Vraag & Antwoord

Beveiliging & privacy

troyan op computer van helena

30 antwoorden
  • merkte een troyan op de computer van mijn vrouw heb reeds mbam en combofix gedraaid en hierbij de logs Malwarebytes' Anti-Malware 1.44 Database versie: 3510 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 23-2-2010 12:45:36 mbam-log-2010-02-23 (12-45-36).txt Scan type: Snelle Scan Objecten gescand: 112447 Verstreken tijd: 11 minute(s), 9 second(s) Geheugenprocessen geïnfecteerd: 0 Geheugenmodulen geïnfecteerd: 0 Registersleutels geïnfecteerd: 1 Registerwaarden geïnfecteerd: 0 Registerdata bestanden geïnfecteerd: 0 Mappen geïnfecteerd: 0 Bestanden geïnfecteerd: 2 Geheugenprocessen geïnfecteerd: (Geen kwaadaardige items gevonden) Geheugenmodulen geïnfecteerd: (Geen kwaadaardige items gevonden) Registersleutels geïnfecteerd: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{abd42510-9b22-41cd-9dcd-8182a2d07c63} (Trojan.FakeAlert) -> Quarantined and deleted successfully. Registerwaarden geïnfecteerd: (Geen kwaadaardige items gevonden) Registerdata bestanden geïnfecteerd: (Geen kwaadaardige items gevonden) Mappen geïnfecteerd: (Geen kwaadaardige items gevonden) Bestanden geïnfecteerd: C:\Documents and Settings\PETRONELLA\Local Settings\temp\c.exe (Trojan.Dropper) -> Quarantined and deleted successfully. C:\Documents and Settings\PETRONELLA\Local Settings\temp\d.exe (Trojan.Dropper) -> Quarantined and deleted successfully. [img:486745cffb]http://www.debraal.nl/mbam.gif[/img:486745cffb] plaatje is van de gevonde troyan volgende is van combofix
  • ComboFix 10-02-22.07 - PETRONELLA 23-02-2010 15:33:57.3.1 - x86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.31.1043.18.503.273 [GMT 1:00] Gestart vanuit: E:\ComboFix.exe . (((((((((((((((((((((((((((((((((( Andere Verwijderingen ))))))))))))))))))))))))))))))))))))))))))))))))) . c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat c:\windows\system32\0035.DLL c:\windows\system32\wexe.exe c:\windows\system32\WORK.DAT c:\windows\system32\wupd.dat ----- BITS: Mogelijk geïnfecteerde sites ----- hxxp://vbj3.net Besmet exemplaar van c:\windows\system32\userinit.exe werd aangetroffen en gedesinfecteerd Hersteld exemplaar van - c:\windows\system32\dllcache\userinit.exe c:\windows\system32\proquota.exe was verdwenen Hersteld exemplaar van - c:\windows\ServicePackFiles\i386\proquota.exe . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_BNSERV4 -------\Service_bnserv4 (((((((((((((((((((( Bestanden Gemaakt van 2010-01-23 to 2010-02-23 )))))))))))))))))))))))))))))) . 2010-02-23 14:40 . 2008-04-14 17:03 50688 ----a-w- c:\windows\system32\proquota.exe 2010-02-23 14:31 . 2010-02-23 14:31 399872 ----a-w- c:\windows\system32\CF23412.exe 2010-02-23 11:29 . 2010-02-23 11:29 5115823 ----a-w- c:\documents and settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe 2010-02-23 11:26 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-02-23 11:26 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-02-23 11:26 . 2010-02-23 11:29 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware 2010-02-16 21:24 . 2010-02-16 21:24 -------- d-----w- c:\documents and settings\PETRONELLA\Local Settings\Application Data\STARGAZE_IMAGE_CACHE 2010-02-16 21:24 . 2010-02-16 21:24 -------- d-----w- c:\documents and settings\All Users\Application Data\Alawar Stargaze 2010-02-16 18:26 . 2010-02-16 18:26 -------- d-----w- c:\documents and settings\PETRONELLA\Application Data\Merscom 2010-02-16 18:26 . 2010-02-16 18:26 -------- d-----w- c:\documents and settings\All Users\Application Data\Merscom 2010-02-08 20:45 . 2010-02-08 21:26 -------- d-----w- c:\windows\system32\lcl 2010-01-28 21:27 . 2010-01-28 21:27 -------- d-----w- c:\documents and settings\PETRONELLA\Application Data\My Games 2010-01-26 20:37 . 2010-01-26 20:37 -------- d-----w- c:\documents and settings\PETRONELLA\Application Data\GamesCafe 2010-01-24 15:56 . 2010-01-24 15:56 -------- d-----w- c:\documents and settings\PETRONELLA\Application Data\Argonyt . ((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-02-16 21:23 . 2008-07-08 09:01 -------- d-----w- c:\documents and settings\PETRONELLA\Application Data\Zylom 2010-02-16 21:23 . 2008-07-08 09:01 -------- d-----w- c:\program files\Zylom Games 2010-01-23 10:35 . 2010-01-23 10:35 -------- d-----w- c:\documents and settings\All Users\Application Data\GameHouse 2010-01-20 06:03 . 2009-07-18 14:14 -------- d-----w- c:\program files\Microsoft Silverlight 2010-01-06 21:29 . 2010-01-06 21:29 -------- d-----w- c:\documents and settings\All Users\Application Data\NeptunesAdve 2010-01-06 12:45 . 2010-01-06 12:44 -------- d-----w- c:\documents and settings\PETRONELLA\Application Data\Zylom 3 Days Zoo Mystery 2009-12-31 16:50 . 2004-08-04 12:00 353792 ----a-w- c:\windows\system32\drivers\srv.sys 2009-12-29 18:06 . 2009-12-29 18:06 -------- d-----w- c:\documents and settings\PETRONELLA\Application Data\GameHousev1002 2009-12-22 18:30 . 2009-11-23 15:01 26 ----a-w- c:\windows\popcinfo.dat 2009-12-21 19:10 . 2004-08-04 12:00 916480 ----a-w- c:\windows\system32\wininet.dll 2009-12-17 07:42 . 2008-02-11 09:07 345600 ----a-w- c:\windows\system32\mspaint.exe 2009-12-14 07:10 . 2004-08-04 12:00 33280 ----a-w- c:\windows\system32\csrsrv.dll 2009-12-09 10:11 . 2004-08-04 12:00 2193536 ----a-w- c:\windows\system32\ntoskrnl.exe 2009-12-09 10:11 . 2004-08-04 00:58 2070400 ----a-w- c:\windows\system32\ntkrnlpa.exe 2009-12-09 05:40 . 2004-08-04 12:00 86256 ----a-w- c:\windows\system32\perfc013.dat 2009-12-09 05:40 . 2004-08-04 12:00 499226 ----a-w- c:\windows\system32\perfh013.dat 2009-12-04 18:22 . 2004-08-04 12:00 455424 ----a-w- c:\windows\system32\drivers\mrxsmb.sys 2009-11-28 15:05 . 2008-07-06 08:04 30432 ----a-w- c:\documents and settings\PETRONELLA\Local Settings\Application Data\GDIPFONTCACHEV1.DAT 2009-11-27 17:14 . 2004-08-04 12:00 1295872 ----a-w- c:\windows\system32\quartz.dll 2009-11-27 17:14 . 2004-08-04 01:03 17920 ----a-w- c:\windows\system32\msyuv.dll 2009-11-27 16:10 . 2004-08-04 12:00 85504 ----a-w- c:\windows\system32\avifil32.dll 2009-11-27 16:10 . 2004-08-04 12:00 28672 ----a-w- c:\windows\system32\msvidc32.dll 2009-11-27 16:10 . 2004-08-04 12:00 11264 ----a-w- c:\windows\system32\msrle32.dll 2009-11-27 16:10 . 2004-08-04 01:03 48128 ----a-w- c:\windows\system32\iyuv_32.dll 2009-11-27 16:10 . 2001-09-06 21:27 8704 ----a-w- c:\windows\system32\tsbyuv.dll 2008-07-06 16:28 . 