w- c:\documents and settings\PETRONELLA\Application Data\Zylom 3 Days Zoo Mystery
    2009-12-31 16:50 . 2004-08-04 12:00 353792 —-a-w- c:\windows\system32\drivers\srv.sys
    2009-12-29 18:06 . 2009-12-29 18:06 ——– d—–w- c:\documents and settings\PETRONELLA\Application Data\GameHousev1002
    2009-12-22 18:30 . 2009-11-23 15:01 26 —-a-w- c:\windows\popcinfo.dat
    2009-12-21 19:10 . 2004-08-04 12:00 916480 —-a-w- c:\windows\system32\wininet.dll
    2009-12-17 07:42 . 2008-02-11 09:07 345600 —-a-w- c:\windows\system32\mspaint.exe
    2009-12-14 07:10 . 2004-08-04 12:00 33280 —-a-w- c:\windows\system32\csrsrv.dll
    2009-12-09 10:11 . 2004-08-04 12:00 2193536 —-a-w- c:\windows\system32
    toskrnl.exe
    2009-12-09 10:11 . 2004-08-04 00:58 2070400 —-a-w- c:\windows\system32
    tkrnlpa.exe
    2009-12-09 05:40 . 2004-08-04 12:00 86256 —-a-w- c:\windows\system32\perfc013.dat
    2009-12-09 05:40 . 2004-08-04 12:00 499226 —-a-w- c:\windows\system32\perfh013.dat
    2009-12-04 18:22 . 2004-08-04 12:00 455424 —-a-w- c:\windows\system32\drivers\mrxsmb.sys
    2009-11-28 15:05 . 2008-07-06 08:04 30432 —-a-w- c:\documents and settings\PETRONELLA\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
    2009-11-27 17:14 . 2004-08-04 12:00 1295872 —-a-w- c:\windows\system32\quartz.dll
    2009-11-27 17:14 . 2004-08-04 01:03 17920 —-a-w- c:\windows\system32\msyuv.dll
    2009-11-27 16:10 . 2004-08-04 12:00 85504 —-a-w- c:\windows\system32\avifil32.dll
    2009-11-27 16:10 . 2004-08-04 12:00 28672 —-a-w- c:\windows\system32\msvidc32.dll
    2009-11-27 16:10 . 2004-08-04 12:00 11264 —-a-w- c:\windows\system32\msrle32.dll
    2009-11-27 16:10 . 2004-08-04 01:03 48128 —-a-w- c:\windows\system32\iyuv_32.dll
    2009-11-27 16:10 . 2001-09-06 21:27 8704 —-a-w- c:\windows\system32\tsbyuv.dll
    2008-07-06 16:28 . 2008-07-06 16:28 848 –sha-w- c:\windows\system32\KGyGaAvL.sys
    .

    ((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2008-01-22 152872]
    "MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2009-07-26 3883856]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Adobe Photo Downloader"="c:\program files\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-09 63712]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
    "Smapp"="c:\program files\Analog Devices\SoundMAX\SMTray.exe" [2003-05-05 143360]
    "DrvLsnr"="c:\program files\Analog Devices\SoundMAX\DrvLsnr.exe" [2003-05-08 69632]
    "EPSON Stylus D88 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE" [2005-01-27 98304]
    "QuickFinder Scheduler"="c:\program files\WordPerfect Office X3\Programs\QFSCHD130.EXE" [2005-11-30 77892]
    "ISUSPM Startup"="c:\program files\Common Files\InstallShield\UpdateService\isuspm.exe" [2005-08-11 249856]
    "ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2005-08-11 81920]
    "igfxtray"="c:\windows\system32\igfxtray.exe" [2005-09-20 94208]
    "igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-09-20 77824]
    "igfxpers"="c:\windows\system32\igfxpers.exe" [2005-09-20 114688]
    "NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2008-05-28 570664]
    "ClamWin"="c:\program files\ClamWin\bin\ClamTray.exe" [2009-04-14 86016]
    "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

    c:\documents and settings\All Users\Menu Start\Programma's\Opstarten\
    Exif Launcher.lnk - c:\program files\FinePixViewer\QuickDCF.exe [2002-1-9 200704]

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "AntiVirusOverride"=dword:00000001
    "FirewallOverride"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\Messenger\\msmsgs.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

    .
    .
    ——- Bijkomende Scan ——-
    .
    uStart Page = about:blank
    uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
    IE: Open with WordPerfect - c:\program files\WordPerfect Office X3\Programs\WPLauncher.hta
    TCP: {A1E49CF8-E624-4C4E-AB72-A8D822D20A8B} = 192.168.2.1
    DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game13.zylom.com/activex/zylomgamesplayer.cab
    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-02-23 15:43
    Windows 5.1.2600 Service Pack 3 NTFS

    scannen van verborgen processen …

    scannen van verborgen autostart items …

    scannen van verborgen bestanden …

    Scan succesvol afgerond
    verborgen bestanden: 0

    **************************************************************************
    .
    ——————— DLLs Geladen Onder Lopende Processen ———————

    - - - - - - - > 'explorer.exe'(3236)
    c:\program files\Common Files\Ahead\Lib\NeroSearchBar.dll
    c:\program files\Common Files\Ahead\Lib\MFC71U.DLL
    c:\program files\Common Files\Ahead\Lib\BCGCBPRO860un71.dll
    c:\windows\system32\webcheck.dll
    c:\windows\system32\WPDShServiceObj.dll
    c:\windows\system32\PortableDeviceTypes.dll
    c:\windows\system32\PortableDeviceApi.dll
    .
    ———————— Andere Aktieve Processen ————————
    .
    c:\program files\Java\jre6\bin\jqs.exe
    c:\program files\Common Files\LightScribe\LSSrvc.exe
    c:\windows\system32\IoctlSvc.exe
    c:\program files\Analog Devices\SoundMAX\SMAgent.exe
    c:\program files\Canon\CAL\CALMAIN.exe
    c:\program files\Common Files\Ahead\Lib\NMIndexingService.exe
    c:\program files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
    .
    **************************************************************************
    .
    Voltooingstijd: 2010-02-23 15:49:37 - machine werd herstart
    ComboFix-quarantined-files.txt 2010-02-23 14:49
    ComboFix2.txt 2009-03-29 10:54
    ComboFix3.txt 2009-03-29 09:42

    Pre-Run: 18.756.718.592 bytes beschikbaar
    Post-Run: 22.292.193.280 bytes beschikbaar

    - - End Of File - - D59689FF19A5B6B4CA578A4932667002


    volgende is de hjt log
  • Logfile of Trend Micro HijackThis v2.0.3 (BETA)
    Scan saved at 15:53:33, on 23-2-2010
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v8.00 (8.00.6001.18702)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Java\jre6\bin\jqs.exe
    C:\Program Files\Common Files\LightScribe\LSSrvc.exe
    C:\WINDOWS\system32\IoctlSvc.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Canon\CAL\CALMAIN.exe
    C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
    C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe
    C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE
    C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
    C:\WINDOWS\system32\igfxtray.exe
    C:\WINDOWS\system32\hkcmd.exe
    C:\WINDOWS\system32\igfxpers.exe
    C:\Program Files\ClamWin\bin\ClamTray.exe
    C:\Program Files\Java\jre6\bin\jusched.exe
    C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
    C:\Program Files\FinePixViewer\QuickDCF.exe
    C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
    C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
    C:\WINDOWS\explorer.exe
    C:\WINDOWS\system32\msiexec.exe
    C:\Program Files\TrendMicro\HiJackThis\HiJackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
    O2 - BHO: Windows Live Aanmelden - Help - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
    O4 - HKLM\..\Run: [DrvLsnr] C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe
    O4 - HKLM\..\Run: [EPSON Stylus D88 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE /P23 "EPSON Stylus D88 Series" /O6 "USB001" /M "Stylus D88"
    O4 - HKLM\..\Run: [QuickFinder Scheduler] "C:\Program Files\WordPerfect Office X3\Programs\QFSCHD130.EXE"
    O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\isuspm.exe" -startup
    O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
    O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
    O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
    O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
    O4 - HKLM\..\Run: [ClamWin] "C:\Program Files\ClamWin\bin\ClamTray.exe" –logon
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
    O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Exif Launcher.lnk = C:\Program Files\FinePixViewer\QuickDCF.exe
    O8 - Extra context menu item: Open with WordPerfect - C:\Program Files\WordPerfect Office X3\Programs\WPLauncher.hta
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game13.zylom.com/activex/zylomgamesplayer.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{A1E49CF8-E624-4C4E-AB72-A8D822D20A8B}: NameServer = 192.168.2.1
    O22 - SharedTaskScheduler: Preloader van browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
    O22 - SharedTaskScheduler: Cache-daemon voor onderdeelcategorieën - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
    O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
    O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
    O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
    O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe


    End of file - 6728 bytes


    hopelijk komt er wat uit

    gr arie
  • Hallo Sjouwer, je bent een echte doe hetzelver dus!
    Het gebruik uit eigener beweging van Combofix wordt ten zeerste afgeraden!

