Vraag & Antwoord

Beveiliging & privacy

Wie wil deze hijack ed. nalopen deel 2?

24 antwoorden
  • [color=blue:2c353ed5a6]Hallo, Aangezien de andere pc up and running is.... zoals al gezegd zou ik nog en hijack log file plaatsen. Heb ook de MBAM logfile erbij gedaan. Deze PC is volgens mij (redelijk) schoon maar is wel ontzettend langzaam. [/color:2c353ed5a6] De hijackfile: Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 22:01:24, on 21-3-2011 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\PROGRA~1\AVG\AVG10\avgchsvx.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\sm56hlpr.exe C:\Program Files\AVG\AVG10\avgtray.exe C:\WINDOWS\RTHDCPL.EXE C:\Program Files\Common Files\Java\Java Update\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\AVG\AVG10\avgwdsvc.exe C:\Program Files\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\o2flash.exe C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe C:\Program Files\AVG\AVG10\Identity Protection\agent\bin\avgidsmonitor.exe C:\Program Files\AVG\AVG10\Identity Protection\Agent\Bin\AVGIDSAgent.exe C:\Program Files\AVG\AVG10\avgnsx.exe C:\Program Files\ATI Technologies\ATI.ACE\cli.exe C:\Program Files\ATI Technologies\ATI.ACE\cli.exe C:\PROGRA~1\AVG\AVG10\avgrsx.exe C:\Program Files\AVG\AVG10\avgcsrvx.exe F:\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen R3 - URLSearchHook: Messenger Plus Live Netherlands Toolbar - {d2ab2732-a124-4fb2-8da5-4a6a9e379331} - C:\Program Files\Messenger_Plus_Live_Netherlands\prxtbMes2.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG10\avgssie.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll O2 - BHO: Windows Live Aanmelden - Help - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files\AVG\AVG10\Toolbar\IEToolbar.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.5.5126.1836\swg.dll O2 - BHO: Messenger Plus Live Netherlands - {d2ab2732-a124-4fb2-8da5-4a6a9e379331} - C:\Program Files\Messenger_Plus_Live_Netherlands\prxtbMes2.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll O3 - Toolbar: Messenger Plus Live Netherlands Toolbar - {d2ab2732-a124-4fb2-8da5-4a6a9e379331} - C:\Program Files\Messenger_Plus_Live_Netherlands\prxtbMes2.dll O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Program Files\AVG\AVG10\Toolbar\IEToolbar.dll O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [AVG_TRAY] C:\Program Files\AVG\AVG10\avgtray.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Lokale service') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Netwerkservice') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1295215310944 O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab O18 - Protocol: avgsecuritytoolbar - {F2DDE6B2-9684-4A55-86D4-E255E237B77C} - C:\Program Files\AVG\AVG10\Toolbar\IEToolbar.dll O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG10\avgpp.dll O22 - SharedTaskScheduler: Preloader van browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Cache-daemon voor onderdeelcategorieën - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: AVG Security Toolbar Service - Unknown owner - C:\Program Files\AVG\AVG10\Toolbar\ToolbarBroker.exe O23 - Service: AVGIDSAgent - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG10\Identity Protection\Agent\Bin\AVGIDSAgent.exe O23 - Service: AVG WatchDog (avgwd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG10\avgwdsvc.exe O23 - Service: Google Updateservice (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe O23 - Service: O2Micro Flash Memory (O2Flash) - Unknown owner - C:\WINDOWS\system32\o2flash.exe -- End of file - 8373 bytes [color=darkblue:2c353ed5a6]Hierbij het MBAM filetje[/color:2c353ed5a6] Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Databaseversie: 6113 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 21-3-2011 1:20:10 mbam-log-2011-03-21 (01-20-10).txt Scantype: Volledige