2008-07-06 16:28 848 --sha-w- c:\windows\system32\KGyGaAvL.sys . ((((((((((((((((((((((((((((((((((((( Reg Opstartpunten ))))))))))))))))))))))))))))))))))))))))))))))))))) . . *Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2008-01-22 152872] "MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2009-07-26 3883856] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Adobe Photo Downloader"="c:\program files\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-09 63712] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792] "Smapp"="c:\program files\Analog Devices\SoundMAX\SMTray.exe" [2003-05-05 143360] "DrvLsnr"="c:\program files\Analog Devices\SoundMAX\DrvLsnr.exe" [2003-05-08 69632] "EPSON Stylus D88 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE" [2005-01-27 98304] "QuickFinder Scheduler"="c:\program files\WordPerfect Office X3\Programs\QFSCHD130.EXE" [2005-11-30 77892] "ISUSPM Startup"="c:\program files\Common Files\InstallShield\UpdateService\isuspm.exe" [2005-08-11 249856] "ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2005-08-11 81920] "igfxtray"="c:\windows\system32\igfxtray.exe" [2005-09-20 94208] "igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-09-20 77824] "igfxpers"="c:\windows\system32\igfxpers.exe" [2005-09-20 114688] "NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2008-05-28 570664] "ClamWin"="c:\program files\ClamWin\bin\ClamTray.exe" [2009-04-14 86016] "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\documents and settings\All Users\Menu Start\Programma's\Opstarten\ Exif Launcher.lnk - c:\program files\FinePixViewer\QuickDCF.exe [2002-1-9 200704] [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 "FirewallOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Program Files\\Messenger\\msmsgs.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"= "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"= . . ------- Bijkomende Scan ------- . uStart Page = about:blank uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8 IE: Open with WordPerfect - c:\program files\WordPerfect Office X3\Programs\WPLauncher.hta TCP: {A1E49CF8-E624-4C4E-AB72-A8D822D20A8B} = 192.168.2.1 DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game13.zylom.com/activex/zylomgamesplayer.cab . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-02-23 15:43 Windows 5.1.2600 Service Pack 3 NTFS scannen van verborgen processen ... scannen van verborgen autostart items ... scannen van verborgen bestanden ... Scan succesvol afgerond verborgen bestanden: 0 ************************************************************************** . --------------------- DLLs Geladen Onder Lopende Processen --------------------- - - - - - - - > 'explorer.exe'(3236) c:\program files\Common Files\Ahead\Lib\NeroSearchBar.dll c:\program files\Common Files\Ahead\Lib\MFC71U.DLL c:\program files\Common Files\Ahead\Lib\BCGCBPRO860un71.dll c:\windows\system32\webcheck.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . ------------------------ Andere Aktieve Processen ------------------------ . c:\program files\Java\jre6\bin\jqs.exe c:\program files\Common Files\LightScribe\LSSrvc.exe c:\windows\system32\IoctlSvc.exe c:\program files\Analog Devices\SoundMAX\SMAgent.exe c:\program files\Canon\CAL\CALMAIN.exe c:\program files\Common Files\Ahead\Lib\NMIndexingService.exe c:\program files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe . ************************************************************************** . Voltooingstijd: 2010-02-23 15:49:37 - machine werd herstart ComboFix-quarantined-files.txt 2010-02-23 14:49 ComboFix2.txt 2009-03-29 10:54 ComboFix3.txt 2009-03-29 09:42 Pre-Run: 18.756.718.592 bytes beschikbaar Post-Run: 22.292.193.280 bytes beschikbaar - - End Of File - - D59689FF19A5B6B4CA578A4932667002 volgende is de hjt log
  • Logfile of Trend Micro HijackThis v2.0.3 (BETA) Scan saved at 15:53:33, on 23-2-2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Java\jre6\bin\jqs.exe C:\Program Files\Common Files\LightScribe\LSSrvc.exe C:\WINDOWS\system32\IoctlSvc.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Canon\CAL\CALMAIN.exe C:\Program Files\Analog Devices\SoundMAX\SMTray.exe C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\Program Files\ClamWin\bin\ClamTray.exe C:\Program Files\Java\jre6\bin\jusched.exe C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe C:\Program Files\FinePixViewer\QuickDCF.exe C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\msiexec.exe C:\Program Files\TrendMicro\HiJackThis\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Windows Live Aanmelden - Help - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe O4 - HKLM\..\Run: [DrvLsnr] C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe O4 - HKLM\..\Run: [EPSON Stylus D88 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE /P23 "EPSON Stylus D88 Series" /O6 "USB001" /M "Stylus D88" O4 - HKLM\..\Run: [QuickFinder Scheduler] "C:\Program Files\WordPerfect Office X3\Programs\QFSCHD130.EXE" O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\isuspm.exe" -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [ClamWin] "C:\Program Files\ClamWin\bin\ClamTray.exe" --logon O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Exif Launcher.lnk = C:\Program Files\FinePixViewer\QuickDCF.exe O8 - Extra context menu item: Open with WordPerfect - C:\Program Files\WordPerfect Office X3\Programs\WPLauncher.hta O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game13.zylom.com/activex/zylomgamesplayer.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{A1E49CF8-E624-4C4E-AB72-A8D822D20A8B}: NameServer = 192.168.2.1 O22 - SharedTaskScheduler: Preloader van browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Cache-daemon voor onderdeelcategorieën - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe -- End of file - 6728 bytes hopelijk komt er wat uit gr arie
  • Hallo Sjouwer, je bent een echte doe hetzelver dus! Het gebruik uit eigener beweging van Combofix wordt ten zeerste afgeraden! Combofix wordt via veel sites aangeboden, er zijn er echter maar twee waar de aktuele versie gedownload kan worden. Het gebruik van Combofix, gedownload via een niet officële link houdt in, dat het het daaropvolgende gebruik van Combofix niet zonder gevaar is! Temeer, zodra er problemen zijn met Combofix, het tool tijdelijk niet te verkrijgen is via de officiële links. 1) download [url=http://oldtimer.geekstogo.com/TFC.exe][b:7827c22025]TFC[/b:7827c22025] (klick)[/url] naar je bureaublad. • Klik/dubbelklik op [b:7827c22025]TFC.exe[/b:7827c22025] om het programma te starten. • Niet schrikken - het tool sluit alle lopende programma's - ergo: verzeker je dus ervan, dat je werk al is opgeslagen! • Vervolgens klik je op de knop [b:7827c22025]Start[/b:7827c22025] om de scan te starten. Deze scan kan kort of langer duren, wees geduldig en laat TFC zijn taak doen en wacht to TFC klaaar is. • Indien TFC klaar is, dan komt de melding dat de computer opnieu opgestart wordt. • Gebeurt het afsluiten niet automatisch, start dan zelf de computer opnieuw op. 2) download [url=http://download.bleepingcomputer.com/sUBs/dds.scr][b:7827c22025][color=darkblue:7827c22025]DDS.scr[/b:7827c22025] (klik)[/color:7827c22025][/url] naar je bureaublad. • dds.scr dubbelklikken (Vista/Win 7 gebruikers doen dit via rechtsklik en kiezen voor Als Administrator uitvoeren) - wacht tot de scan klaar is. • Na de scan worden twee tekstdocumnenten geopend - post de inhoud van beide DDS-logs (maar schakel eerst in kladblok via Opmaak de Automatische terugloop uit!).