    Combofix wordt via veel sites aangeboden, er zijn er echter maar twee waar de aktuele versie gedownload kan worden.
    Het gebruik van Combofix, gedownload via een niet officële link houdt in, dat het het daaropvolgende gebruik van Combofix niet zonder gevaar is! Temeer, zodra er problemen zijn met Combofix, het tool tijdelijk niet te verkrijgen is via de officiële links.



    1) download [b:7827c22025]TFC[/b:7827c22025] (klick) naar je bureaublad.


    • Klik/dubbelklik op [b:7827c22025]TFC.exe[/b:7827c22025] om het programma te starten.
    • Niet schrikken - het tool sluit alle lopende programma's - ergo: verzeker je dus ervan, dat je werk al is opgeslagen!
    • Vervolgens klik je op de knop [b:7827c22025]Start[/b:7827c22025] om de scan te starten. Deze scan kan kort of langer duren, wees geduldig en laat TFC zijn taak doen en wacht to TFC klaaar is.
    • Indien TFC klaar is, dan komt de melding dat de computer opnieu opgestart wordt.
    • Gebeurt het afsluiten niet automatisch, start dan zelf de computer opnieuw op.



    2) download [b:7827c22025]DDS.scr[/b:7827c22025] (klik)[/color:7827c22025] naar je bureaublad.

    • dds.scr dubbelklikken (Vista/Win 7 gebruikers doen dit via rechtsklik en kiezen voor Als Administrator uitvoeren) - wacht tot de scan klaar is.
    • Na de scan worden twee tekstdocumnenten geopend - post de inhoud van beide DDS-logs (maar schakel eerst in kladblok via Opmaak de Automatische terugloop uit!).
  • combofix is van de originele site afkomstig

    hoefde er niks van de hjt log weg

    gr arie
  • dds txt


    DDS (Ver_09-12-01.01) - NTFSx86
    Run by PETRONELLA at 6:43:39,76 on wo 24-02-2010
    Internet Explorer: 8.0.6001.18702
    Microsoft Windows XP Home Edition 5.1.2600.3.1252.31.1043.18.503.228 [GMT 1:00]


    ============== Running Processes ===============

    C:\WINDOWS\system32\svchost -k DcomLaunch
    svchost.exe
    C:\WINDOWS\System32\svchost.exe -k netsvcs
    svchost.exe
    svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    svchost.exe
    C:\Program Files\Java\jre6\bin\jqs.exe
    C:\Program Files\Common Files\LightScribe\LSSrvc.exe
    C:\WINDOWS\system32\IoctlSvc.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\system32\svchost.exe -k imgsvc
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Canon\CAL\CALMAIN.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
    C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
    C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
    C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe
    C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE
    C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
    C:\WINDOWS\system32\igfxtray.exe
    C:\WINDOWS\system32\igfxpers.exe
    C:\Program Files\ClamWin\bin\ClamTray.exe
    C:\Program Files\Java\jre6\bin\jusched.exe
    C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
    C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
    C:\Program Files\FinePixViewer\QuickDCF.exe
    C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
    C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
    C:\Program Files\Windows Live\Contacts\wlcomm.exe
    E:\dds.scr

    ============== Pseudo HJT Report ===============

    uStart Page = about:blank
    uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
    BHO: Adobe PDF Reader Link Helper: {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelper.dll
    BHO: {5C255C8A-E604-49b4-9D64-90988571CECB} - No File
    BHO: Windows Live Aanmelden - Help: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\program files\common files\microsoft shared\windows live\WindowsLiveLogin.dll
    BHO: Java™ Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\java\jre6\bin\jp2ssv.dll
    BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\program files\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    uRun: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "c:\program files\common files\ahead\lib\NMBgMonitor.exe"
    uRun: [MsnMsgr] "c:\program files\windows live\messenger\MsnMsgr.Exe" /background
    mRun: [Adobe Photo Downloader] "c:\program files\adobe\photoshop album starter edition\3.2\apps\apdproxy.exe"
    mRun: [Adobe Reader Speed Launcher] "c:\program files\adobe\reader 8.0\reader\Reader_sl.exe"
    mRun: [Smapp] c:\program files\analog devices\soundmax\SMTray.exe
    mRun: [DrvLsnr] c:\program files\analog devices\soundmax\DrvLsnr.exe
    mRun: [EPSON Stylus D88 Series] c:\windows\system32\spool\drivers\w32x86\3\E_FATIABE.EXE /P23 "EPSON Stylus D88 Series" /O6 "USB001" /M "Stylus D88"
    mRun: [QuickFinder Scheduler] "c:\program files\wordperfect office x3\programs\QFSCHD130.EXE"
    mRun: [ISUSPM Startup] "c:\program files\common files\installshield\updateservice\isuspm.exe" -startup
    mRun: [ISUSScheduler] "c:\program files\common files\installshield\updateservice\issch.exe" -start
    mRun: [igfxtray] c:\windows\system32\igfxtray.exe
    mRun: [igfxhkcmd] c:\windows\system32\hkcmd.exe
    mRun: [igfxpers] c:\windows\system32\igfxpers.exe
    mRun: [NeroFilterCheck] c:\program files\common files\ahead\lib\NeroCheck.exe
    mRun: [ClamWin] "c:\program files\clamwin\bin\ClamTray.exe" –logon
    mRun: [SunJavaUpdateSched] "c:\program files\java\jre6\bin\jusched.exe"
    dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
    StartupFolder: c:\docume~1\alluse~1\menust~1\progra~1\opstar~1\exifla~1.lnk - c:\program files\finepixviewer\QuickDCF.exe
    IE: Open with WordPerfect - c:\program files\wordperfect office x3\programs\WPLauncher.hta
    IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
    IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\program files\messenger\msmsgs.exe
    DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
    DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game13.zylom.com/activex/zylomgamesplayer.cab
    DPF: {CAFEEFAC-0015-0000-0003-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_03-windows-i586.cab
    DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab
    DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab
    DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
    DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
    DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    TCP: {A1E49CF8-E624-4C4E-AB72-A8D822D20A8B} = 192.168.2.1
    Notify: igfxcui - igfxdev.dll
    SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll

    ============= SERVICES / DRIVERS ===============


    =============== Created Last 30 ================

    2010-02-23 14:52:44 0 d—–w- c:\program files\TrendMicro
    2010-02-23 14:40:05 50688 —-a-w- c:\windows\system32\proquota.exe
    2010-02-23 14:33:07 77312 —-a-w- c:\windows\MBR.exe
    2010-02-23 14:33:07 261632 —-a-w- c:\windows\PEV.exe
    2010-02-23 14:31:55 399872 —-a-w- c:\windows\system32\CF23412.exe
    2010-02-23 11:26:48 19160 —-a-w- c:\windows\system32\drivers\mbam.sys
    2010-02-23 11:26:45 38224 —-a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2010-02-23 11:26:44 0 d—–w- c:\program files\Malwarebytes' Anti-Malware
    2010-02-16 21:24:04 0 d—–w- c:\docume~1\alluse~1\applic~1\Alawar Stargaze
    2010-02-16 18:26:10 0 d—–w- c:\docume~1\petron~1\applic~1\Merscom
    2010-02-16 18:26:10 0 d—–w- c:\docume~1\alluse~1\applic~1\Merscom
    2010-02-08 20:45:40 0 d—–w- c:\windows\system32\lcl
    2010-01-28 21:27:25 0 d—–w- c:\docume~1\petron~1\applic~1\My Games
    2010-01-26 20:37:13 0 d—–w- c:\docume~1\petron~1\applic~1\GamesCafe

    ==================== Find3M ====================

    2009-12-31 16:50:03 353792 —-a-w- c:\windows\system32\drivers\srv.sys
    2009-12-21 19:10:30 916480 ——w- c:\windows\system32\wininet.dll
    2009-12-17 07:42:53 345600 —-a-w- c:\windows\system32\mspaint.exe
    2009-12-14 07:10:21 33280 —-a-w- c:\windows\system32\csrsrv.dll
    2009-12-09 10:11:59 2193536 ——w- c:\windows\system32
    toskrnl.exe
    2009-12-09 10:11:59 2070400 ——w- c:\windows\system32
    tkrnlpa.exe
    2009-12-09 05:40:54 86256 —-a-w- c:\windows\system32\perfc013.dat
    2009-12-09 05:40:54 499226 —-a-w- c:\windows\system32\perfh013.dat
    2009-11-27 17:14:13 1295872 —-a-w- c:\windows\system32\quartz.dll
    2009-11-27 17:14:12 17920 —-a-w- c:\windows\system32\msyuv.dll
    2009-11-27 16:10:19 8704 —-a-w- c:\windows\system32\tsbyuv.dll
    2009-11-27 16:10:19 85504 —-a-w- c:\windows\system32\avifil32.dll
    2009-11-27 16:10:19 48128 —-a-w- c:\windows\system32\iyuv_32.dll
    2009-11-27 16:10:19 28672 —-a-w- c:\windows\system32\msvidc32.dll
    2009-11-27 16:10:19 11264 —-a-w- c:\windows\system32\msrle32.dll
    2008-07-06 16:28:31 848 –sha-w- c:\windows\system32\KGyGaAvL.sys
    2008-02-11 09:55:24 16384 –sha-w- c:\windows\system32\config\systemprofile\local settings\application data\microsoft\feeds cache\index.dat
    2008-07-09 09:43:06 32768 –sha-w- c:\windows\system32\config\systemprofile\local settings\geschiedenis\history.ie5\mshist012008063020080707\index.dat
    2008-07-09 09:43:06 32768 –sha-w- c:\windows\system32\config\systemprofile\local settings\geschiedenis\history.ie5\mshist012008070920080710\index.dat

    ============= FINISH: 6:44:09,75 ===============


    van tfc heb ik geen log kunnen vinden
  • en attach txt


    UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG.
    IF REQUESTED, ZIP IT UP & ATTACH IT

    DDS (Ver_09-12-01.01)

    Microsoft Windows XP Home Edition
    Boot Device: \Device\HarddiskVolume1
    Install Date: 6-7-2008 9:49:02
    System Uptime: 24-2-2010 6:39:46 (0 hours ago)

    Motherboard: Hewlett-Packard | | 085Ch
    Processor: Intel(R) Pentium(R) 4 CPU 2.80GHz | XU1 PROCESSOR | 2793/533mhz

    ==== Disk Partitions =========================

    A: is Removable
    C: is FIXED (NTFS) - 37 GiB total, 20,859 GiB free.
    D: is CDROM ()
    E: is Removable

    ==== Disabled Device Manager Items =============

    ==== System Restore Points ===================

    RP205: 26-11-2009 6:52:29 - Controlepunt van systeem
    RP206: 28-11-2009 7:30:09 - Controlepunt van systeem
    RP207: 29-11-2009 8:03:55 - Controlepunt van systeem
    RP208: 30-11-2009 12:25:11 - Controlepunt van systeem
    RP209: 1-12-2009 12:26:05 - Controlepunt van systeem
    RP210: 2-12-2009 14:53:08 - Controlepunt van systeem
    RP211: 3-12-2009 15:47:26 - Controlepunt van systeem
    RP212: 4-12-2009 16:27:30 - Controlepunt van systeem
    RP213: 5-12-2009 17:46:43 - Controlepunt van systeem
    RP214: 6-12-2009 17:54:24 - Controlepunt van systeem
    RP215: 7-12-2009 18:51:50 - Controlepunt van systeem
    RP216: 8-12-2009 19:24:19 - Controlepunt van systeem
    RP217: 9-12-2009 6:33:42 - Software Distribution Service 3.0
    RP218: 10-12-2009 17:19:41 - Controlepunt van systeem
    RP219: 12-12-2009 7:36:22 - Controlepunt van systeem
    RP220: 13-12-2009 8:34:34 - Controlepunt van systeem
    RP221: 14-12-2009 9:25:46 - Controlepunt van systeem
    RP222: 15-12-2009 11:48:36 - Controlepunt van systeem
    RP223: 16-12-2009 16:40:24 - Controlepunt van systeem
    RP224: 17-12-2009 18:43:53 - Controlepunt van systeem
    RP225: 18-12-2009 19:52:43 - Controlepunt van systeem
    RP226: 20-12-2009 8:02:13 - Controlepunt van systeem
    RP227: 21-12-2009 10:34:24 - Controlepunt van systeem
    RP228: 22-12-2009 11:08:42 - Controlepunt van systeem
    RP229: 23-12-2009 12:11:07 - Controlepunt van systeem
    RP230: 24-12-2009 15:06:41 - Controlepunt van systeem
    RP231: 27-12-2009 16:19:57 - Controlepunt van systeem
    RP232: 28-12-2009 17:18:09 - Controlepunt van systeem
    RP233: 29-12-2009 17:54:56 - Controlepunt van systeem
    RP234: 30-12-2009 18:22:51 - Controlepunt van systeem
    RP235: 1-1-2010 8:18:09 - Controlepunt van systeem
    RP236: 2-1-2010 18:48:16 - Controlepunt van systeem
    RP237: 4-1-2010 6:20:18 - Controlepunt van systeem
    RP238: 5-1-2010 13:03:10 - Controlepunt van systeem
    RP239: 6-1-2010 17:56:56 - Controlepunt van systeem
    RP240: 7-1-2010 19:09:08 - Controlepunt van systeem
    RP241: 8-1-2010 19:23:37 - Controlepunt van systeem
    RP242: 10-1-2010 9:18:19 - Controlepunt van systeem
    RP243: 11-1-2010 9:29:34 - Controlepunt van systeem
    RP244: 12-1-2010 12:31:43 - Controlepunt van systeem
    RP245: 13-1-2010 6:37:06 - Software Distribution Service 3.0
    RP246: 14-1-2010 14:20:16 - Controlepunt van systeem
    RP247: 15-1-2010 17:01:47 - Controlepunt van systeem
    RP248: 17-1-2010 7:31:06 - Controlepunt van systeem
    RP249: 18-1-2010 8:12:36 - Controlepunt van systeem
    RP250: 19-1-2010 17:42:56 - Controlepunt van systeem
    RP251: 20-1-2010 7:01:31 - Software Distribution Service 3.0
    RP252: 21-1-2010 7:06:45 - Controlepunt van systeem
    RP253: 22-1-2010 6:16:26 - Software Distribution Service 3.0
    RP254: 23-1-2010 6:32:37 - Controlepunt van systeem
    RP255: 24-1-2010 13:29:22 - Controlepunt van systeem
    RP256: 25-1-2010 13:47:48 - Controlepunt van systeem
    RP257: 26-1-2010 20:26:05 - Controlepunt van systeem
    RP258: 28-1-2010 6:33:52 - Controlepunt van systeem
    RP259: 29-1-2010 18:09:35 - Controlepunt van systeem
    RP260: 30-1-2010 18:31:36 - Controlepunt van systeem
    RP261: 1-2-2010 6:37:51 - Controlepunt van systeem
    RP262: 2-2-2010 6:44:55 - Controlepunt van systeem
    RP263: 3-2-2010 12:01:30 - Controlepunt van systeem
    RP264: 4-2-2010 18:10:58 - Controlepunt van systeem
    RP265: 5-2-2010 19:23:43 - Controlepunt van systeem
    RP266: 7-2-2010 9:54:18 - Controlepunt van systeem
    RP267: 8-2-2010 10:23:25 - Controlepunt van systeem
    RP268: 9-2-2010 11:48:32 - Controlepunt van systeem
    RP269: 10-2-2010 6:29:45 - Software Distribution Service 3.0
    RP270: 11-2-2010 6:34:59 - Controlepunt van systeem
    RP271: 12-2-2010 17:56:05 - Controlepunt van systeem
    RP272: 13-2-2010 20:19:01 - Controlepunt van systeem
    RP273: 15-2-2010 12:44:55 - Controlepunt van systeem
    RP274: 16-2-2010 15:14:02 - Controlepunt van systeem
    RP275: 17-2-2010 15:56:46 - Controlepunt van systeem
    RP276: 19-2-2010 12:08:50 - Controlepunt van systeem
    RP277: 20-2-2010 19:54:38 - Controlepunt van systeem
    RP278: 22-2-2010 16:02:18 - Controlepunt van systeem
    RP279: 23-2-2010 15:52:42 - Installed HiJackThis