scan (C:\|) Objecten gescand: 221623 Verstreken tijd: 2 uur/uren, 28 minuut/minuten, 17 seconde(n) Geheugenprocessen geïnfecteerd: 0 Geheugenmodulen geïnfecteerd: 0 Registersleutels geïnfecteerd: 0 Registerwaarden geïnfecteerd: 0 Registerdata geïnfecteerd: 0 Mappen geïnfecteerd: 0 Bestanden geïnfecteerd: 0 Geheugenprocessen geïnfecteerd: (Geen kwaadaardige objecten gedetecteerd) Geheugenmodulen geïnfecteerd: (Geen kwaadaardige objecten gedetecteerd) Registersleutels geïnfecteerd: (Geen kwaadaardige objecten gedetecteerd) Registerwaarden geïnfecteerd: (Geen kwaadaardige objecten gedetecteerd) Registerdata geïnfecteerd: (Geen kwaadaardige objecten gedetecteerd) Mappen geïnfecteerd: (Geen kwaadaardige objecten gedetecteerd) Bestanden geïnfecteerd: (Geen kwaadaardige objecten gedetecteerd) [color=blue:2c353ed5a6]Ik hoor het graag. Groeten Willem[/color:2c353ed5a6]
  • Hoi Willem, het log op zich ziet er goed uit! Maar: Messenger Plus is geïnstalleerd. Met als gevolg dat Conduit nu aktief is (Messenger Plus werkt daarmee). Conduit is trackware, dat betekent dat wat op internet bezocht wordt, doorgegeven kan worden! Doe ook dit: een test, om te kijken hoe je huidige veiligheidssituatie is. Download naar je bureaublad [url=http://screen317.spywareinfoforum.org/SecurityCheck.exe][b:c67548ae0b][color=darkblue:c67548ae0b]Security Check[/color:c67548ae0b][/b:c67548ae0b] (klik)[/url]. • Klik/dubbelklik op [b:c67548ae0b]SecurityCheck.exe[/b:c67548ae0b] en let op de instrukties in het zwarte vesnter. • Een Kladblok document genaamd [b:c67548ae0b]checkup.txt[/b:c67548ae0b] dient automatisch open te gaan; sluit dit document via opslaan op het bureaublad. Indien een van je veiligheidstools rapporteert, dat DIG.EXE het internet op wil, sta dit dan toe. Post de inhoud van [b:c67548ae0b]checkup.txt [/b:c67548ae0b]in je volgende post
  • Hallo, het heeft even geduurd maar soms heb je van die weken.... bij deze het checkup-filetje Results of screen317's Security Check version 0.99.10 Windows XP Service Pack 3 Internet Explorer 8 [b:a78dd13955]`````````````````````````````` [u:a78dd13955]Antivirus/Firewall Check:[/u:a78dd13955][/b:a78dd13955] AVG 2011 [b:a78dd13955]``````````````````````````````` [u:a78dd13955]Anti-malware/Other Utilities Check:[/u:a78dd13955][/b:a78dd13955] MVPS Hosts File Malwarebytes' Anti-Malware Java(TM) 6 Update 24 Adobe Flash Player Adobe Reader 9.4.3 - Nederlands [color=red:a78dd13955][b:a78dd13955]Out of date Adobe Reader installed![/b:a78dd13955][/color:a78dd13955] [b:a78dd13955]```````````````````````````````` Process Check: [u:a78dd13955]objlist.exe by Laurent[/u:a78dd13955][/b:a78dd13955] AVG avgwdsvc.exe AVG avgtray.exe AVG avgrsx.exe AVG avgnsx.exe AVG avgemc.exe [b:a78dd13955]``````````End of Log````````````[/b:a78dd13955] ik hoor graag van je. groeten Willem
  • Hoi Willem, zoals het log aangeeft is de Adobe Reader in jouw Windos out of date. Adobe heeft nmelijk al een poosje terug de Reader veiliger gemaakt - deze start in de versie X nu op in een veituele omgeving! Dus deïnstalleere de oude versie eerst en dan ga je naar http://get.adobe.com/nl/reader/ Na installatie de Reader opstarten, akkoord gaan met de voorwaarden. Vervolgens klik in de menubalk op Help - Zoek naar updates. Er zal een update gemeld worden, start deze. Sluit de Reader en let vervolgens op de meldingen in de systray!
  • Hallo, ondertussen heb ik de reader vervangen door de x versie. Maar de snelheid houd nog te wensen over bij taakbeheer staat volgende: 41 bestanden fysiek geheugen 456808 waarvan beschikbaar 31000 (ongeveer) bij niets doen bij flagen 66 -100/5 CPU gebruik 457 / 1421 MB kernelgeheugen is daar nog wat aan te doen? ik hoor het graag. groeten Willem
  • Hoi Willem, omdat je berichtgeving momenteel ook bij vlagen gaat, wil ik graag dat je nu eerst weer een nieuw HijackThis-log gaat posten!