  • combofix is van de originele site afkomstig hoefde er niks van de hjt log weg gr arie
  • dds txt DDS (Ver_09-12-01.01) - NTFSx86 Run by PETRONELLA at 6:43:39,76 on wo 24-02-2010 Internet Explorer: 8.0.6001.18702 Microsoft Windows XP Home Edition 5.1.2600.3.1252.31.1043.18.503.228 [GMT 1:00] ============== Running Processes =============== C:\WINDOWS\system32\svchost -k DcomLaunch svchost.exe C:\WINDOWS\System32\svchost.exe -k netsvcs svchost.exe svchost.exe C:\WINDOWS\system32\spoolsv.exe svchost.exe C:\Program Files\Java\jre6\bin\jqs.exe C:\Program Files\Common Files\LightScribe\LSSrvc.exe C:\WINDOWS\system32\IoctlSvc.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\svchost.exe -k imgsvc C:\WINDOWS\system32\wuauclt.exe C:\Program Files\Canon\CAL\CALMAIN.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe C:\Program Files\Analog Devices\SoundMAX\SMTray.exe C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\igfxpers.exe C:\Program Files\ClamWin\bin\ClamTray.exe C:\Program Files\Java\jre6\bin\jusched.exe C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe C:\Program Files\FinePixViewer\QuickDCF.exe C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe C:\Program Files\Windows Live\Contacts\wlcomm.exe E:\dds.scr ============== Pseudo HJT Report =============== uStart Page = about:blank uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8 BHO: Adobe PDF Reader Link Helper: {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelper.dll BHO: {5C255C8A-E604-49b4-9D64-90988571CECB} - No File BHO: Windows Live Aanmelden - Help: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\program files\common files\microsoft shared\windows live\WindowsLiveLogin.dll BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\java\jre6\bin\jp2ssv.dll BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\program files\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll uRun: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "c:\program files\common files\ahead\lib\NMBgMonitor.exe" uRun: [MsnMsgr] "c:\program files\windows live\messenger\MsnMsgr.Exe" /background mRun: [Adobe Photo Downloader] "c:\program files\adobe\photoshop album starter edition\3.2\apps\apdproxy.exe" mRun: [Adobe Reader Speed Launcher] "c:\program files\adobe\reader 8.0\reader\Reader_sl.exe" mRun: [Smapp] c:\program files\analog devices\soundmax\SMTray.exe mRun: [DrvLsnr] c:\program files\analog devices\soundmax\DrvLsnr.exe mRun: [EPSON Stylus D88 Series] c:\windows\system32\spool\drivers\w32x86\3\E_FATIABE.EXE /P23 "EPSON Stylus D88 Series" /O6 "USB001" /M "Stylus D88" mRun: [QuickFinder Scheduler] "c:\program files\wordperfect office x3\programs\QFSCHD130.EXE" mRun: [ISUSPM Startup] "c:\program files\common files\installshield\updateservice\isuspm.exe" -startup mRun: [ISUSScheduler] "c:\program files\common files\installshield\updateservice\issch.exe" -start mRun: [igfxtray] c:\windows\system32\igfxtray.exe mRun: [igfxhkcmd] c:\windows\system32\hkcmd.exe mRun: [igfxpers] c:\windows\system32\igfxpers.exe mRun: [NeroFilterCheck] c:\program files\common files\ahead\lib\NeroCheck.exe mRun: [ClamWin] "c:\program files\clamwin\bin\ClamTray.exe" --logon mRun: [SunJavaUpdateSched] "c:\program files\java\jre6\bin\jusched.exe" dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE StartupFolder: c:\docume~1\alluse~1\menust~1\progra~1\opstar~1\exifla~1.lnk - c:\program files\finepixviewer\QuickDCF.exe IE: Open with WordPerfect - c:\program files\wordperfect office x3\programs\WPLauncher.hta IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\program files\messenger\msmsgs.exe DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game13.zylom.com/activex/zylomgamesplayer.cab DPF: {CAFEEFAC-0015-0000-0003-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_03-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab TCP: {A1E49CF8-E624-4C4E-AB72-A8D822D20A8B} = 192.168.2.1 Notify: igfxcui - igfxdev.dll SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll ============= SERVICES / DRIVERS =============== =============== Created Last 30 ================ 2010-02-23 14:52:44 0 d-----w- c:\program files\TrendMicro 2010-02-23 14:40:05 50688 ----a-w- c:\windows\system32\proquota.exe 2010-02-23 14:33:07 77312 ----a-w- c:\windows\MBR.exe 2010-02-23 14:33:07 261632 ----a-w- c:\windows\PEV.exe 2010-02-23 14:31:55 399872 ----a-w- c:\windows\system32\CF23412.exe 2010-02-23 11:26:48 19160 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-02-23 11:26:45 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-02-23 11:26:44 0 d-----w- c:\program files\Malwarebytes' Anti-Malware 2010-02-16 21:24:04 0 d-----w- c:\docume~1\alluse~1\applic~1\Alawar Stargaze 2010-02-16 18:26:10 0 d-----w- c:\docume~1\petron~1\applic~1\Merscom 2010-02-16 18:26:10 0 d-----w- c:\docume~1\alluse~1\applic~1\Merscom 2010-02-08 20:45:40 0 d-----w- c:\windows\system32\lcl 2010-01-28 21:27:25 0 d-----w- c:\docume~1\petron~1\applic~1\My Games 2010-01-26 20:37:13 0 d-----w- c:\docume~1\petron~1\applic~1\GamesCafe ==================== Find3M ==================== 2009-12-31 16:50:03 353792 ----a-w- c:\windows\system32\drivers\srv.sys 2009-12-21 19:10:30 916480 ------w- c:\windows\system32\wininet.dll 2009-12-17 07:42:53 345600 ----a-w- c:\windows\system32\mspaint.exe 2009-12-14 07:10:21 33280 ----a-w- c:\windows\system32\csrsrv.dll 2009-12-09 10:11:59 2193536 ------w- c:\windows\system32\ntoskrnl.exe 2009-12-09 10:11:59 2070400 ------w- c:\windows\system32\ntkrnlpa.exe 2009-12-09 05:40:54 86256 ----a-w- c:\windows\system32\perfc013.dat 2009-12-09 05:40:54 499226 ----a-w- c:\windows\system32\perfh013.dat 2009-11-27 17:14:13 1295872 ----a-w- c:\windows\system32\quartz.dll 2009-11-27 17:14:12 17920 ----a-w- c:\windows\system32\msyuv.dll 2009-11-27 16:10:19 8704 ----a-w- c:\windows\system32\tsbyuv.dll 2009-11-27 16:10:19 85504 ----a-w- c:\windows\system32\avifil32.dll 2009-11-27 16:10:19 48128 ----a-w- c:\windows\system32\iyuv_32.dll 2009-11-27 16:10:19 28672 ----a-w- c:\windows\system32\msvidc32.dll 2009-11-27 16:10:19 11264 ----a-w- c:\windows\system32\msrle32.dll 2008-07-06 16:28:31 848 --sha-w- c:\windows\system32\KGyGaAvL.sys 2008-02-11 09:55:24 16384 --sha-w- c:\windows\system32\config\systemprofile\local settings\application data\microsoft\feeds cache\index.dat 2008-07-09 09:43:06 32768 --sha-w- c:\windows\system32\config\systemprofile\local settings\geschiedenis\history.ie5\mshist012008063020080707\index.dat 2008-07-09 09:43:06 32768 --sha-w- c:\windows\system32\config\systemprofile\local settings\geschiedenis\history.ie5\mshist012008070920080710\index.dat ============= FINISH: 6:44:09,75 =============== van tfc heb ik geen log kunnen vinden