    ==== Installed Programs ======================

    Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742)
    Adobe Flash Player 10 ActiveX
    Adobe Reader 8.1.2
    Adobe Reader 8.1.2 Security Update 1 (KB403742)
    Adobe® Photoshop® Album Starter Edition 3.2
    albelli photo book creator Extra
    Beveiligingsupdate for Windows XP (KB923689)
    Beveiligingsupdate for Windows XP (KB941569)
    Beveiligingsupdate voor Windows Internet Explorer 7 (KB938127)
    Beveiligingsupdate voor Windows Internet Explorer 7 (KB950759)
    Beveiligingsupdate voor Windows Internet Explorer 7 (KB953838)
    Beveiligingsupdate voor Windows Internet Explorer 7 (KB956390)
    Beveiligingsupdate voor Windows Internet Explorer 7 (KB958215)
    Beveiligingsupdate voor Windows Internet Explorer 7 (KB960714)
    Beveiligingsupdate voor Windows Internet Explorer 7 (KB961260)
    Beveiligingsupdate voor Windows Internet Explorer 7 (KB963027)
    Beveiligingsupdate voor Windows Internet Explorer 8 (KB969897)
    Beveiligingsupdate voor Windows Internet Explorer 8 (KB971961)
    Beveiligingsupdate voor Windows Internet Explorer 8 (KB972260)
    Beveiligingsupdate voor Windows Internet Explorer 8 (KB974455)
    Beveiligingsupdate voor Windows Internet Explorer 8 (KB976325)
    Beveiligingsupdate voor Windows Internet Explorer 8 (KB978207)
    Beveiligingsupdate voor Windows Media Player (KB911564)
    Beveiligingsupdate voor Windows Media Player (KB952069)
    Beveiligingsupdate voor Windows Media Player (KB954155)
    Beveiligingsupdate voor Windows Media Player (KB968816)
    Beveiligingsupdate voor Windows Media Player (KB973540)
    Beveiligingsupdate voor Windows Media Player 11 (KB936782)
    Beveiligingsupdate voor Windows Media Player 11 (KB954154)
    Beveiligingsupdate voor Windows Media Player 6.4 (KB925398)
    Beveiligingsupdate voor Windows Media Player 9 (KB936782)
    Beveiligingsupdate voor Windows XP (KB923561)
    Beveiligingsupdate voor Windows XP (KB923789)
    Beveiligingsupdate voor Windows XP (KB938464)
    Beveiligingsupdate voor Windows XP (KB946648)
    Beveiligingsupdate voor Windows XP (KB950760)
    Beveiligingsupdate voor Windows XP (KB950762)
    Beveiligingsupdate voor Windows XP (KB950974)
    Beveiligingsupdate voor Windows XP (KB951066)
    Beveiligingsupdate voor Windows XP (KB951376-v2)
    Beveiligingsupdate voor Windows XP (KB951698)
    Beveiligingsupdate voor Windows XP (KB951748)
    Beveiligingsupdate voor Windows XP (KB952004)
    Beveiligingsupdate voor Windows XP (KB952954)
    Beveiligingsupdate voor Windows XP (KB953839)
    Beveiligingsupdate voor Windows XP (KB954211)
    Beveiligingsupdate voor Windows XP (KB954459)
    Beveiligingsupdate voor Windows XP (KB954600)
    Beveiligingsupdate voor Windows XP (KB955069)
    Beveiligingsupdate voor Windows XP (KB956391)
    Beveiligingsupdate voor Windows XP (KB956572)
    Beveiligingsupdate voor Windows XP (KB956744)
    Beveiligingsupdate voor Windows XP (KB956802)
    Beveiligingsupdate voor Windows XP (KB956803)
    Beveiligingsupdate voor Windows XP (KB956841)
    Beveiligingsupdate voor Windows XP (KB956844)
    Beveiligingsupdate voor Windows XP (KB957095)
    Beveiligingsupdate voor Windows XP (KB957097)
    Beveiligingsupdate voor Windows XP (KB958644)
    Beveiligingsupdate voor Windows XP (KB958687)
    Beveiligingsupdate voor Windows XP (KB958690)
    Beveiligingsupdate voor Windows XP (KB958869)
    Beveiligingsupdate voor Windows XP (KB959426)
    Beveiligingsupdate voor Windows XP (KB960225)
    Beveiligingsupdate voor Windows XP (KB960715)
    Beveiligingsupdate voor Windows XP (KB960803)
    Beveiligingsupdate voor Windows XP (KB960859)
    Beveiligingsupdate voor Windows XP (KB961371)
    Beveiligingsupdate voor Windows XP (KB961373)
    Beveiligingsupdate voor Windows XP (KB961501)
    Beveiligingsupdate voor Windows XP (KB968537)
    Beveiligingsupdate voor Windows XP (KB969059)
    Beveiligingsupdate voor Windows XP (KB969898)
    Beveiligingsupdate voor Windows XP (KB969947)
    Beveiligingsupdate voor Windows XP (KB970238)
    Beveiligingsupdate voor Windows XP (KB970430)
    Beveiligingsupdate voor Windows XP (KB971468)
    Beveiligingsupdate voor Windows XP (KB971486)
    Beveiligingsupdate voor Windows XP (KB971557)
    Beveiligingsupdate voor Windows XP (KB971633)
    Beveiligingsupdate voor Windows XP (KB971657)
    Beveiligingsupdate voor Windows XP (KB972270)
    Beveiligingsupdate voor Windows XP (KB973346)
    Beveiligingsupdate voor Windows XP (KB973354)
    Beveiligingsupdate voor Windows XP (KB973507)
    Beveiligingsupdate voor Windows XP (KB973525)
    Beveiligingsupdate voor Windows XP (KB973869)
    Beveiligingsupdate voor Windows XP (KB973904)
    Beveiligingsupdate voor Windows XP (KB974112)
    Beveiligingsupdate voor Windows XP (KB974318)
    Beveiligingsupdate voor Windows XP (KB974392)
    Beveiligingsupdate voor Windows XP (KB974571)
    Beveiligingsupdate voor Windows XP (KB975025)
    Beveiligingsupdate voor Windows XP (KB975467)
    Beveiligingsupdate voor Windows XP (KB975560)
    Beveiligingsupdate voor Windows XP (KB975713)
    Beveiligingsupdate voor Windows XP (KB977165)
    Beveiligingsupdate voor Windows XP (KB977914)
    Beveiligingsupdate voor Windows XP (KB978037)
    Beveiligingsupdate voor Windows XP (KB978251)
    Beveiligingsupdate voor Windows XP (KB978262)
    Beveiligingsupdate voor Windows XP (KB978706)
    Broadcom Management Programs
    Broadcom NetXtreme Ethernet Controller
    Canon Camera Access Library
    Canon Camera Support Core Library
    Canon Camera WIA Driver
    Canon EOS 5D WIA Driver
    CANON iMAGE GATEWAY Task for ZoomBrowser EX
    Canon Internet Library for ZoomBrowser EX
    Canon RAW Image Task for ZoomBrowser EX
    Canon Utilities CameraWindow
    Canon Utilities CameraWindow DC_DV 5 for ZoomBrowser EX
    Canon Utilities CameraWindow DC_DV 6 for ZoomBrowser EX
    Canon Utilities Digital Photo Professional 3.4
    Canon Utilities EOS Utility
    Canon Utilities MyCamera
    Canon Utilities Original Data Security Tools
    Canon Utilities PhotoStitch
    Canon Utilities Picture Style Editor
    Canon Utilities RemoteCapture Task for ZoomBrowser EX
    Canon Utilities WFT-E1/E2/E3 Utility
    Canon Utilities ZoomBrowser EX
    Canon ZoomBrowser EX Memory Card Utility
    ClamWin Free Antivirus 0.95.1
    EPSON-printersoftware
    Essentiële update voor Windows Media Player 11 (KB959772)
    FinePixViewer Ver.3.2
    HiJackThis
    HijackThis 2.0.2
    Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
    Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)
    Hotfix for Windows Media Format 11 SDK (KB929399)
    Hotfix for Windows XP (KB915800-v4)
    Hotfix for Windows XP (KB954550-v5)
    Hotfix voor Windows Media Player 11 (KB939683)
    Hotfix voor Windows XP (KB952287)
    Hotfix voor Windows XP (KB961118)
    Hotfix voor Windows XP (KB970653-v3)
    Hotfix voor Windows XP (KB976098-v2)
    Huur- en zorgtoeslag 2010
    Intel(R) Extreme Graphics 2 Driver
    J2SE Runtime Environment 5.0 Update 3
    Java(TM) 6 Update 17
    Java(TM) 6 Update 3
    Java(TM) 6 Update 7
    Junk Mail filter update
    LightScribe 1.4.136.1
    Malwarebytes' Anti-Malware
    Microsoft .NET Framework 2.0 Service Pack 2
    Microsoft .NET Framework 3.0 Service Pack 2
    Microsoft .NET Framework 3.5 SP1
    Microsoft Application Error Reporting
    Microsoft Choice Guard
    Microsoft Compression Client Pack 1.0 for Windows XP
    Microsoft Internationalized Domain Names Mitigation APIs
    Microsoft National Language Support Downlevel APIs
    Microsoft Office PowerPoint Viewer 2007 (Dutch)
    Microsoft Silverlight
    Microsoft User-Mode Driver Framework Feature Pack 1.0
    MSVCRT
    MSXML 4.0 SP2 (KB936181)
    MSXML 4.0 SP2 (KB954430)
    MSXML 4.0 SP2 (KB973688)
    Nero 7 Essentials
    neroxml
    OpenOffice.org 2.0
    QuickTime
    Segoe UI
    SoundMAX
    The Treasures of Montezuma 2 Deluxe
    Update for Microsoft .NET Framework 3.5 SP1 (KB963707)
    Update Manager
    Update voor Windows Internet Explorer 8 (KB969497)
    Update voor Windows Internet Explorer 8 (KB976749)
    Update voor Windows XP (KB951072-v2)
    Update voor Windows XP (KB951978)
    Update voor Windows XP (KB955759)
    Update voor Windows XP (KB955839)
    Update voor Windows XP (KB961503)
    Update voor Windows XP (KB967715)
    Update voor Windows XP (KB968389)
    Update voor Windows XP (KB971737)
    Update voor Windows XP (KB973687)
    Update voor Windows XP (KB973815)
    WebFldrs XP
    Windows Genuine Advantage Validation Tool (KB892130)
    Windows Internet Explorer 7
    Windows Internet Explorer 8
    Windows Live - Hulpprogramma voor uploaden
    Windows Live aanmeldhulp
    Windows Live Call
    Windows Live Communications Platform
    Windows Live Essentials
    Windows Live Mail
    Windows Live Messenger
    Windows Media Format 11 runtime
    Windows Media Player 11
    Windows XP Service Pack 3
    WinRAR archiver
    WordPerfect Office X3