  • Hallo, ja is goed. Ik zal proberen het weer wat sneller te doen. ik ga eerst weer hijacken. bedankt groeten Willem
  • Hallo, bij deze mijn hijacklogfile: Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 0:10:58, on 6-4-2011 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\PROGRA~1\AVG\AVG10\avgchsvx.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\AVG\AVG10\avgwdsvc.exe C:\Program Files\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\o2flash.exe C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe C:\Program Files\ATI Technologies\ATI.ACE\cli.exe C:\Program Files\AVG\AVG10\Identity Protection\Agent\Bin\AVGIDSAgent.exe C:\WINDOWS\sm56hlpr.exe C:\Program Files\AVG\AVG10\avgtray.exe C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\system32\ctfmon.exe C:\Program Files\AVG\AVG10\Identity Protection\agent\bin\avgidsmonitor.exe C:\Program Files\AVG\AVG10\avgnsx.exe C:\Program Files\ATI Technologies\ATI.ACE\cli.exe C:\Program Files\ATI Technologies\ATI.ACE\cli.exe C:\PROGRA~1\AVG\AVG10\avgrsx.exe C:\Program Files\AVG\AVG10\avgcsrvx.exe C:\WINDOWS\system32\wuauclt.exe C:\dump\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG10\avgssie.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll O2 - BHO: Windows Live Aanmelden - Help - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files\AVG\AVG10\Toolbar\IEToolbar.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.5.5126.1836\swg.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Program Files\AVG\AVG10\Toolbar\IEToolbar.dll O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe O4 - HKLM\..\Run: [AVG_TRAY] C:\Program Files\AVG\AVG10\avgtray.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre6\bin\jusched.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 10.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Lokale service') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Netwerkservice') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1295215310944 O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab O18 - Protocol: avgsecuritytoolbar - {F2DDE6B2-9684-4A55-86D4-E255E237B77C} - C:\Program Files\AVG\AVG10\Toolbar\IEToolbar.dll O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG10\avgpp.dll O22 - SharedTaskScheduler: Preloader van browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Cache-daemon voor onderdeelcategorieën - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: AVG Security Toolbar Service - Unknown owner - C:\Program Files\AVG\AVG10\Toolbar\ToolbarBroker.exe O23 - Service: AVGIDSAgent - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG10\Identity Protection\Agent\Bin\AVGIDSAgent.exe O23 - Service: AVG WatchDog (avgwd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG10\avgwdsvc.exe O23 - Service: Google Updateservice (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe O23 - Service: O2Micro Flash Memory (O2Flash) - Unknown owner - C:\WINDOWS\system32\o2flash.exe -- End of file - 7965 bytes ik hoor het graag groeten Willem
  • Hoi Willem, je log ziet er goed uit, wel mag je het volgende doen: sluit alle openstaande webvensters - behalve dit venster, dat je sluit voor het moment, dat je op de knop [b:31d35346d8]Fix checked[/b:31d35346d8] klikt! Start nu HijackThis en klik op de knop [b:31d35346d8]Do a Scan only, O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)[/b:31d35346d8] [list:31d35346d8][*:31d35346d8] zet een vinkje voor die regel(s) welke met de bovenstaande regels corresponderen [*:31d35346d8] Sluit nu de webbrowser en vervolgens klik je daarna op de knop [b:31d35346d8]Fix checked[/b:31d35346d8] [*:31d35346d8] Klik hierna HijackThis op uit.