  • en attach txt UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG. IF REQUESTED, ZIP IT UP & ATTACH IT DDS (Ver_09-12-01.01) Microsoft Windows XP Home Edition Boot Device: \Device\HarddiskVolume1 Install Date: 6-7-2008 9:49:02 System Uptime: 24-2-2010 6:39:46 (0 hours ago) Motherboard: Hewlett-Packard | | 085Ch Processor: Intel(R) Pentium(R) 4 CPU 2.80GHz | XU1 PROCESSOR | 2793/533mhz ==== Disk Partitions ========================= A: is Removable C: is FIXED (NTFS) - 37 GiB total, 20,859 GiB free. D: is CDROM () E: is Removable ==== Disabled Device Manager Items ============= ==== System Restore Points =================== RP205: 26-11-2009 6:52:29 - Controlepunt van systeem RP206: 28-11-2009 7:30:09 - Controlepunt van systeem RP207: 29-11-2009 8:03:55 - Controlepunt van systeem RP208: 30-11-2009 12:25:11 - Controlepunt van systeem RP209: 1-12-2009 12:26:05 - Controlepunt van systeem RP210: 2-12-2009 14:53:08 - Controlepunt van systeem RP211: 3-12-2009 15:47:26 - Controlepunt van systeem RP212: 4-12-2009 16:27:30 - Controlepunt van systeem RP213: 5-12-2009 17:46:43 - Controlepunt van systeem RP214: 6-12-2009 17:54:24 - Controlepunt van systeem RP215: 7-12-2009 18:51:50 - Controlepunt van systeem RP216: 8-12-2009 19:24:19 - Controlepunt van systeem RP217: 9-12-2009 6:33:42 - Software Distribution Service 3.0 RP218: 10-12-2009 17:19:41 - Controlepunt van systeem RP219: 12-12-2009 7:36:22 - Controlepunt van systeem RP220: 13-12-2009 8:34:34 - Controlepunt van systeem RP221: 14-12-2009 9:25:46 - Controlepunt van systeem RP222: 15-12-2009 11:48:36 - Controlepunt van systeem RP223: 16-12-2009 16:40:24 - Controlepunt van systeem RP224: 17-12-2009 18:43:53 - Controlepunt van systeem RP225: 18-12-2009 19:52:43 - Controlepunt van systeem RP226: 20-12-2009 8:02:13 - Controlepunt van systeem RP227: 21-12-2009 10:34:24 - Controlepunt van systeem RP228: 22-12-2009 11:08:42 - Controlepunt van systeem RP229: 23-12-2009 12:11:07 - Controlepunt van systeem RP230: 24-12-2009 15:06:41 - Controlepunt van systeem RP231: 27-12-2009 16:19:57 - Controlepunt van systeem RP232: 28-12-2009 17:18:09 - Controlepunt van systeem RP233: 29-12-2009 17:54:56 - Controlepunt van systeem RP234: 30-12-2009 18:22:51 - Controlepunt van systeem RP235: 1-1-2010 8:18:09 - Controlepunt van systeem RP236: 2-1-2010 18:48:16 - Controlepunt van systeem RP237: 4-1-2010 6:20:18 - Controlepunt van systeem RP238: 5-1-2010 13:03:10 - Controlepunt van systeem RP239: 6-1-2010 17:56:56 - Controlepunt van systeem RP240: 7-1-2010 19:09:08 - Controlepunt van systeem RP241: 8-1-2010 19:23:37 - Controlepunt van systeem RP242: 10-1-2010 9:18:19 - Controlepunt van systeem RP243: 11-1-2010 9:29:34 - Controlepunt van systeem RP244: 12-1-2010 12:31:43 - Controlepunt van systeem RP245: 13-1-2010 6:37:06 - Software Distribution Service 3.0 RP246: 14-1-2010 14:20:16 - Controlepunt van systeem RP247: 15-1-2010 17:01:47 - Controlepunt van systeem RP248: 17-1-2010 7:31:06 - Controlepunt van systeem RP249: 18-1-2010 8:12:36 - Controlepunt van systeem RP250: 19-1-2010 17:42:56 - Controlepunt van systeem RP251: 20-1-2010 7:01:31 - Software Distribution Service 3.0 RP252: 21-1-2010 7:06:45 - Controlepunt van systeem RP253: 22-1-2010 6:16:26 - Software Distribution Service 3.0 RP254: 23-1-2010 6:32:37 - Controlepunt van systeem RP255: 24-1-2010 13:29:22 - Controlepunt van systeem RP256: 25-1-2010 13:47:48 - Controlepunt van systeem RP257: 26-1-2010 20:26:05 - Controlepunt van systeem RP258: 28-1-2010 6:33:52 - Controlepunt van systeem RP259: 29-1-2010 18:09:35 - Controlepunt van systeem RP260: 30-1-2010 18:31:36 - Controlepunt van systeem RP261: 1-2-2010 6:37:51 - Controlepunt van systeem RP262: 2-2-2010 6:44:55 - Controlepunt van systeem RP263: 3-2-2010 12:01:30 - Controlepunt van systeem RP264: 4-2-2010 18:10:58 - Controlepunt van systeem RP265: 5-2-2010 19:23:43 - Controlepunt van systeem RP266: 7-2-2010 9:54:18 - Controlepunt van systeem RP267: 8-2-2010 10:23:25 - Controlepunt van systeem RP268: 9-2-2010 11:48:32 - Controlepunt van systeem RP269: 10-2-2010 6:29:45 - Software Distribution Service 3.0 RP270: 11-2-2010 6:34:59 - Controlepunt van systeem RP271: 12-2-2010 17:56:05 - Controlepunt van systeem RP272: 13-2-2010 20:19:01 - Controlepunt van systeem RP273: 15-2-2010 12:44:55 - Controlepunt van systeem RP274: 16-2-2010 15:14:02 - Controlepunt van systeem RP275: 17-2-2010 15:56:46 - Controlepunt van systeem RP276: 19-2-2010 12:08:50 - Controlepunt van systeem RP277: 20-2-2010 19:54:38 - Controlepunt van systeem RP278: 22-2-2010 16:02:18 - Controlepunt van systeem RP279: 23-2-2010 15:52:42 - Installed HiJackThis ==== Installed Programs ====================== Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742) Adobe Flash Player 10 ActiveX Adobe Reader 8.1.2 Adobe Reader 8.1.2 Security Update 1 (KB403742) Adobe® Photoshop® Album Starter Edition 3.2 albelli photo book creator Extra Beveiligingsupdate for Windows XP (KB923689) Beveiligingsupdate for Windows XP (KB941569) Beveiligingsupdate voor Windows Internet Explorer 7 (KB938127) Beveiligingsupdate voor Windows Internet Explorer 7 (KB950759) Beveiligingsupdate voor Windows Internet Explorer 7 (KB953838) Beveiligingsupdate voor Windows Internet Explorer 7 (KB956390) Beveiligingsupdate voor Windows Internet Explorer 7 (KB958215) Beveiligingsupdate voor Windows Internet Explorer 7 (KB960714) Beveiligingsupdate voor Windows Internet Explorer 7 (KB961260) Beveiligingsupdate voor Windows Internet Explorer 7 (KB963027) Beveiligingsupdate voor Windows Internet Explorer 8 (KB969897) Beveiligingsupdate voor Windows Internet Explorer 8 (KB971961) Beveiligingsupdate voor Windows Internet Explorer 8 (KB972260) Beveiligingsupdate voor Windows Internet Explorer 8 (KB974455) Beveiligingsupdate voor Windows Internet Explorer 8 (KB976325) Beveiligingsupdate voor Windows Internet Explorer 8 (KB978207) Beveiligingsupdate voor Windows Media Player (KB911564) Beveiligingsupdate voor Windows Media Player (KB952069) Beveiligingsupdate voor Windows Media Player (KB954155) Beveiligingsupdate voor Windows Media Player (KB968816) Beveiligingsupdate voor Windows Media Player (KB973540) Beveiligingsupdate voor Windows Media Player 11 (KB936782) Beveiligingsupdate voor Windows Media Player 11 (KB954154) Beveiligingsupdate voor Windows Media Player 6.4 (KB925398) Beveiligingsupdate voor Windows Media Player 9 (KB936782) Beveiligingsupdate voor Windows XP (KB923561) Beveiligingsupdate voor Windows XP (KB923789) Beveiligingsupdate voor Windows XP (KB938464) Beveiligingsupdate voor Windows XP (KB946648) Beveiligingsupdate voor Windows XP (KB950760) Beveiligingsupdate voor Windows XP (KB950762) Beveiligingsupdate voor Windows XP (KB950974) Beveiligingsupdate voor Windows XP (KB951066) Beveiligingsupdate voor Windows XP (KB951376-v2) Beveiligingsupdate voor Windows XP (KB951698) Beveiligingsupdate voor Windows XP (KB951748) Beveiligingsupdate voor Windows XP (KB952004) Beveiligingsupdate voor Windows XP (KB952954) Beveiligingsupdate voor Windows XP (KB953839) Beveiligingsupdate voor Windows XP (KB954211) Beveiligingsupdate voor Windows XP (KB954459) Beveiligingsupdate voor Windows XP (KB954600) Beveiligingsupdate voor Windows XP (KB955069) Beveiligingsupdate voor Windows XP (KB956391) Beveiligingsupdate voor Windows XP (KB956572) Beveiligingsupdate voor Windows XP (KB956744) Beveiligingsupdate