    ==== End Of File ===========================
  • en een nieuwe hjt log

    Logfile of Trend Micro HijackThis v2.0.3 (BETA)
    Scan saved at 6:58:11, on 24-2-2010
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v8.00 (8.00.6001.18702)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Java\jre6\bin\jqs.exe
    C:\Program Files\Common Files\LightScribe\LSSrvc.exe
    C:\WINDOWS\system32\IoctlSvc.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Canon\CAL\CALMAIN.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
    C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
    C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe
    C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE
    C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
    C:\WINDOWS\system32\igfxtray.exe
    C:\WINDOWS\system32\hkcmd.exe
    C:\WINDOWS\system32\igfxpers.exe
    C:\Program Files\ClamWin\bin\ClamTray.exe
    C:\Program Files\Java\jre6\bin\jusched.exe
    C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
    C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
    C:\Program Files\FinePixViewer\QuickDCF.exe
    C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
    C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
    C:\Program Files\Windows Live\Contacts\wlcomm.exe
    C:\Program Files\TrendMicro\HiJackThis\HiJackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
    O2 - BHO: Windows Live Aanmelden - Help - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
    O4 - HKLM\..\Run: [DrvLsnr] C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe
    O4 - HKLM\..\Run: [EPSON Stylus D88 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE /P23 "EPSON Stylus D88 Series" /O6 "USB001" /M "Stylus D88"
    O4 - HKLM\..\Run: [QuickFinder Scheduler] "C:\Program Files\WordPerfect Office X3\Programs\QFSCHD130.EXE"
    O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\isuspm.exe" -startup
    O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
    O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
    O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
    O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
    O4 - HKLM\..\Run: [ClamWin] "C:\Program Files\ClamWin\bin\ClamTray.exe" –logon
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
    O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Exif Launcher.lnk = C:\Program Files\FinePixViewer\QuickDCF.exe
    O8 - Extra context menu item: Open with WordPerfect - C:\Program Files\WordPerfect Office X3\Programs\WPLauncher.hta
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game13.zylom.com/activex/zylomgamesplayer.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{A1E49CF8-E624-4C4E-AB72-A8D822D20A8B}: NameServer = 192.168.2.1
    O22 - SharedTaskScheduler: Preloader van browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
    O22 - SharedTaskScheduler: Cache-daemon voor onderdeelcategorieën - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
    O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
    O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
    O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
    O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe


    End of file - 6876 bytes
  • Hallo Arie, indien ik niet om een HJT-log vraag, hoef je dit ook echt niet te posten. Een DDS-log is veel uitgebreider!

    En uit dat DDS-log blijkt, dat je vrouws Windows nog steeds besmet is!

    Overigens: TFC geeft inderdaad geen log!

    Wat mij tevens opviel: CLAMWIN is als antivirus geïnstalleert.
    Dat is nu bepaald niet de beste keus die je kan maken, want CLAMWIN beschikt niet over een aktieve scan!

    Mijn advies indien je een goede en lichte antivirus in die PC wl hebben:
    Microsoft Security Essentials!

    Deïnstalleer overtollige Java runtimes (veiligheidsrisico)

    Ga naar [b:ec184f6507]Configuratiescherm /Programma’s en onderdelen[/b:ec184f6507] en dan verwijder je [b:ec184f6507]
    Java SE Runtime Environment (JRE) 6 Update 03
    Java SE Runtime Environment (JRE) 6 Update 07
    [/b:ec184f6507].