[/list:u:31d35346d8] Verder mag je in IE via Internetopties\Programma's de AVG Wormradar toolbar uitschakelen - dit is enkel een verkapte Yahoo Toolbar! Daarna onderstaande gaan doen: [b:31d35346d8]Welk programma[/b:31d35346d8]: Malwarebytes MBAM [b:31d35346d8]Waarvoor/waarom[/b:31d35346d8]: specialistische scanner om Windows snel te onderzoeken op- en te ontdoen van spy- & malware. [b:31d35346d8]Moeilijkheidsgraad[/b:31d35346d8]: geen. [b:31d35346d8]Download Malwarebytes MBAM via één van deze locaties[/b:31d35346d8]: [list:31d35346d8] [*:31d35346d8][url=http://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html?][b:31d35346d8]Download.com[/b:31d35346d8][/url] [*:31d35346d8][url=http://www.softpedia.com/result.php?sid=&pid=1-423&r=Z2V0L0FudGl2aXJ1cy9NYWx3YXJlYnl0ZXMtQW50aS1NYWx3YXJlLnNodG1s][b:31d35346d8]Softpedia.com[/b:31d35346d8][/url][*:31d35346d8][url=http://www.majorgeeks.com/Malwarebytes_Anti-Malware_d5756.html][b:31d35346d8]Majorgeeks.com[/b:31d35346d8][/url][/list:u:31d35346d8] [b:31d35346d8]Allereerst[/b:31d35346d8]:[list:31d35346d8][*:31d35346d8] Al meteen na de installatie wil 'MBAM' zijn database opwaarderen – toestaan dus. [*:31d35346d8] Ook bij herhaald gebruik: eerst 'MBAM' updaten via de tab 'Update'![/list:u:31d35346d8] [b:31d35346d8]Malwarebytes MBAM opstarten[/b:31d35346d8]: Windows 2000 en Windows XP: start MBAM middels dubbelklik op de snelkoppeling. Windows Vista en Windows 7: start MBAM middels rechtsklik op de snelkoppeling en dan kiezen voor Als Administrator uitvoeren. [b:31d35346d8]Scannen[/b:31d35346d8]: [list:31d35346d8][*:31d35346d8] Bij het starten van 'MBAM' kies je voor 'Snelle Scan'. [*:31d35346d8]Het scannen kan een tijdje duren, dus wees geduldig. Indien de scan voltooid is, klik dan op de knop 'OK'. [*:31d35346d8]Klik daarna op de knop 'Bekijk Resultaten' om de resultaten te zien.[/list:u:31d35346d8] [b:31d35346d8]Infecties gevonden[/b:31d35346d8]: [list:31d35346d8][*:31d35346d8]Klik nu eerst op OK om de melding weg te klikken [*:31d35346d8]Klik vervolgens rechtsonder op de knop Bekijk resultaten. [*:31d35346d8]Zorg er nu voor dat alle gevonden infecties aangevinkt zijn, en klik linksonder op Verwijder geselecteerde. [*:31d35346d8]Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. [*:31d35346d8]Indien 'MBAM' moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven – dan telkens op 'OK' klikken! [*:31d35346d8]Daarna zal 'MBAM' vragen om de Computer opnieuw op te starten - dus sta toe dat de computer opnieuw opgestart wordt.[/list:u:31d35346d8] [b:31d35346d8]MBAM-Log[/b:31d35346d8]: [list:31d35346d8][*:31d35346d8] Het log wordt automatisch bewaard door 'MBAM en dat kan je terugvinden door in het hoofdmenu van MBAM op de tab 'Logbestanden' te klikken'.[/list:u:31d35346d8] [b:31d35346d8]Post aansluitend in je volgende bericht de inhoud van het MBAM-log.[/b:31d35346d8]
  • Zo, daar ben ik weer. alles gedaan zoals beschreven en hieronder dan het MBAM logfiletje. Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Databaseversie: 6291 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 7-4-2011 1:04:44 mbam-log-2011-04-07 (01-04-44).txt Scantype: Snelle scan Objecten gescand: 152821 Verstreken tijd: 24 minuut/minuten, 18 seconde(n) Geheugenprocessen geïnfecteerd: 0 Geheugenmodulen geïnfecteerd: 0 Registersleutels geïnfecteerd: 0 Registerwaarden geïnfecteerd: 0 Registerdata geïnfecteerd: 0 Mappen geïnfecteerd: 0 Bestanden geïnfecteerd: 0 Geheugenprocessen geïnfecteerd: (Geen kwaadaardige objecten gedetecteerd) Geheugenmodulen geïnfecteerd: (Geen kwaadaardige objecten gedetecteerd) Registersleutels geïnfecteerd: (Geen kwaadaardige objecten gedetecteerd) Registerwaarden geïnfecteerd: (Geen kwaadaardige objecten gedetecteerd) Registerdata geïnfecteerd: (Geen kwaadaardige objecten gedetecteerd) Mappen geïnfecteerd: (Geen kwaadaardige objecten gedetecteerd) Bestanden geïnfecteerd: (Geen kwaadaardige objecten gedetecteerd) ik hoor graag weer van je groeten Willem