voor Windows XP (KB956802) Beveiligingsupdate voor Windows XP (KB956803) Beveiligingsupdate voor Windows XP (KB956841) Beveiligingsupdate voor Windows XP (KB956844) Beveiligingsupdate voor Windows XP (KB957095) Beveiligingsupdate voor Windows XP (KB957097) Beveiligingsupdate voor Windows XP (KB958644) Beveiligingsupdate voor Windows XP (KB958687) Beveiligingsupdate voor Windows XP (KB958690) Beveiligingsupdate voor Windows XP (KB958869) Beveiligingsupdate voor Windows XP (KB959426) Beveiligingsupdate voor Windows XP (KB960225) Beveiligingsupdate voor Windows XP (KB960715) Beveiligingsupdate voor Windows XP (KB960803) Beveiligingsupdate voor Windows XP (KB960859) Beveiligingsupdate voor Windows XP (KB961371) Beveiligingsupdate voor Windows XP (KB961373) Beveiligingsupdate voor Windows XP (KB961501) Beveiligingsupdate voor Windows XP (KB968537) Beveiligingsupdate voor Windows XP (KB969059) Beveiligingsupdate voor Windows XP (KB969898) Beveiligingsupdate voor Windows XP (KB969947) Beveiligingsupdate voor Windows XP (KB970238) Beveiligingsupdate voor Windows XP (KB970430) Beveiligingsupdate voor Windows XP (KB971468) Beveiligingsupdate voor Windows XP (KB971486) Beveiligingsupdate voor Windows XP (KB971557) Beveiligingsupdate voor Windows XP (KB971633) Beveiligingsupdate voor Windows XP (KB971657) Beveiligingsupdate voor Windows XP (KB972270) Beveiligingsupdate voor Windows XP (KB973346) Beveiligingsupdate voor Windows XP (KB973354) Beveiligingsupdate voor Windows XP (KB973507) Beveiligingsupdate voor Windows XP (KB973525) Beveiligingsupdate voor Windows XP (KB973869) Beveiligingsupdate voor Windows XP (KB973904) Beveiligingsupdate voor Windows XP (KB974112) Beveiligingsupdate voor Windows XP (KB974318) Beveiligingsupdate voor Windows XP (KB974392) Beveiligingsupdate voor Windows XP (KB974571) Beveiligingsupdate voor Windows XP (KB975025) Beveiligingsupdate voor Windows XP (KB975467) Beveiligingsupdate voor Windows XP (KB975560) Beveiligingsupdate voor Windows XP (KB975713) Beveiligingsupdate voor Windows XP (KB977165) Beveiligingsupdate voor Windows XP (KB977914) Beveiligingsupdate voor Windows XP (KB978037) Beveiligingsupdate voor Windows XP (KB978251) Beveiligingsupdate voor Windows XP (KB978262) Beveiligingsupdate voor Windows XP (KB978706) Broadcom Management Programs Broadcom NetXtreme Ethernet Controller Canon Camera Access Library Canon Camera Support Core Library Canon Camera WIA Driver Canon EOS 5D WIA Driver CANON iMAGE GATEWAY Task for ZoomBrowser EX Canon Internet Library for ZoomBrowser EX Canon RAW Image Task for ZoomBrowser EX Canon Utilities CameraWindow Canon Utilities CameraWindow DC_DV 5 for ZoomBrowser EX Canon Utilities CameraWindow DC_DV 6 for ZoomBrowser EX Canon Utilities Digital Photo Professional 3.4 Canon Utilities EOS Utility Canon Utilities MyCamera Canon Utilities Original Data Security Tools Canon Utilities PhotoStitch Canon Utilities Picture Style Editor Canon Utilities RemoteCapture Task for ZoomBrowser EX Canon Utilities WFT-E1/E2/E3 Utility Canon Utilities ZoomBrowser EX Canon ZoomBrowser EX Memory Card Utility ClamWin Free Antivirus 0.95.1 EPSON-printersoftware Essentiële update voor Windows Media Player 11 (KB959772) FinePixViewer Ver.3.2 HiJackThis HijackThis 2.0.2 Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595) Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484) Hotfix for Windows Media Format 11 SDK (KB929399) Hotfix for Windows XP (KB915800-v4) Hotfix for Windows XP (KB954550-v5) Hotfix voor Windows Media Player 11 (KB939683) Hotfix voor Windows XP (KB952287) Hotfix voor Windows XP (KB961118) Hotfix voor Windows XP (KB970653-v3) Hotfix voor Windows XP (KB976098-v2) Huur- en zorgtoeslag 2010 Intel(R) Extreme Graphics 2 Driver J2SE Runtime Environment 5.0 Update 3 Java(TM) 6 Update 17 Java(TM) 6 Update 3 Java(TM) 6 Update 7 Junk Mail filter update LightScribe 1.4.136.1 Malwarebytes' Anti-Malware Microsoft .NET Framework 2.0 Service Pack 2 Microsoft .NET Framework 3.0 Service Pack 2 Microsoft .NET Framework 3.5 SP1 Microsoft Application Error Reporting Microsoft Choice Guard Microsoft Compression Client Pack 1.0 for Windows XP Microsoft Internationalized Domain Names Mitigation APIs Microsoft National Language Support Downlevel APIs Microsoft Office PowerPoint Viewer 2007 (Dutch) Microsoft Silverlight Microsoft User-Mode Driver Framework Feature Pack 1.0 MSVCRT MSXML 4.0 SP2 (KB936181) MSXML 4.0 SP2 (KB954430) MSXML 4.0 SP2 (KB973688) Nero 7 Essentials neroxml OpenOffice.org 2.0 QuickTime Segoe UI SoundMAX The Treasures of Montezuma 2 Deluxe Update for Microsoft .NET Framework 3.5 SP1 (KB963707) Update Manager Update voor Windows Internet Explorer 8 (KB969497) Update voor Windows Internet Explorer 8 (KB976749) Update voor Windows XP (KB951072-v2) Update voor Windows XP (KB951978) Update voor Windows XP (KB955759) Update voor Windows XP (KB955839) Update voor Windows XP (KB961503) Update voor Windows XP (KB967715) Update voor Windows XP (KB968389) Update voor Windows XP (KB971737) Update voor Windows XP (KB973687) Update voor Windows XP (KB973815) WebFldrs XP Windows Genuine Advantage Validation Tool (KB892130) Windows Internet Explorer 7 Windows Internet Explorer 8 Windows Live - Hulpprogramma voor uploaden Windows Live aanmeldhulp Windows Live Call Windows Live Communications Platform Windows Live Essentials Windows Live Mail Windows Live Messenger Windows Media Format 11 runtime Windows Media Player 11 Windows XP Service Pack 3 WinRAR archiver WordPerfect Office X3 ==== End Of File ===========================
  • en een nieuwe hjt log Logfile of Trend Micro HijackThis v2.0.3 (BETA) Scan saved at 6:58:11, on 24-2-2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Java\jre6\bin\jqs.exe C:\Program Files\Common Files\LightScribe\LSSrvc.exe C:\WINDOWS\system32\IoctlSvc.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Canon\CAL\CALMAIN.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe C:\Program Files\Analog Devices\SoundMAX\SMTray.exe C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\Program Files\ClamWin\bin\ClamTray.exe C:\Program Files\Java\jre6\bin\jusched.exe C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe C:\Program Files\FinePixViewer\QuickDCF.exe C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe C:\Program Files\Windows Live\Contacts\wlcomm.exe C:\Program Files\TrendMicro\HiJackThis\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Windows Live Aanmelden - Help - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe O4 - HKLM\..\Run: [DrvLsnr] C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe O4 - HKLM\..\Run: [EPSON Stylus D88 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE /P23 "EPSON Stylus D88 Series" /O6 "USB001" /M "Stylus D88" O4 - HKLM\..\Run: [QuickFinder Scheduler] "C:\Program Files\WordPerfect Office X3\Programs\QFSCHD130.EXE" O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\isuspm.exe" -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [ClamWin] "C:\Program Files\ClamWin\bin\ClamTray.exe" --logon O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Exif Launcher.lnk = C:\Program Files\FinePixViewer\QuickDCF.exe O8 - Extra context menu item: Open with WordPerfect - C:\Program Files\WordPerfect Office X3\Programs\WPLauncher.hta O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game13.zylom.com/activex/zylomgamesplayer.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{A1E49CF8-E624-4C4E-AB72-A8D822D20A8B}: NameServer = 192.168.2.1 O22 - SharedTaskScheduler: Preloader van browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Cache-daemon voor onderdeelcategorieën - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe -- End of file - 6876 bytes
