Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

Zou iemand even naar deze Hijactlog willen kijken?

Anoniem
perloc
49 antwoorden
  • Reparatie comp. Deed niets meer. Bootscherm vertoonde dat het keyboard niet werd gezien.
    Usb Keyboard gekocht, computer startte op maar was zéér traag!
    Bovendien bleek ook de muis niet te werken.
    Ik heb achereenvolgens MBAM (def files gedownload), Avast, uptodate, controleerde ondertussen ook en de Internet virusscanner ESET erop los gelaten. Bij elkaar, zijn er zo'n 150 malware items uitgehaald!!
    Computer weer een reboot en blijft hangen op een Windows password. Dat is nieuw, want tevoren startte de computer gewoon op. De eigenares zegt nooit een password te hebben gebruikt!!
    De user name staat wel in het Windows login venster
    Ik heb Ophcrack gedownload en die zou automatisch -volgens een webside- het password moeten kraken. Maar bij opstarten gebeurde er niets. Verder heb ik PC Logon Now V2.0 erop los gelaten, die meldde dat hij het loginverster had gedelete, maar noppes, het komt gelijk weer terug.
    Ik heb het sterke vermoeden dat er nog malware actief is. Heb de schijf in mijn computer gehangen en hier volgt een Hijctlog file van het geheel.
    Zou iemand zo vriendelijk willen zijn er naar te kijken?
    Ik zie alleen maar de C: drive. Kijkt Hijacthis ook verder, naar de andere schijf, drive H: die het probleem geeft?

    Logfile of Trend Micro HijackThis v2.0.4
    Scan saved at 08:01:15, on 20/10/2011
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v8.00 (8.00.6001.18702)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\AVAST Software\Avast\AvastSvc.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\AVAST Software\Avast\avastUI.exe
    C:\WINDOWS\system32\RunDll32.exe
    C:\WINDOWS\system32\igfxtray.exe
    C:\WINDOWS\system32\hkcmd.exe
    C:\WINDOWS\system32\igfxpers.exe
    C:\Program Files\Lexmark 2300 Series\lxcgmon.exe
    C:\Program Files\Lexmark 2300 Series\ezprint.exe
    C:\Program Files\Common Files\Real\Update_OB\realsched.exe
    C:\Program Files\Common Files\Java\Java Update\jusched.exe
    C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\NetMeter\NetMeter.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\UnsignedThemesSvc.exe
    C:\WINDOWS\system32\cisvc.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\Program Files\CDBurnerXP\NMSAccessU.exe
    C:\Program Files\Macrium\Reflect\ReflectService.exe
    C:\WINDOWS\system32\svchost.exe
    C:\PROGRA~1\Bandoo\Bandoo.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\system32\lxcgcoms.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\WINDOWS\system32
    otepad.exe
    C:\Program Files\FreshDevices\FreshDownload\fd.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\igfxsrvc.exe
    C:\Program Files\TrueCrypt\TrueCrypt.exe
    C:\WINDOWS\system32\dllhost.exe
    C:\WINDOWS\System32\vssvc.exe
    C:\WINDOWS\system32\dllhost.exe
    C:\WINDOWS\system32\cidaemon.exe
    C:\WINDOWS\system32\msiexec.exe
    C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - C:\PROGRA~1\FRESHD~1\FRESHD~1\fdcatch.dll
    O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
    O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
    O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\MICROS~2\Office14\URLREDIR.DLL
    O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
    O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - (no file)
    O2 - BHO: BandooIEPlugin Class - {EB5CEE80-030A-4ED8-8E20-454E9C68380F} - C:\Program Files\Bandoo\Plugins\IE\ieplugin.dll
    O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
    O3 - Toolbar: FreshDownload Bar - {ED0E8CA5-42FB-4B18-997B-769E0408E79D} - C:\PROGRA~1\FRESHD~1\FRESHD~1\fdiebar.dll
    O4 - HKLM\..\Run: [avast] "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
    O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
    O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
    O4 - HKLM\..\Run: [lxcgmon.exe] "C:\Program Files\Lexmark 2300 Series\lxcgmon.exe"
    O4 - HKLM\..\Run: [EzPrint] "C:\Program Files\Lexmark 2300 Series\ezprint.exe"
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
    O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
    O4 - HKLM\..\Run: [LXCGCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCGtime.dll,_RunDLLEntry@16
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [C:\Program Files\NetMeter\NetMeter.exe] C:\Program Files\NetMeter\NetMeter.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
    O4 - HKUS\S-1-5-21-796845957-1580818891-839522115-1006\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User 'Peter_2')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O8 - Extra context menu item: &Verzenden naar OneNote - res://C:\PROGRA~1\MICROS~2\Office14\ONBttnIE.dll/105
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office14\EXCEL.EXE/3000
    O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: Se&nd to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll
    O9 - Extra button: OneNote Lin&ked Notes - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
    O9 - Extra 'Tools' menuitem: OneNote Lin&ked Notes - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: FreshDownload - {9F57042F-357E-418B-87D9-3045F9473DA8} - C:\Program Files\FreshDevices\FreshDownload\fd.exe
    O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\Peter_2\Start Menu\Programs\IMVU\Run IMVU.lnk
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} (OnlineScanner Control) - http://download.eset.com/special/eos/OnlineScanner.cab
    O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
    O20 - AppInit_DLLs: c:\progra~1\bandoo\bndhook.dll
    O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
    O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
    O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\AVAST Software\Avast\AvastSvc.exe
    O23 - Service: Bandoo Coordinator - Bandoo Media Inc. - C:\PROGRA~1\Bandoo\Bandoo.exe
    O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
    O23 - Service: Google Update Service (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
    O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    O23 - Service: lxcg_device - - C:\WINDOWS\system32\lxcgcoms.exe
    O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
    O23 - Service: NMSAccess - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
    O23 - Service: Macrium Reflect Image Mounting Service (ReflectService) - Unknown owner - C:\Program Files\Macrium\Reflect\ReflectService.exe
    O23 - Service: Unsigned Themes (UnsignedThemes) - The Within Network, LLC - C:\WINDOWS\UnsignedThemesSvc.exe