  • Hoi Willem, dan moeten we toch maar een diepere scan gaan doen: [b:72d2a2ff44]Welk programma[/b:72d2a2ff44]: ComboFix [b:72d2a2ff44]Waarvoor/waarom[/b:72d2a2ff44]: Zeer specialistische scanner om Windows diepgaand te onderzoeken en zo mogelijk op te schonen. [b:72d2a2ff44]Moeilijkheidsgraad[/b:72d2a2ff44]: Min of meer lastige voorbereidingsfase, dus lees alles eerst goed. [b:72d2a2ff44]Downloadlokatie[/b:72d2a2ff44]: Dit programma absoluut naar het bureaublad downloaden! [b:72d2a2ff44]Download ComboFix via één van deze locaties[/b:72d2a2ff44]: [list:72d2a2ff44][*:72d2a2ff44][url=http://download.bleepingcomputer.com/sUBs/ComboFix.exe][b:72d2a2ff44]Bleepingcomputer[/b:72d2a2ff44][/url] [*:72d2a2ff44][url=http://www.forospyware.com/sUBs/ComboFix.exe][b:72d2a2ff44]ForoSpyware[/b:72d2a2ff44][/url] [*:72d2a2ff44][url=http://subs.geekstogo.com/ComboFix.exe][b:72d2a2ff44]Geekstogo[/b:72d2a2ff44][/url][/list:u:72d2a2ff44] [url=http://www.bleepingcomputer.com/combofix/nl/hoe-dient-combofix-gebruikt-te-worden][b:72d2a2ff44]Hier[/b:72d2a2ff44][/url] zie je hoe je ComboFix moet gebruiken. Antivirusprogramma en actieve malwarescanners dienen al voor de ComboFix start gedeaktiveert zijn! [url=http://www.bleepingcomputer.com/forums/topic114351.html][b:72d2a2ff44]Hier[/b:72d2a2ff44][/url] en [url=http://www.techsupportforum.com/forums/f50/how-to-disable-your-security-applications-490111.html][b:72d2a2ff44]hier[/b:72d2a2ff44][/url] vindt je gegevens hoe antivirusprogramma's en spywarescanners te deaktiveren. [b:72d2a2ff44]Voor alle duidelijkheid nogmaals[/b:72d2a2ff44]: ComboFix dient vanaf het bureaublad gestart te worden. [b:72d2a2ff44]Opmerkingen[/b:72d2a2ff44]: [list:72d2a2ff44][*:72d2a2ff44] Bij gebruik van Windows XP zal er mogelijk gevraagd worden, om de "Recovery Console" te installeren! Sta dit dan toe (hiervoor is een actieve internet verbinding vereist). [*:72d2a2ff44]Vista- en Windows 7 gebruikers starten Combofix op via rechtsklik met Administratorrechten. [*:72d2a2ff44]Alle openstaande programma's en webpagina's dienen afgesloten te zijn.[/list:u:72d2a2ff44] [b:72d2a2ff44]ComboFix is opgestart[/b:72d2a2ff44]: [list:72d2a2ff44][*:72d2a2ff44]Niet in het zwarte venster klikken, hierdoor kan ComboFix of zelfs Windows geheel "bevriezen"! [*:72d2a2ff44]Combofix sluit tijdens de scan de internet verbinding – probeer deze tussentijds niet te herstellen! [*:72d2a2ff44]Het kan voorkomen dat de computer meerdere malen opnieuw opgestart moet worden, dit is normaal. [*:72d2a2ff44]Wanneer ComboFix gereed is, zal het het een logbestand voor je maken. [*:72d2a2ff44]Post de inhoud van dit logbestand in je volgende bericht. [*:72d2a2ff44]Indien het log niet opstart, is dit terug tevinden in C:\ComboFix.txt[/list:u:72d2a2ff44] [b:72d2a2ff44]Belangrijke opmerking[/b:72d2a2ff44]: [list:72d2a2ff44][*:72d2a2ff44][b:72d2a2ff44][color=Red:72d2a2ff44]Indien na de scan bij het opstarten van programma's er een error wordt getoond met de melding:[/color:72d2a2ff44][/b:72d2a2ff44] [*:72d2a2ff44][b:72d2a2ff44][color=blue:72d2a2ff44]Illegal operation attempted on a registery key that has been marked for deletion.[/color:72d2a2ff44][/b:72d2a2ff44] [*:72d2a2ff44][b:72d2a2ff44][color=Red:72d2a2ff44]Start dan de computer opnieuw op.[/color:72d2a2ff44][/b:72d2a2ff44][/list:u:72d2a2ff44]
  • Hallo, nou ik heb de combofix gedownload op bureaublad. Daarna AVG uitgezet zoals aangegeven.... toen combofix gestart, geupdate, daarna kwam er foutmelding dat avg gedeinstallereerd moest worden en werd combofix afgesloten. Ik heb geprobeerd AVG te deinstalleren....geeft ie foutmelding 0xC0070643. Daarna geprobeerd AVG te repareren, dezelfde fout en daarna via config.scherm en dan software en dan uninstall...ook zelfde fout. Ik kan dus op dit moment geen combofix meer draaien. zucht... of zou dat de vertraging verzorgen? groeten Willem
  • Hoi Willem, het is een vreemde zaak met AVG. De ene keer draait ComboFox normaal als AVG is gedeaktiveerd en de andere keer niet! Wat je nodig hebt is het 32-bit (x86) AVG Removaltool: http://www.avg.com/nl-nl/download-tools En daarna moet ComboFix zonder problemen draaien! Bovendien denk ik, dat je als antivirus het beste daarna Avast 6 neemt!