  • Hallo Arie, indien ik niet om een HJT-log vraag, hoef je dit ook echt niet te posten. Een DDS-log is veel uitgebreider! En uit dat DDS-log blijkt, dat je vrouws Windows nog steeds besmet is! Overigens: TFC geeft inderdaad geen log! Wat mij tevens opviel: CLAMWIN is als antivirus geïnstalleert. Dat is nu bepaald niet de beste keus die je kan maken, want CLAMWIN beschikt niet over een aktieve scan! Mijn advies indien je een goede en lichte antivirus in die PC wl hebben: Microsoft Security Essentials! Deïnstalleer overtollige Java runtimes (veiligheidsrisico) Ga naar [b:ec184f6507]Configuratiescherm /Programma’s en onderdelen[/b:ec184f6507] en dan verwijder je [b:ec184f6507] Java SE Runtime Environment (JRE) 6 Update 03 Java SE Runtime Environment (JRE) 6 Update 07 [/b:ec184f6507]. ------------------------------------------------------------------------------------- Open een nieuw kladblok bestand. (Start>Alle programma’s>Bureau-accessoires>Kladblok), kopieer en plak het volgende (vetgedrukte, blauwe tekst) in een leeg venster [b:ec184f6507] [color=darkblue:ec184f6507]File:: c:\windows\PEV.exe Folder:: c:\windows\system32\CF23412.exe[/color:ec184f6507][/b:ec184f6507] Sla dit kladblokbestand op je bureaublad op als [b:ec184f6507]CFScript.txt[/b:ec184f6507]. [b:ec184f6507][COLOR="Red"]Nu eerst de antivirus deaktiveren![/COLOR][/b:ec184f6507] Sleep CFScript.txt in ComboFix.exe [img:ec184f6507]http://home.kpn.nl/~stefsmeenk/CFScript.gif[/img:ec184f6507] Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt. Post het Combofix log dat na het opnieuw starten wordt getoond!
  • kreeg fout melding over pev.exe zou een onderdeel van combofix zijn
  • [img:ee7311f12e]http://www.debraal.nl/combofout.gif[/img:ee7311f12e] en de log ComboFix 10-02-22.07 - PETRONELLA 24-02-2010 12:22:40.4.1 - x86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.31.1043.18.503.285 [GMT 1:00] Gestart vanuit: E:\ComboFix.exe gebruikte Opdracht switches :: E:\CFScript.txt . (((((((((((((((((((( Bestanden Gemaakt van 2010-01-24 to 2010-02-24 )))))))))))))))))))))))))))))) . 2010-02-23 14:52 . 2010-02-23 14:52 388096 ----a-r- c:\documents and settings\PETRONELLA\Application Data\Microsoft\Installer\{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}\HiJackThis.exe 2010-02-23 14:52 . 2010-02-23 14:52 -------- d-----w- c:\program files\TrendMicro 2010-02-23 14:40 . 2008-04-14 17:03 50688 ----a-w- c:\windows\system32\proquota.exe 2010-02-23 14:31 . 2010-02-23 14:31 399872 ----a-w- c:\windows\system32\CF23412.exe 2010-02-23 11:29 . 2010-02-23 11:29 5115823 ----a-w- c:\documents and settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe 2010-02-23 11:26 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-02-23 11:26 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-02-23 11:26 . 2010-02-23 11:29 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware 2010-02-16 21:24 . 2010-02-16 21:24 -------- d-----w- c:\documents and settings\PETRONELLA\Local Settings\Application Data\STARGAZE_IMAGE_CACHE 2010-02-16 21:24 . 2010-02-16 21:24 -------- d-----w- c:\documents and settings\All Users\Application Data\Alawar Stargaze 2010-02-16 18:26 . 2010-02-16 18:26 -------- d-----w- c:\documents and settings\PETRONELLA\Application Data\Merscom 2010-02-16 18:26 . 2010-02-16 18:26 -------- d-----w- c:\documents and settings\All Users\Application Data\Merscom 2010-02-08 20:45 . 2010-02-08 21:26 -------- d-----w- c:\windows\system32\lcl 2010-01-28 21:27 . 2010-01-28 21:27 -------- d-----w- c:\documents and settings\PETRONELLA\Application Data\My Games 2010-01-26 20:37 . 2010-01-26 20:37 -------- d-----w- c:\documents and settings\PETRONELLA\Application Data\GamesCafe . ((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-02-24 11:15 . 2008-02-11 09:05 -------- d-----w- c:\program files\Java 2010-02-16 21:23 . 2008-07-08 09:01 -------- d-----w- c:\documents and settings\PETRONELLA\Application Data\Zylom 2010-02-16 21:23 . 2008-07-08 09:01 -------- d-----w- c:\program files\Zylom Games 2010-01-24 15:56 . 2010-01-24 15:56 -------- d-----w- c:\documents and settings\PETRONELLA\Application Data\Argonyt 2010-01-23 10:35 . 2010-01-23 10:35 -------- d-----w- c:\documents and settings\All Users\Application Data\GameHouse 2010-01-20 06:03 . 2009-07-18 14:14 -------- d-----w- c:\program files\Microsoft Silverlight 2010-01-06 21:29 . 2010-01-06 21:29 -------- d-----w- c:\documents and settings\All Users\Application Data\NeptunesAdve 2010-01-06 12:45 . 2010-01-06 12:44 -------- d-----w- c:\documents and settings\PETRONELLA\Application Data\Zylom 3 Days Zoo Mystery 2009-12-31 16:50 . 2004-08-04 12:00 353792 ----a-w- c:\windows\system32\drivers\srv.sys 2009-12-29 18:06 . 2009-12-29 18:06 -------- d-----w- c:\documents and settings\PETRONELLA\Application Data\GameHousev1002 2009-12-22 18:30 . 2009-11-23 15:01 26 ----a-w- c:\windows\popcinfo.dat 2009-12-21 19:10 . 2004-08-04 12:00 916480 ------w- c:\windows\system32\wininet.dll 2009-12-17 07:42 . 2008-02-11 09:07 345600 ----a-w- c:\windows\system32\mspaint.exe 2009-12-14 07:10 . 2004-08-04 12:00 33280 ----a-w- c:\windows\system32\csrsrv.dll 2009-12-09 10:11 . 2004-08-04 12:00 2193536 ------w- c:\windows\system32\ntoskrnl.exe 2009-12-09 10:11 . 2004-08-04 00:58 2070400 ------w- c:\windows\system32\ntkrnlpa.exe 2009-12-09 05:40 . 2004-08-04 12:00 86256 ----a-w- c:\windows\system32\perfc013.dat 2009-12-09 05:40 . 2004-08-04 12:00 499226 ----a-w- c:\windows\system32\perfh013.dat 2009-12-04 18:22 . 2004-08-04 12:00 455424 ----a-w- c:\windows\system32\drivers\mrxsmb.sys 2009-11-28 15:05 . 2008-07-06 08:04 30432 ----a-w- c:\documents and settings\PETRONELLA\Local Settings\Application Data\GDIPFONTCACHEV1.DAT 2009-11-27 17:14 . 2004-08-04 12:00 1295872 ----a-w- c:\windows\system32\quartz.dll 2009-11-27 17:14 . 2004-08-04 01:03 17920 ----a-w- c:\windows\system32\msyuv.dll 2009-11-27 16:10 . 2004-08-04 12:00 85504 ----a-w- c:\windows\system32\avifil32.dll 2009-11-27 16:10 . 2004-08-04 12:00 28672 ----a-w- c:\windows\system32\msvidc32.dll 2009-11-27 16:10 . 2004-08-04 12:00 11264 ----a-w- c:\windows\system32\msrle32.dll 2009-11-27 16:10 . 2004-08-04 01:03 48128 ----a-w- c:\windows\system32\iyuv_32.dll 2009-11-27 16:10 . 2001-09-06 21:27 8704 ----a-w- c:\windows\system32\tsbyuv.dll 2008-07-06 16:28 . 