    End of file - 9145 bytes

    MVG perloc
  • Hallo Perloc,

    [b:3dd90c757a]ik wil graag dat jij je tijdens de fix aan onderstaande regels houdt:[/b:3dd90c757a]
  • Hier zijn de twee log files.
    Ik heb geen vreemde dingen gezien, alles is "smooth" verlopen.


    ——————–\\ Lop S&D 4.2.5-0 XP/Vista

    Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 3
    X86-based PC ( Uniprocessor Free : Intel(R) Celeron(R) CPU 2.40GHz )
    BIOS : Default System BIOS
    USER : Peter ( Administrator )
    BOOT : Normal boot
    Antivirus : avast! Antivirus 5.0.100664585 (Not Activated)
    Firewall : Sunbelt Kerio Personal Firewall 4.3.268 T (Activated)
    A:\ (USB)
    C:\ (Local Disk) - NTFS - Total:35 Go (Free:2 Go)
    D:\ (Local Disk) - NTFS - Total:39 Go (Free:37 Go)
    E:\ (Local Disk) - NTFS - Total:288 Go (Free:0 Go)
    F:\ (CD or DVD)
    G:\ (CD or DVD)
    H:\ (Local Disk) - NTFS - Total:74 Go (Free:62 Go)
    J:\ (Local Disk) - FAT32 - Total:9 Go (Free:9 Go)

    "C:\Lop SD" ( MAJ : 19-12-2008|23:40 )
    Option : [2] ( 20/10/2011|12:56 )


    FIX

    Deleted! - C:\DOCUME~1\Peter\LOCALS~1\Temp
    sw25.tmp
    Deleted! - C:\DOCUME~1\Peter\LOCALS~1\Temp
    sx11.tmp
    Deleted! - C:\DOCUME~1\Peter\LOCALS~1\Temp\statistics.jnl
    Deleted! - C:\DOCUME~1\Peter\Cookies\peter@adultfriendfinder[2].txt
    Deleted! - C:\DOCUME~1\Peter\Cookies\peter@advertising[1].txt
    Deleted! - C:\DOCUME~1\Peter\Cookies\peter@r1-ads.ace.advertising[2].txt
    Deleted! - C:\DOCUME~1\Peter\Cookies\peter@battlestar-galactica.bigpoint[1].txt
    Deleted! - C:\DOCUME~1\Peter\Cookies\peter@bigpoint[1].txt
    Deleted! - C:\DOCUME~1\Peter\Cookies\peter@bpid.bigpoint[1].txt
    Deleted! - C:\DOCUME~1\Peter\Cookies\peter@eu3.battlestar-galactica.bigpoint[1].txt
    -
    [ Hosts file ] .. Restored!