  • Hallo, Ja ik heb op de andere pc ook avast staan maar ben al eerder aan het "knoeien" geweest om avg te verwijderen. Ik ga het nu met de link doen die jij hebt gegeven. ik begreep dat avast minder belastend was voor je systeem. wordt vervolgd vandaag. groeten Willem
  • Succes ermee.
  • Hallo, nou het is gelukt. AVG is verdwenen en combofix werkt prima. Dus hierbij het logfiletje ComboFix 11-04-08.01 - Hoekstra 09-04-2011 1:06.1.1 - x86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.31.1043.18.446.129 [GMT 2:00] Gestart vanuit: c:\documents and settings\Hoekstra\Bureaublad\ComboFix.exe * Nieuw herstelpunt werd aangemaakt . . (((((((((((((((((((( Bestanden Gemaakt van 2011-03-08 to 2011-04-08 )))))))))))))))))))))))))))))) . . 2011-03-30 21:56 . 2011-03-30 21:57 -------- d-----w- c:\program files\Common Files\Adobe 2011-03-24 23:40 . 2011-03-31 05:39 -------- d-----w- c:\documents and settings\Hoekstra\Local Settings\Application Data\Temp . . ((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2011-03-08 18:40 . 2010-11-29 21:48 0 ----a-w- c:\windows\system32\ConduitEngine.tmp 2011-02-09 13:54 . 2004-08-04 12:00 270848 ----a-w- c:\windows\system32\sbe.dll 2011-02-09 13:54 . 2004-08-04 12:00 186880 ----a-w- c:\windows\system32\encdec.dll 2011-02-02 20:40 . 2010-11-02 23:43 472808 ----a-w- c:\windows\system32\deployJava1.dll 2011-02-02 18:19 . 2010-11-02 23:43 73728 ----a-w- c:\windows\system32\javacpl.cpl 2011-02-02 07:58 . 2010-11-02 20:49 2067456 ----a-w- c:\windows\system32\mstscax.dll 2011-01-27 11:57 . 2010-11-02 20:49 677888 ----a-w- c:\windows\system32\mstsc.exe 2011-01-21 14:44 . 2004-08-04 12:00 441344 ----a-w- c:\windows\system32\shimgvw.dll . . ((((((((((((((((((((((((((((((((((((( Reg Opstartpunten ))))))))))))))))))))))))))))))))))))))))))))))))))) . . *Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond REGEDIT4 . [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-11-03 39408] . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ATICCC"="c:\program files\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056] "SMSERIAL"="sm56hlpr.exe" [2006-01-20 544768] "RTHDCPL"="RTHDCPL.EXE" [2006-04-17 16143872] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 10.0\Reader\Reader_sl.exe" [2011-01-30 35736] "Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-11-15 932288] . [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"= "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"= . R0 O2MDRDR;O2MDRDR;c:\windows\system32\drivers\o2media.sys [27-2-2006 16:00 34880] R0 O2SDRDR;O2SDRDR;c:\windows\system32\drivers\o2sd.sys [20-2-2006 17:01 29056] S2 gupdate;Google Updateservice (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [4-11-2010 0:55 136176] S4 AVGIDSShim;AVGIDSShim;c:\windows\system32\DRIVERS\AVGIDSShim.Sys --> c:\windows\system32\DRIVERS\AVGIDSShim.Sys [?] . Inhoud van de 'Gedeelde Taken' map . 2011-04-08 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\program files\Google\Update\GoogleUpdate.exe [2010-11-03 22:54] . 2011-04-08 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\program files\Google\Update\GoogleUpdate.exe [2010-11-03 22:54] . . ------- Bijkomende Scan ------- . IE: E&xporteren naar Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 Handler: avgsecuritytoolbar - {F2DDE6B2-9684-4A55-86D4-E255E237B77C} - . - - - - ORPHANS VERWIJDERD - - - - . HKLM-Run-SunJavaUpdateSched - c:\program files\Java\jre6\bin\jusched.exe . . . ************************************************************************** . catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2011-04-09 01:17 Windows 5.1.2600 Service Pack 3 NTFS . scannen van verborgen processen ... . scannen van verborgen autostart items ... . scannen van verborgen bestanden ... . Scan succesvol afgerond verborgen bestanden: 0 . ************************************************************************** . --------------------- VERGRENDELDE REGISTER SLEUTELS --------------------- . [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}] @Denied: (A 