2008-07-06 16:28 848 --sha-w- c:\windows\system32\KGyGaAvL.sys . ((((((((((((((((((((((((((((((((((((( Reg Opstartpunten ))))))))))))))))))))))))))))))))))))))))))))))))))) . . *Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2008-01-22 152872] "MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2009-07-26 3883856] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Adobe Photo Downloader"="c:\program files\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-09 63712] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792] "Smapp"="c:\program files\Analog Devices\SoundMAX\SMTray.exe" [2003-05-05 143360] "DrvLsnr"="c:\program files\Analog Devices\SoundMAX\DrvLsnr.exe" [2003-05-08 69632] "EPSON Stylus D88 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE" [2005-01-27 98304] "QuickFinder Scheduler"="c:\program files\WordPerfect Office X3\Programs\QFSCHD130.EXE" [2005-11-30 77892] "ISUSPM Startup"="c:\program files\Common Files\InstallShield\UpdateService\isuspm.exe" [2005-08-11 249856] "ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2005-08-11 81920] "igfxtray"="c:\windows\system32\igfxtray.exe" [2005-09-20 94208] "igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-09-20 77824] "igfxpers"="c:\windows\system32\igfxpers.exe" [2005-09-20 114688] "NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2008-05-28 570664] "ClamWin"="c:\program files\ClamWin\bin\ClamTray.exe" [2009-04-14 86016] "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\documents and settings\All Users\Menu Start\Programma's\Opstarten\ Exif Launcher.lnk - c:\program files\FinePixViewer\QuickDCF.exe [2002-1-9 200704] [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 "FirewallOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Program Files\\Messenger\\msmsgs.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"= "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"= . . ------- Bijkomende Scan ------- . uStart Page = about:blank uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8 IE: Open with WordPerfect - c:\program files\WordPerfect Office X3\Programs\WPLauncher.hta TCP: {A1E49CF8-E624-4C4E-AB72-A8D822D20A8B} = 192.168.2.1 DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game13.zylom.com/activex/zylomgamesplayer.cab . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-02-24 12:28 Windows 5.1.2600 Service Pack 3 NTFS scannen van verborgen processen ... scannen van verborgen autostart items ... scannen van verborgen bestanden ... Scan succesvol afgerond verborgen bestanden: 0 ************************************************************************** . --------------------- DLLs Geladen Onder Lopende Processen --------------------- - - - - - - - > 'explorer.exe'(1220) c:\program files\Common Files\Ahead\Lib\NeroSearchBar.dll c:\program files\Common Files\Ahead\Lib\MFC71U.DLL c:\program files\Common Files\Ahead\Lib\BCGCBPRO860un71.dll c:\windows\system32\webcheck.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . Voltooingstijd: 2010-02-24 12:30:41 ComboFix-quarantined-files.txt 2010-02-24 11:30 ComboFix2.txt 2010-02-23 14:49 ComboFix3.txt 2009-03-29 10:54 ComboFix4.txt 2009-03-29 09:42 Pre-Run: 22.481.522.688 bytes beschikbaar Post-Run: 22.444.621.824 bytes beschikbaar - - End Of File - - 935FCFE9EC27FEF7E8D5A24D07674CBB
  • Dn doen we het nog een keer, maar nu met verbeterd script: Open een nieuw kladblok bestand. (Start>Alle programma’s>Bureau-accessoires>Kladblok), kopieer en plak het volgende (vetgedrukte, blauwe tekst) in een leeg venster [b:5865c17ad2] [color=darkblue:5865c17ad2]Folder:: c:\windows\system32\CF23412.exe[/color:5865c17ad2][/b:5865c17ad2] Sla dit kladblokbestand op je bureaublad op als [b:5865c17ad2]CFScript.txt[/b:5865c17ad2]. [b:5865c17ad2][COLOR="Red"]Nu eerst de antivirus deaktiveren![/COLOR][/b:5865c17ad2] Sleep CFScript.txt in ComboFix.exe [img:5865c17ad2]http://home.kpn.nl/~stefsmeenk/CFScript.gif[/img:5865c17ad2] Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt. Post het Combofix log dat na het opnieuw starten wordt getoond!
  • komt ie ComboFix 10-02-22.07 - PETRONELLA 24-02-2010 17:09:30.5.1 - x86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.31.1043.18.503.264 [GMT 1:00] Gestart vanuit: E:\ComboFix.exe gebruikte Opdracht switches :: E:\CFScript.txt . (((((((((((((((((((( Bestanden Gemaakt van 2010-01-24 to 2010-02-24 )))))))))))))))))))))))))))))) . 2010-02-23 14:52 . 2010-02-23 14:52 388096 ----a-r- c:\documents and settings\PETRONELLA\Application Data\Microsoft\Installer\{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}\HiJackThis.exe 2010-02-23 14:52 . 2010-02-23 14:52 -------- d-----w- c:\program files\TrendMicro 2010-02-23 14:40 . 2008-04-14 17:03 50688 ----a-w- c:\windows\system32\proquota.exe 2010-02-23 14:31 . 2010-02-23 14:31 399872 ----a-w- c:\windows\system32\CF23412.exe 2010-02-23 11:29 . 2010-02-23 11:29 5115823 ----a-w- c:\documents and settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe 2010-02-23 11:26 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-02-23 11:26 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-02-23 11:26 . 2010-02-23 11:29 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware 2010-02-16 21:24 . 2010-02-16 21:24 -------- d-----w- c:\documents and settings\PETRONELLA\Local Settings\Application Data\STARGAZE_IMAGE_CACHE 2010-02-16 21:24 . 2010-02-16 21:24 -------- d-----w- c:\documents and settings\All Users\Application Data\Alawar Stargaze 2010-02-16 18:26 . 2010-02-16 18:26 -------- d-----w- c:\documents and settings\PETRONELLA\Application Data\Merscom 2010-02-16 18:26 . 2010-02-16 18:26 -------- d-----w- c:\documents and settings\All Users\Application Data\Merscom 2010-02-08 20:45 . 2010-02-08 21:26 -------- d-----w- c:\windows\system32\lcl 2010-01-28 21:27 . 2010-01-28 21:27 -------- d-----w- c:\documents and settings\PETRONELLA\Application Data\My Games 2010-01-26 20:37 . 2010-01-26 20:37 -------- d-----w- c:\documents and settings\PETRONELLA\Application Data\GamesCafe . ((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-02-24 11:15 . 2008-02-11 09:05 -------- d-----w- c:\program files\Java 2010-02-16 21:23 . 2008-07-08 09:01 -------- d-----w- c:\documents and settings\PETRONELLA\Application Data\Zylom 2010-02-16 21:23 . 2008-07-08 09:01 -------- d-----w- c:\program files\Zylom Games 2010-01-24 15:56 . 2010-01-24 15:56 -------- d-----w- c:\documents and settings\PETRONELLA\Application Data\Argonyt 2010-01-23 10:35 . 2010-01-23 10:35 -------- d-----w- c:\documents and settings\All Users\Application Data\GameHouse 2010-01-20 06:03 . 2009-07-18 14:14 -------- d-----w- c:\program files\Microsoft Silverlight 2010-01-06 21:29 . 2010-01-06 21:29 -------- d-----w- c:\documents and settings\All Users\Application Data\NeptunesAdve 2010-01-06 12:45 . 2010-01-06 12:44 -------- d-----w- c:\documents and settings\PETRONELLA\Application Data\Zylom 3 Days Zoo Mystery 2009-12-31 16:50 . 2004-08-04 12:00 353792 ----a-w- c:\windows\system32\drivers\srv.sys 2009-12-29 18:06 . 2009-12-29 18:06 -------- d-----w- c:\documents and settings\PETRONELLA\Application Data\GameHousev1002 2009-12-22 18:30 . 