    ————————————————————————————-


    Open een nieuw kladblok bestand. (Start>Alle programma’s>Bureau-accessoires>Kladblok), kopieer en plak het volgende (vetgedrukte, blauwe
    tekst) in een leeg venster


    [b:ec184f6507] File::
    c:\windows\PEV.exe
    Folder::
    c:\windows\system32\CF23412.exe[/color:ec184f6507][/b:ec184f6507]


    Sla dit kladblokbestand op je bureaublad op als [b:ec184f6507]CFScript.txt[/b:ec184f6507].

    [b:ec184f6507]Nu eerst de antivirus deaktiveren![/b:ec184f6507]


    Sleep CFScript.txt in ComboFix.exe


    [img:ec184f6507]http://home.kpn.nl/~stefsmeenk/CFScript.gif[/img:ec184f6507]

    Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt.


    Post het Combofix log dat na het opnieuw starten wordt getoond!
  • kreeg fout melding over pev.exe

    zou een onderdeel van combofix zijn
  • [img:ee7311f12e]http://www.debraal.nl/combofout.gif[/img:ee7311f12e]

    en de log

    ComboFix 10-02-22.07 - PETRONELLA 24-02-2010 12:22:40.4.1 - x86
    Microsoft Windows XP Home Edition 5.1.2600.3.1252.31.1043.18.503.285 [GMT 1:00]
    Gestart vanuit: E:\ComboFix.exe
    gebruikte Opdracht switches :: E:\CFScript.txt
    .

    (((((((((((((((((((( Bestanden Gemaakt van 2010-01-24 to 2010-02-24 ))))))))))))))))))))))))))))))
    .

    2010-02-23 14:52 . 2010-02-23 14:52 388096 —-a-r- c:\documents and settings\PETRONELLA\Application Data\Microsoft\Installer\{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}\HiJackThis.exe
    2010-02-23 14:52 . 2010-02-23 14:52 ——– d—–w- c:\program files\TrendMicro
    2010-02-23 14:40 . 2008-04-14 17:03 50688 —-a-w- c:\windows\system32\proquota.exe
    2010-02-23 14:31 . 2010-02-23 14:31 399872 —-a-w- c:\windows\system32\CF23412.exe
    2010-02-23 11:29 . 2010-02-23 11:29 5115823 —-a-w- c:\documents and settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
    2010-02-23 11:26 . 2010-01-07 15:07 19160 —-a-w- c:\windows\system32\drivers\mbam.sys
    2010-02-23 11:26 . 2010-01-07 15:07 38224 —-a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2010-02-23 11:26 . 2010-02-23 11:29 ——– d—–w- c:\program files\Malwarebytes' Anti-Malware
    2010-02-16 21:24 . 2010-02-16 21:24 ——– d—–w- c:\documents and settings\PETRONELLA\Local Settings\Application Data\STARGAZE_IMAGE_CACHE
    2010-02-16 21:24 . 2010-02-16 21:24 ——– d—–w- c:\documents and settings\All Users\Application Data\Alawar Stargaze
    2010-02-16 18:26 . 2010-02-16 18:26 ——– d—–w- c:\documents and settings\PETRONELLA\Application Data\Merscom
    2010-02-16 18:26 . 2010-02-16 18:26 ——– d—–w- c:\documents and settings\All Users\Application Data\Merscom
    2010-02-08 20:45 . 2010-02-08 21:26 ——– d—–w- c:\windows\system32\lcl
    2010-01-28 21:27 . 2010-01-28 21:27 ——– d—–w- c:\documents and settings\PETRONELLA\Application Data\My Games
    2010-01-26 20:37 . 2010-01-26 20:37 ——– d—–w- c:\documents and settings\PETRONELLA\Application Data\GamesCafe

    .
    ((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-02-24 11:15 . 2008-02-11 09:05 ——– d—–w- c:\program files\Java
    2010-02-16 21:23 . 2008-07-08 09:01 ——– d—–w- c:\documents and settings\PETRONELLA\Application Data\Zylom
    2010-02-16 21:23 . 2008-07-08 09:01 ——– d—–w- c:\program files\Zylom Games
    2010-01-24 15:56 . 2010-01-24 15:56 ——– d—–w- c:\documents and settings\PETRONELLA\Application Data\Argonyt
    2010-01-23 10:35 . 2010-01-23 10:35 ——– d—–w- c:\documents and settings\All Users\Application Data\GameHouse
    2010-01-20 06:03 . 2009-07-18 14:14 ——– d—–w- c:\program files\Microsoft Silverlight
    2010-01-06 21:29 . 2010-01-06 21:29 ——– d—–w- c:\documents and settings\All Users\Application Data\NeptunesAdve
    2010-01-06 12:45 . 2010-01-06 12:44 ——– d—–w- c:\documents and settings\PETRONELLA\Application Data\Zylom 3 Days Zoo Mystery
    2009-12-31 16:50 . 2004-08-04 12:00 353792 —-a-w- c:\windows\system32\drivers\srv.sys
    2009-12-29 18:06 . 2009-12-29 18:06 ——– d—–w- c:\documents and settings\PETRONELLA\Application Data\GameHousev1002
    2009-12-22 18:30 . 2009-11-23 15:01 26 —-a-w- c:\windows\popcinfo.dat
    2009-12-21 19:10 . 2004-08-04 12:00 916480 ——w- c:\windows\system32\wininet.dll
    2009-12-17 07:42 . 2008-02-11 09:07 345600 —-a-w- c:\windows\system32\mspaint.exe
    2009-12-14 07:10 . 2004-08-04 12:00 33280 —-a-w- c:\windows\system32\csrsrv.dll
    2009-12-09 10:11 . 2004-08-04 12:00 2193536 ——w- c:\windows\system32
    toskrnl.exe
    2009-12-09 10:11 . 2004-08-04 00:58 2070400 ——w- c:\windows\system32
    tkrnlpa.exe
    2009-12-09 05:40 . 2004-08-04 12:00 86256 —-a-w- c:\windows\system32\perfc013.dat
    2009-12-09 05:40 . 2004-08-04 12:00 499226 —-a-w- c:\windows\system32\perfh013.dat
    2009-12-04 18:22 . 2004-08-04 12:00 455424 —-a-w- c:\windows\system32\drivers\mrxsmb.sys
    2009-11-28 15:05 . 2008-07-06 08:04 30432 —-a-w- c:\documents and settings\PETRONELLA\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
    2009-11-27 17:14 . 2004-08-04 12:00 1295872 —-a-w- c:\windows\system32\quartz.dll
    2009-11-27 17:14 . 2004-08-04 01:03 17920 —-a-w- c:\windows\system32\msyuv.dll
    2009-11-27 16:10 . 2004-08-04 12:00 85504 —-a-w- c:\windows\system32\avifil32.dll
    2009-11-27 16:10 . 2004-08-04 12:00 28672 —-a-w- c:\windows\system32\msvidc32.dll
    2009-11-27 16:10 . 2004-08-04 12:00 11264 —-a-w- c:\windows\system32\msrle32.dll
    2009-11-27 16:10 . 2004-08-04 01:03 48128 —-a-w- c:\windows\system32\iyuv_32.dll
    2009-11-27 16:10 . 2001-09-06 21:27 8704 —-a-w- c:\windows\system32\tsbyuv.dll
    2008-07-06 16:28 . 2008-07-06 16:28 848 –sha-w- c:\windows\system32\KGyGaAvL.sys
    .