    ——————–\\ Listing folders in APPLIC~1

    [11/07/2011|00:16] C:\DOCUME~1\ADMINI~1\APPLIC~1\Microsoft

    [10/07/2011|15:31] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Adobe
    [11/07/2011|00:30] C:\DOCUME~1\ALLUSE~1\APPLIC~1\AVAST Software
    [11/09/2011|11:34] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Bandoo
    [12/07/2011|08:18] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Canneverbe Limited
    [10/07/2011|15:55] C:\DOCUME~1\ALLUSE~1\APPLIC~1\FaxCtr
    [11/07/2011|16:27] C:\DOCUME~1\ALLUSE~1\APPLIC~1\InstallShield
    [24/07/2011|06:32] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Macrium
    [10/07/2011|15:39] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Malwarebytes
    [29/08/2011|16:54] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft
    [08/10/2011|06:38] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft Help
    [03/10/2011|07:44] C:\DOCUME~1\ALLUSE~1\APPLIC~1\NFS Underground
    [15/07/2011|21:53] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Real
    [31/07/2011|10:56] C:\DOCUME~1\ALLUSE~1\APPLIC~1\SafeNet Sentinel
    [31/07/2011|10:55] C:\DOCUME~1\ALLUSE~1\APPLIC~1\SPSS
    [31/07/2011|14:45] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Sun
    [16/10/2011|09:00] C:\DOCUME~1\ALLUSE~1\APPLIC~1\TEMP
    [24/07/2011|20:14] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Trymedia

    [11/07/2011|00:16] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Microsoft

    [08/09/2011|18:45] C:\DOCUME~1\LOCALS~1\APPLIC~1\Adobe
    [11/07/2011|00:16] C:\DOCUME~1\LOCALS~1\APPLIC~1\Microsoft

    [15/07/2011|10:51] C:\DOCUME~1\Minda\APPLIC~1\Adobe
    [15/07/2011|10:52] C:\DOCUME~1\Minda\APPLIC~1\AdobeUM
    [15/07/2011|21:41] C:\DOCUME~1\Minda\APPLIC~1\Babylon
    [04/08/2011|14:41] C:\DOCUME~1\Minda\APPLIC~1\Bandoo
    [13/07/2011|07:39] C:\DOCUME~1\Minda\APPLIC~1\Identities
    [13/07/2011|10:02] C:\DOCUME~1\Minda\APPLIC~1\Macromedia
    [03/10/2011|08:35] C:\DOCUME~1\Minda\APPLIC~1\Malwarebytes
    [03/10/2011|09:04] C:\DOCUME~1\Minda\APPLIC~1\Microsoft
    [29/07/2011|10:41] C:\DOCUME~1\Minda\APPLIC~1\Real
    [11/09/2011|11:17] C:\DOCUME~1\Minda\APPLIC~1\vlc
    [15/07/2011|10:43] C:\DOCUME~1\Minda\APPLIC~1\WinRAR

    [11/07/2011|00:16] C:\DOCUME~1\NETWOR~1\APPLIC~1\Microsoft

    [27/08/2011|16:47] C:\DOCUME~1\Peter\APPLIC~1\Adobe
    [10/07/2011|19:32] C:\DOCUME~1\Peter\APPLIC~1\AdobeUM
    [04/08/2011|15:17] C:\DOCUME~1\Peter\APPLIC~1\Bandoo
    [12/07/2011|08:18] C:\DOCUME~1\Peter\APPLIC~1\Canneverbe Limited
    [10/07/2011|16:14] C:\DOCUME~1\Peter\APPLIC~1\FaxCtr
    [07/09/2011|05:58] C:\DOCUME~1\Peter\APPLIC~1\Help
    [11/07/2011|00:22] C:\DOCUME~1\Peter\APPLIC~1\Identities
    [11/07/2011|16:46] C:\DOCUME~1\Peter\APPLIC~1\Leadertech
    [10/07/2011|18:38] C:\DOCUME~1\Peter\APPLIC~1\Macromedia
    [10/07/2011|15:40] C:\DOCUME~1\Peter\APPLIC~1\Malwarebytes
    [29/09/2011|09:05] C:\DOCUME~1\Peter\APPLIC~1\Microsoft
    [31/07/2011|06:35] C:\DOCUME~1\Peter\APPLIC~1\Real
    [11/07/2011|16:46] C:\DOCUME~1\Peter\APPLIC~1\Sonic
    [04/08/2011|09:36] C:\DOCUME~1\Peter\APPLIC~1\SPSSInc
    [31/07/2011|20:08] C:\DOCUME~1\Peter\APPLIC~1\Sun
    [20/09/2011|05:03] C:\DOCUME~1\Peter\APPLIC~1\TrueCrypt
    [10/10/2011|11:01] C:\DOCUME~1\Peter\APPLIC~1\vlc
    [14/07/2011|18:20] C:\DOCUME~1\Peter\APPLIC~1\WinRAR
    [14/07/2011|06:19] C:\DOCUME~1\Peter\APPLIC~1\xHarbour