2009-11-23 15:01 26 ----a-w- c:\windows\popcinfo.dat 2009-12-21 19:10 . 2004-08-04 12:00 916480 ------w- c:\windows\system32\wininet.dll 2009-12-17 07:42 . 2008-02-11 09:07 345600 ----a-w- c:\windows\system32\mspaint.exe 2009-12-14 07:10 . 2004-08-04 12:00 33280 ----a-w- c:\windows\system32\csrsrv.dll 2009-12-09 10:11 . 2004-08-04 12:00 2193536 ------w- c:\windows\system32\ntoskrnl.exe 2009-12-09 10:11 . 2004-08-04 00:58 2070400 ------w- c:\windows\system32\ntkrnlpa.exe 2009-12-09 05:40 . 2004-08-04 12:00 86256 ----a-w- c:\windows\system32\perfc013.dat 2009-12-09 05:40 . 2004-08-04 12:00 499226 ----a-w- c:\windows\system32\perfh013.dat 2009-12-04 18:22 . 2004-08-04 12:00 455424 ----a-w- c:\windows\system32\drivers\mrxsmb.sys 2009-11-28 15:05 . 2008-07-06 08:04 30432 ----a-w- c:\documents and settings\PETRONELLA\Local Settings\Application Data\GDIPFONTCACHEV1.DAT 2009-11-27 17:14 . 2004-08-04 12:00 1295872 ----a-w- c:\windows\system32\quartz.dll 2009-11-27 17:14 . 2004-08-04 01:03 17920 ----a-w- c:\windows\system32\msyuv.dll 2009-11-27 16:10 . 2004-08-04 12:00 85504 ----a-w- c:\windows\system32\avifil32.dll 2009-11-27 16:10 . 2004-08-04 12:00 28672 ----a-w- c:\windows\system32\msvidc32.dll 2009-11-27 16:10 . 2004-08-04 12:00 11264 ----a-w- c:\windows\system32\msrle32.dll 2009-11-27 16:10 . 2004-08-04 01:03 48128 ----a-w- c:\windows\system32\iyuv_32.dll 2009-11-27 16:10 . 2001-09-06 21:27 8704 ----a-w- c:\windows\system32\tsbyuv.dll 2008-07-06 16:28 . 2008-07-06 16:28 848 --sha-w- c:\windows\system32\KGyGaAvL.sys . ((((((((((((((((((((((((((((( SnapShot@2010-02-24_11.28.18 ))))))))))))))))))))))))))))))))))))))))) . + 2010-02-24 16:06 . 2010-02-24 16:06 16384 c:\windows\Temp\Perflib_Perfdata_5b4.dat . ((((((((((((((((((((((((((((((((((((( Reg Opstartpunten ))))))))))))))))))))))))))))))))))))))))))))))))))) . . *Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2008-01-22 152872] "MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2009-07-26 3883856] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Adobe Photo Downloader"="c:\program files\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-09 63712] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792] "Smapp"="c:\program files\Analog Devices\SoundMAX\SMTray.exe" [2003-05-05 143360] "DrvLsnr"="c:\program files\Analog Devices\SoundMAX\DrvLsnr.exe" [2003-05-08 69632] "EPSON Stylus D88 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE" [2005-01-27 98304] "QuickFinder Scheduler"="c:\program files\WordPerfect Office X3\Programs\QFSCHD130.EXE" [2005-11-30 77892] "ISUSPM Startup"="c:\program files\Common Files\InstallShield\UpdateService\isuspm.exe" [2005-08-11 249856] "ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2005-08-11 81920] "igfxtray"="c:\windows\system32\igfxtray.exe" [2005-09-20 94208] "igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-09-20 77824] "igfxpers"="c:\windows\system32\igfxpers.exe" [2005-09-20 114688] "NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2008-05-28 570664] "ClamWin"="c:\program files\ClamWin\bin\ClamTray.exe" [2009-04-14 86016] "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\documents and settings\All Users\Menu Start\Programma's\Opstarten\ Exif Launcher.lnk - c:\program files\FinePixViewer\QuickDCF.exe [2002-1-9 200704] [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 "FirewallOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Program Files\\Messenger\\msmsgs.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"= "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"= . . ------- Bijkomende Scan ------- . uStart Page = about:blank uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8 IE: Open with WordPerfect - c:\program files\WordPerfect Office X3\Programs\WPLauncher.hta TCP: {A1E49CF8-E624-4C4E-AB72-A8D822D20A8B} = 192.168.2.1 DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game13.zylom.com/activex/zylomgamesplayer.cab . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-02-24 17:15 Windows 5.1.2600 Service Pack 3 NTFS scannen van verborgen processen ... scannen van verborgen autostart items ... scannen van verborgen bestanden ... Scan succesvol afgerond verborgen bestanden: 0 ************************************************************************** . --------------------- DLLs Geladen Onder Lopende Processen --------------------- - - - - - - - > 'explorer.exe'(3088) c:\program files\Common Files\Ahead\Lib\NeroSearchBar.dll c:\program files\Common Files\Ahead\Lib\MFC71U.DLL c:\program files\Common Files\Ahead\Lib\BCGCBPRO860un71.dll c:\windows\system32\webcheck.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . Voltooingstijd: 2010-02-24 17:17:57 ComboFix-quarantined-files.txt 2010-02-24 16:17 ComboFix2.txt 2010-02-24 11:30 ComboFix3.txt 2010-02-23 14:49 ComboFix4.txt 2009-03-29 10:54 ComboFix5.txt 2010-02-24 16:08 Pre-Run: 22.448.656.384 bytes beschikbaar Post-Run: 22.411.730.944 bytes beschikbaar - - End Of File - - F48BBC1219E68691CDAB90ED79994A5F
  • Hallo Arie, heb jij Combofix voor de installatie hernoemt naar CF23412.exe?
  • nope zie boven aan Gestart vanuit: E:\ComboFix.exe
  • Hallo Arie - heb je inmiddels al een andere AV geïnstalleerd? Download [url=http://gmer.net/download.php][b:ee4270fe35][color=darkblue:ee4270fe35]GMER[/color:ee4270fe35] (klik)[/b:ee4270fe35] [/url] naar je bureaublad. • Verwijder eerst de internetverbinding en sluit ook alle openstaande vensters. • Deaktiveer vervolgens tijdelijk alle aktiveve beveiligingsprogramma's, zodat deze niet kunnen interferreren met GMER • Klik/dubbelklik (Vista/Win 7 gebruikers doen dit via rechtsklik en kiezen voor Als Administrator uitvoeren) op het gedownloade GMER-bestand, dat een toevallig gekozen naam heeft (bijv. n7gmo46c.exe) en indien gvraagd, toestaan dat de gmer.sys driver geladen mag worden. • Bij opstarten zal GMER openen met de Rootkit/Malware tab en zal een korte automatische scan uitvoeren - doe dan geen andere taken met de computer gedurende de scan! • Indien je nu een waarschuwing krijgt over rootkit activity en gevraagd wordt een volledige scan te doen - dan klik je vervolgens op NO. • Klik nu op de Scan knop. Wanneer je nu een rootkit waarschuwing ziet, dan klik je op OK. • Klik vervolgens op de COPY knop en plak het resultaat in je volgende post. • Sluit GMER af en reaktiveer nu alle gedeaktiveerde beveiligingen. • Indien je een probleem ondervindt om GMER te gebruiken, probeer dit dan in Veilge Modus te doen.
  • de autoscan gaf geen root kit aan
  • gmer heeft niks gevonden
  • Mooi - heb je nog wat gedaan aan de antivirus situatie in je vrouws PC?
  • eerst dit weg je hebt misschien in de log iets van m$ office gemist dan weet je ook hoe ik over die software denk ik vind helaas ubuntu e.d. te moeilijk (en wp werkt daar niet op) vandaar nog windhoos als besturings systeem

Beantwoord deze vraag

Weet jij het antwoord op deze vraag? Registreer of meld je aan met je account

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.