    ((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2008-01-22 152872]
    "MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2009-07-26 3883856]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Adobe Photo Downloader"="c:\program files\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-09 63712]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
    "Smapp"="c:\program files\Analog Devices\SoundMAX\SMTray.exe" [2003-05-05 143360]
    "DrvLsnr"="c:\program files\Analog Devices\SoundMAX\DrvLsnr.exe" [2003-05-08 69632]
    "EPSON Stylus D88 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE" [2005-01-27 98304]
    "QuickFinder Scheduler"="c:\program files\WordPerfect Office X3\Programs\QFSCHD130.EXE" [2005-11-30 77892]
    "ISUSPM Startup"="c:\program files\Common Files\InstallShield\UpdateService\isuspm.exe" [2005-08-11 249856]
    "ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2005-08-11 81920]
    "igfxtray"="c:\windows\system32\igfxtray.exe" [2005-09-20 94208]
    "igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-09-20 77824]
    "igfxpers"="c:\windows\system32\igfxpers.exe" [2005-09-20 114688]
    "NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2008-05-28 570664]
    "ClamWin"="c:\program files\ClamWin\bin\ClamTray.exe" [2009-04-14 86016]
    "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

    c:\documents and settings\All Users\Menu Start\Programma's\Opstarten\
    Exif Launcher.lnk - c:\program files\FinePixViewer\QuickDCF.exe [2002-1-9 200704]

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "AntiVirusOverride"=dword:00000001
    "FirewallOverride"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\Messenger\\msmsgs.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

    .
    .
    ——- Bijkomende Scan ——-
    .
    uStart Page = about:blank
    uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
    IE: Open with WordPerfect - c:\program files\WordPerfect Office X3\Programs\WPLauncher.hta
    TCP: {A1E49CF8-E624-4C4E-AB72-A8D822D20A8B} = 192.168.2.1
    DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game13.zylom.com/activex/zylomgamesplayer.cab
    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-02-24 12:28
    Windows 5.1.2600 Service Pack 3 NTFS

    scannen van verborgen processen …

    scannen van verborgen autostart items …

    scannen van verborgen bestanden …

    Scan succesvol afgerond
    verborgen bestanden: 0

    **************************************************************************
    .
    ——————— DLLs Geladen Onder Lopende Processen ———————

    - - - - - - - > 'explorer.exe'(1220)
    c:\program files\Common Files\Ahead\Lib\NeroSearchBar.dll
    c:\program files\Common Files\Ahead\Lib\MFC71U.DLL
    c:\program files\Common Files\Ahead\Lib\BCGCBPRO860un71.dll
    c:\windows\system32\webcheck.dll
    c:\windows\system32\WPDShServiceObj.dll
    c:\windows\system32\PortableDeviceTypes.dll
    c:\windows\system32\PortableDeviceApi.dll
    .
    Voltooingstijd: 2010-02-24 12:30:41
    ComboFix-quarantined-files.txt 2010-02-24 11:30
    ComboFix2.txt 2010-02-23 14:49
    ComboFix3.txt 2009-03-29 10:54
    ComboFix4.txt 2009-03-29 09:42

    Pre-Run: 22.481.522.688 bytes beschikbaar
    Post-Run: 22.444.621.824 bytes beschikbaar

    - - End Of File - - 935FCFE9EC27FEF7E8D5A24D07674CBB
  • Dn doen we het nog een keer, maar nu met verbeterd script:

    Open een nieuw kladblok bestand. (Start>Alle programma’s>Bureau-accessoires>Kladblok), kopieer en plak het volgende (vetgedrukte, blauwe
    tekst) in een leeg venster


    [b:5865c17ad2] Folder::
    c:\windows\system32\CF23412.exe[/color:5865c17ad2][/b:5865c17ad2]


    Sla dit kladblokbestand op je bureaublad op als [b:5865c17ad2]CFScript.txt[/b:5865c17ad2].

    [b:5865c17ad2]Nu eerst de antivirus deaktiveren![/b:5865c17ad2]


    Sleep CFScript.txt in ComboFix.exe


    [img:5865c17ad2]http://home.kpn.nl/~stefsmeenk/CFScript.gif[/img:5865c17ad2]

    Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt.


    Post het Combofix log dat na het opnieuw starten wordt getoond!
  • komt ie

    ComboFix 10-02-22.07 - PETRONELLA 24-02-2010 17:09:30.5.1 - x86
    Microsoft Windows XP Home Edition 5.1.2600.3.1252.31.1043.18.503.264 [GMT 1:00]
    Gestart vanuit: E:\ComboFix.exe
    gebruikte Opdracht switches :: E:\CFScript.txt
    .

    (((((((((((((((((((( Bestanden Gemaakt van 2010-01-24 to 2010-02-24 ))))))))))))))))))))))))))))))
    .

    2010-02-23 14:52 . 2010-02-23 14:52 388096 —-a-r- c:\documents and settings\PETRONELLA\Application Data\Microsoft\Installer\{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}\HiJackThis.exe
    2010-02-23 14:52 . 2010-02-23 14:52 ——– d—–w- c:\program files\TrendMicro
    2010-02-23 14:40 . 2008-04-14 17:03 50688 —-a-w- c:\windows\system32\proquota.exe
    2010-02-23 14:31 . 2010-02-23 14:31 399872 —-a-w- c:\windows\system32\CF23412.exe
    2010-02-23 11:29 . 2010-02-23 11:29 5115823 —-a-w- c:\documents and settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
    2010-02-23 11:26 . 2010-01-07 15:07 19160 —-a-w- c:\windows\system32\drivers\mbam.sys
    2010-02-23 11:26 . 2010-01-07 15:07 38224 —-a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2010-02-23 11:26 . 2010-02-23 11:29 ——– d—–w- c:\program files\Malwarebytes' Anti-Malware
    2010-02-16 21:24 . 2010-02-16 21:24 ——– d—–w- c:\documents and settings\PETRONELLA\Local Settings\Application Data\STARGAZE_IMAGE_CACHE
    2010-02-16 21:24 . 2010-02-16 21:24 ——– d—–w- c:\documents and settings\All Users\Application Data\Alawar Stargaze
    2010-02-16 18:26 . 2010-02-16 18:26 ——– d—–w- c:\documents and settings\PETRONELLA\Application Data\Merscom
    2010-02-16 18:26 . 2010-02-16 18:26 ——– d—–w- c:\documents and settings\All Users\Application Data\Merscom
    2010-02-08 20:45 . 2010-02-08 21:26 ——– d—–w- c:\windows\system32\lcl
    2010-01-28 21:27 . 2010-01-28 21:27 ——– d—–w- c:\documents and settings\PETRONELLA\Application Data\My Games
    2010-01-26 20:37 . 2010-01-26 20:37 ——– d—–w- c:\documents and settings\PETRONELLA\Application Data\GamesCafe