2) (Everyone) @="FlashBroker" "LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10o_ActiveX.exe,-101" . [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation] "Enabled"=dword:00000001 . [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32] @="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10o_ActiveX.exe" . [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" . [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}] @Denied: (A 2) (Everyone) @="IFlashBroker4" . [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32] @="{00020424-0000-0000-C000-000000000046}" . [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" "Version"="1.0" . [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\¤–}|ÿÿÿÿÀ•}|ù•9~*] "3140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL" . --------------------- DLLs Geladen Onder Lopende Processen --------------------- . - - - - - - - > 'winlogon.exe'(696) c:\windows\system32\Ati2evxx.dll . - - - - - - - > 'explorer.exe'(3764) c:\windows\system32\webcheck.dll . Voltooingstijd: 2011-04-09 01:21:47 ComboFix-quarantined-files.txt 2011-04-08 23:21 . Pre-Run: 64.094.695.424 bytes beschikbaar Post-Run: 64.688.082.944 bytes beschikbaar . WindowsXP-KB310994-SP2-Home-BootDisk-NLD.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons UnsupportedDebug="do not select this" /debug multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect /usepmtimer . - - End Of File - - 2163AAE4A65705CD0E3E5CC9144A738F ik hoor het graag groeten Willem
  • Hoi Willem, je mag het volgende gaan doen: open een nieuw kladblok bestand, via "Start\Alle programma’s\Bureau-accessoires\[b:da13810682]Kladblok[/b:da13810682]". Kopieer en plak de volgende (vetgedrukte, blauwe tekst) in het lege kladblokvenstervenster [b:da13810682][COLOR="Blue"]File:: c:\windows\system32\ConduitEngine.tmp c:\windows\system32\DRIVERS\AVGIDSShim.Sys Driver:: c:\windows\system32\DRIVERS\AVGIDSShim.Sys[/COLOR][/b:da13810682] Sla dit kladblokbestand op je bureaublad op als [b:da13810682]CFScript.txt[/b:da13810682]. [b:da13810682][COLOR="Red"]Nu eerst de antivirus deaktiveren![/COLOR][/b:da13810682] Sleep CFScript.txt in ComboFix.exe [img:da13810682]http://img517.imageshack.us/img517/8662/cfscript10uc2.gif[/img:da13810682] Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt. Post het Combofix log dat na het opnieuw starten wordt getoond!
  • Hallo, nou hierbij even het combofix filetje. ik hoor het graag groeten Willem ComboFix 11-04-09.01 - Hoekstra 10-04-2011 15:34:57.2.1 - x86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.31.1043.18.446.148 [GMT 2:00] Gestart vanuit: c:\documents and settings\Hoekstra\Bureaublad\ComboFix.exe gebruikte Opdracht switches :: c:\documents and settings\Hoekstra\Bureaublad\CFScript.txt * Nieuw herstelpunt werd aangemaakt . FILE :: "c:\windows\system32\ConduitEngine.tmp" "c:\windows\system32\DRIVERS\AVGIDSShim.Sys" . . (((((((((((((((((((((((((((((((((( Andere Verwijderingen ))))))))))))))))))))))))))))))))))))))))))))))))) . . c:\windows\system32\ConduitEngine.tmp . . (((((((((((((((((((( Bestanden Gemaakt van 2011-03-10 to 2011-04-10 )))))))))))))))))))))))))))))) . . 2011-03-30 21:56 . 2011-03-30 21:57 -------- d-----w- c:\program files\Common Files\Adobe 2011-03-24 23:40 . 2011-03-31 05:39 -------- d-----w- c:\documents and settings\Hoekstra\Local Settings\Application Data\Temp . . ((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2011-02-09 13:54 . 2004-08-04 12:00 270848 ----a-w- c:\windows\system32\sbe.dll 2011-02-09 13:54 . 2004-08-04 12:00 186880 ----a-w- c:\windows\system32\encdec.dll 2011-02-02 20:40 . 2010-11-02 23:43 472808 ----a-w- c:\windows\system32\deployJava1.dll 2011-02-02 18:19 . 2010-11-02 23:43 73728 ----a-w- c:\windows\system32\javacpl.cpl 2011-02-02 07:58 . 2010-11-02 20:49 2067456 ----a-w- c:\windows\system32\mstscax.dll 2011-01-27 11:57 . 2010-11-02 20:49 677888 ----a-w- c:\windows\system32\mstsc.exe 2011-01-21 14:44 . 2004-08-04 12:00 441344 ----a-w- c:\windows\system32\shimgvw.dll . . ((((((((((((((((((((((((((((( SnapShot@2011-04-08_23.17.32 ))))))))))))))))))))))))))))))))))))))))) . + 2011-04-10 13:24 . 2011-04-10 13:24 16384 c:\windows\Temp\Perflib_Perfdata_70c.dat . ((((((((((((((((((((((((((((((((((((( Reg Opstartpunten ))))))))))))))))))))))))))))))))))))))))))))))))))) . . *Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond REGEDIT4 . [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-11-03 39408] . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ATICCC"="c:\program files\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056] "SMSERIAL"="sm56hlpr.exe" [2006-01-20 544768] "RTHDCPL"="RTHDCPL.EXE" [2006-04-17 16143872] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 10.0\Reader\Reader_sl.exe" [2011-01-30 35736] "Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-11-15 932288] . [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"= "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"= . R0 O2MDRDR;O2MDRDR;c:\windows\system32\drivers\o2media.sys [27-2-2006 16:00 34880] R0 O2SDRDR;O2SDRDR;c:\windows\system32\drivers\o2sd.sys [20-2-2006 17:01 29056] S2 gupdate;Google Updateservice (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [4-11-2010 0:55 136176] S4 AVGIDSShim;AVGIDSShim;c:\windows\system32\DRIVERS\AVGIDSShim.Sys --> c:\windows\system32\DRIVERS\AVGIDSShim.Sys [?] . Inhoud van de 'Gedeelde Taken' map . 2011-04-10 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\program files\Google\Update\GoogleUpdate.exe [2010-11-03 22:54] . 2011-04-08 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\program files\Google\Update\GoogleUpdate.exe [2010-11-03 22:54] . . ------- Bijkomende Scan ------- . IE: E&xporteren naar Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 Handler: avgsecuritytoolbar - {F2DDE6B2-9684-4A55-86D4-E255E237B77C} - . . ************************************************************************** . catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2011-04-10 15:42 Windows 5.1.2600 Service Pack 3 NTFS . scannen van verborgen processen ... . scannen van verborgen autostart items ... . scannen van verborgen bestanden ... . Scan succesvol afgerond verborgen bestanden: 0 . ************************************************************************** . --------------------- VERGRENDELDE REGISTER SLEUTELS --------------------- . [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}] @Denied: (A 2) (Everyone) @="FlashBroker" "LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10o_ActiveX.exe,-101" . [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation] "Enabled"=dword:00000001 . [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32] @="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10o_ActiveX.exe" . [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" . [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}] @Denied: (A 2) (Everyone) @="IFlashBroker4" . [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32] @="{00020424-0000-0000-C000-000000000046}" . [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" "Version"="1.0" . [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\¤–}|ÿÿÿÿÀ•}|ù•9~*] "3140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL" . --------------------- DLLs Geladen Onder Lopende Processen --------------------- . - - - - - - - > 'winlogon.exe'(696) c:\windows\system32\Ati2evxx.dll . Voltooingstijd: 2011-04-10 15:45:29 ComboFix-quarantined-files.txt 2011-04-10 13:45 ComboFix2.txt 2011-04-08 23:21 . Pre-Run: 64.674.164.736 bytes beschikbaar Post-Run: 64.657.326.080 bytes beschikbaar . - - End Of File - - 4CAFB32FFE6837E7BCB158BA2B449E9C
  • Hoi Willem, hoe gaat het ondertussen met die PC?
  • Hallo, het lijkt dat het beter geworden is. Ik kijk het even een aantal dagen aan, om alle programmas te proberen. Het systeem is nu beveiligd met Avast. zo op het eerste gezicht met internet is het systeem zeker sneller. bedankt voor alle moeite. groeten Willem

Beantwoord deze vraag

Weet jij het antwoord op deze vraag? Registreer of meld je aan met je account

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.