    .
    ((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-02-24 11:15 . 2008-02-11 09:05 ——– d—–w- c:\program files\Java
    2010-02-16 21:23 . 2008-07-08 09:01 ——– d—–w- c:\documents and settings\PETRONELLA\Application Data\Zylom
    2010-02-16 21:23 . 2008-07-08 09:01 ——– d—–w- c:\program files\Zylom Games
    2010-01-24 15:56 . 2010-01-24 15:56 ——– d—–w- c:\documents and settings\PETRONELLA\Application Data\Argonyt
    2010-01-23 10:35 . 2010-01-23 10:35 ——– d—–w- c:\documents and settings\All Users\Application Data\GameHouse
    2010-01-20 06:03 . 2009-07-18 14:14 ——– d—–w- c:\program files\Microsoft Silverlight
    2010-01-06 21:29 . 2010-01-06 21:29 ——– d—–w- c:\documents and settings\All Users\Application Data\NeptunesAdve
    2010-01-06 12:45 . 2010-01-06 12:44 ——– d—–w- c:\documents and settings\PETRONELLA\Application Data\Zylom 3 Days Zoo Mystery
    2009-12-31 16:50 . 2004-08-04 12:00 353792 —-a-w- c:\windows\system32\drivers\srv.sys
    2009-12-29 18:06 . 2009-12-29 18:06 ——– d—–w- c:\documents and settings\PETRONELLA\Application Data\GameHousev1002
    2009-12-22 18:30 . 2009-11-23 15:01 26 —-a-w- c:\windows\popcinfo.dat
    2009-12-21 19:10 . 2004-08-04 12:00 916480 ——w- c:\windows\system32\wininet.dll
    2009-12-17 07:42 . 2008-02-11 09:07 345600 —-a-w- c:\windows\system32\mspaint.exe
    2009-12-14 07:10 . 2004-08-04 12:00 33280 —-a-w- c:\windows\system32\csrsrv.dll
    2009-12-09 10:11 . 2004-08-04 12:00 2193536 ——w- c:\windows\system32
    toskrnl.exe
    2009-12-09 10:11 . 2004-08-04 00:58 2070400 ——w- c:\windows\system32
    tkrnlpa.exe
    2009-12-09 05:40 . 2004-08-04 12:00 86256 —-a-w- c:\windows\system32\perfc013.dat
    2009-12-09 05:40 . 2004-08-04 12:00 499226 —-a-w- c:\windows\system32\perfh013.dat
    2009-12-04 18:22 . 2004-08-04 12:00 455424 —-a-w- c:\windows\system32\drivers\mrxsmb.sys
    2009-11-28 15:05 . 2008-07-06 08:04 30432 —-a-w- c:\documents and settings\PETRONELLA\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
    2009-11-27 17:14 . 2004-08-04 12:00 1295872 —-a-w- c:\windows\system32\quartz.dll
    2009-11-27 17:14 . 2004-08-04 01:03 17920 —-a-w- c:\windows\system32\msyuv.dll
    2009-11-27 16:10 . 2004-08-04 12:00 85504 —-a-w- c:\windows\system32\avifil32.dll
    2009-11-27 16:10 . 2004-08-04 12:00 28672 —-a-w- c:\windows\system32\msvidc32.dll
    2009-11-27 16:10 . 2004-08-04 12:00 11264 —-a-w- c:\windows\system32\msrle32.dll
    2009-11-27 16:10 . 2004-08-04 01:03 48128 —-a-w- c:\windows\system32\iyuv_32.dll
    2009-11-27 16:10 . 2001-09-06 21:27 8704 —-a-w- c:\windows\system32\tsbyuv.dll
    2008-07-06 16:28 . 2008-07-06 16:28 848 –sha-w- c:\windows\system32\KGyGaAvL.sys
    .

    ((((((((((((((((((((((((((((( SnapShot@2010-02-24_11.28.18 )))))))))))))))))))))))))))))))))))))))))
    .
    + 2010-02-24 16:06 . 2010-02-24 16:06 16384 c:\windows\Temp\Perflib_Perfdata_5b4.dat
    .
    ((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2008-01-22 152872]
    "MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2009-07-26 3883856]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Adobe Photo Downloader"="c:\program files\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-09 63712]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
    "Smapp"="c:\program files\Analog Devices\SoundMAX\SMTray.exe" [2003-05-05 143360]
    "DrvLsnr"="c:\program files\Analog Devices\SoundMAX\DrvLsnr.exe" [2003-05-08 69632]
    "EPSON Stylus D88 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE" [2005-01-27 98304]
    "QuickFinder Scheduler"="c:\program files\WordPerfect Office X3\Programs\QFSCHD130.EXE" [2005-11-30 77892]
    "ISUSPM Startup"="c:\program files\Common Files\InstallShield\UpdateService\isuspm.exe" [2005-08-11 249856]
    "ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2005-08-11 81920]
    "igfxtray"="c:\windows\system32\igfxtray.exe" [2005-09-20 94208]
    "igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-09-20 77824]
    "igfxpers"="c:\windows\system32\igfxpers.exe" [2005-09-20 114688]
    "NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2008-05-28 570664]
    "ClamWin"="c:\program files\ClamWin\bin\ClamTray.exe" [2009-04-14 86016]
    "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

    c:\documents and settings\All Users\Menu Start\Programma's\Opstarten\
    Exif Launcher.lnk - c:\program files\FinePixViewer\QuickDCF.exe [2002-1-9 200704]

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "AntiVirusOverride"=dword:00000001
    "FirewallOverride"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\Messenger\\msmsgs.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

    .
    .
    ——- Bijkomende Scan ——-
    .
    uStart Page = about:blank
    uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
    IE: Open with WordPerfect - c:\program files\WordPerfect Office X3\Programs\WPLauncher.hta
    TCP: {A1E49CF8-E624-4C4E-AB72-A8D822D20A8B} = 192.168.2.1
    DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game13.zylom.com/activex/zylomgamesplayer.cab
    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-02-24 17:15
    Windows 5.1.2600 Service Pack 3 NTFS

    scannen van verborgen processen …

    scannen van verborgen autostart items …

    scannen van verborgen bestanden …

    Scan succesvol afgerond
    verborgen bestanden: 0

    **************************************************************************
    .
    ——————— DLLs Geladen Onder Lopende Processen ———————

    - - - - - - - > 'explorer.exe'(3088)
    c:\program files\Common Files\Ahead\Lib\NeroSearchBar.dll
    c:\program files\Common Files\Ahead\Lib\MFC71U.DLL
    c:\program files\Common Files\Ahead\Lib\BCGCBPRO860un71.dll
    c:\windows\system32\webcheck.dll
    c:\windows\system32\WPDShServiceObj.dll
    c:\windows\system32\PortableDeviceTypes.dll
    c:\windows\system32\PortableDeviceApi.dll
    .
    Voltooingstijd: 2010-02-24 17:17:57
    ComboFix-quarantined-files.txt 2010-02-24 16:17
    ComboFix2.txt 2010-02-24 11:30
    ComboFix3.txt 2010-02-23 14:49
    ComboFix4.txt 2009-03-29 10:54
    ComboFix5.txt 2010-02-24 16:08

    Pre-Run: 22.448.656.384 bytes beschikbaar
    Post-Run: 22.411.730.944 bytes beschikbaar

    - - End Of File - - F48BBC1219E68691CDAB90ED79994A5F
  • Hallo Arie, heb jij Combofix voor de installatie hernoemt naar CF23412.exe?
  • nope

    zie boven aan

    Gestart vanuit: E:\ComboFix.exe
  • Hallo Arie - heb je inmiddels al een andere AV geïnstalleerd?

    Download [b:ee4270fe35]GMER[/color:ee4270fe35] (klik)[/b:ee4270fe35] naar je bureaublad.

    • Verwijder eerst de internetverbinding en sluit ook alle openstaande vensters.
    • Deaktiveer vervolgens tijdelijk alle aktiveve beveiligingsprogramma's, zodat deze niet kunnen interferreren met GMER
    • Klik/dubbelklik (Vista/Win 7 gebruikers doen dit via rechtsklik en kiezen voor Als Administrator uitvoeren) op het gedownloade GMER-bestand,
    dat een toevallig gekozen naam heeft (bijv. n7gmo46c.exe) en indien gvraagd, toestaan dat de gmer.sys driver geladen mag worden.

    • Bij opstarten zal GMER openen met de Rootkit/Malware tab en zal een korte automatische scan uitvoeren - doe dan geen andere taken met de computer gedurende de scan!
    • Indien je nu een waarschuwing krijgt over rootkit activity en gevraagd wordt een volledige scan te doen - dan klik je vervolgens op NO.
    • Klik nu op de Scan knop. Wanneer je nu een rootkit waarschuwing ziet, dan klik je op OK.
    • Klik vervolgens op de COPY knop en plak het resultaat in je volgende post.
    • Sluit GMER af en reaktiveer nu alle gedeaktiveerde beveiligingen.
    • Indien je een probleem ondervindt om GMER te gebruiken, probeer dit dan in Veilge Modus te doen.
  • de autoscan gaf geen root kit aan
  • gmer heeft niks gevonden
  • Mooi - heb je nog wat gedaan aan de antivirus situatie in je vrouws PC?
  • eerst dit weg

    je hebt misschien in de log iets van m$ office gemist

    dan weet je ook hoe ik over die software denk

    ik vind helaas ubuntu e.d. te moeilijk (en wp werkt daar niet op)
    vandaar nog windhoos als besturings systeem

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.