    [06/08/2011|14:30] C:\DOCUME~1\Peter_2\APPLIC~1\Adobe
    [06/08/2011|14:30] C:\DOCUME~1\Peter_2\APPLIC~1\AdobeUM
    [16/07/2011|09:26] C:\DOCUME~1\Peter_2\APPLIC~1\Babylon
    [06/08/2011|14:32] C:\DOCUME~1\Peter_2\APPLIC~1\Bandoo
    [01/10/2011|21:04] C:\DOCUME~1\Peter_2\APPLIC~1\dvdcss
    [01/10/2011|16:53] C:\DOCUME~1\Peter_2\APPLIC~1\Eltima Software
    [14/07/2011|19:04] C:\DOCUME~1\Peter_2\APPLIC~1\Identities
    [19/10/2011|07:46] C:\DOCUME~1\Peter_2\APPLIC~1\IMVU
    [11/09/2011|09:54] C:\DOCUME~1\Peter_2\APPLIC~1\IMVUClient
    [29/08/2011|17:01] C:\DOCUME~1\Peter_2\APPLIC~1\Lionhead Studios
    [15/07/2011|16:26] C:\DOCUME~1\Peter_2\APPLIC~1\Macromedia
    [27/07/2011|19:12] C:\DOCUME~1\Peter_2\APPLIC~1\Malwarebytes
    [03/10/2011|14:39] C:\DOCUME~1\Peter_2\APPLIC~1\Microsoft
    [19/08/2011|18:22] C:\DOCUME~1\Peter_2\APPLIC~1\Mozilla
    [15/07/2011|21:53] C:\DOCUME~1\Peter_2\APPLIC~1\Real
    [31/07/2011|09:58] C:\DOCUME~1\Peter_2\APPLIC~1\Sun
    [07/10/2011|05:34] C:\DOCUME~1\Peter_2\APPLIC~1\TrueCrypt
    [29/08/2011|17:10] C:\DOCUME~1\Peter_2\APPLIC~1\vlc
    [15/07/2011|21:40] C:\DOCUME~1\Peter_2\APPLIC~1\WinRAR

    ——————–\\ Scheduled Tasks located in C:\WINDOWS\Tasks

    [20/10/2011 12:49][–a——] C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
    [20/10/2011 12:36][–a——] C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
    [20/10/2011 12:35][–ah—–] C:\WINDOWS\tasks\SA.DAT
    [04/08/2004 14:00][-r-h—–] C:\WINDOWS\tasks\desktop.ini

    ——————–\\ Listing Folders in C:\Program Files

    [09/08/2011|09:12] C:\Program Files\Abbyy FineReader 6.0 Sprint
    [10/07/2011|15:30] C:\Program Files\Adobe
    [11/07/2011|00:30] C:\Program Files\AVAST Software
    [29/08/2011|09:25] C:\Program Files\AVSMedia
    [08/08/2011|08:17] C:\Program Files\Bandoo
    [17/08/2011|12:48] C:\Program Files\Braingame
    [16/08/2011|05:41] C:\Program Files\CDBurnerXP
    [08/10/2011|06:34] C:\Program Files\Classic Menu for Office 2010
    [10/07/2011|14:49] C:\Program Files\C-Media 3D Audio
    [29/09/2011|08:02] C:\Program Files\Common Files
    [11/07/2011|00:13] C:\Program Files\ComPlus Applications
    [17/08/2011|11:10] C:\Program Files\Disney Interactive
    [08/08/2011|11:29] C:\Program Files\EA GAMES
    [01/10/2011|16:52] C:\Program Files\Eltima Software
    [19/07/2011|09:36] C:\Program Files\ESET
    [11/07/2011|15:45] C:\Program Files\Eusing Free Registry Cleaner
    [10/07/2011|15:48] C:\Program Files\FreshDevices
    [01/10/2011|16:17] C:\Program Files\GIMP-2.0
    [11/07/2011|00:30] C:\Program Files\Google
    [17/08/2011|11:11] C:\Program Files\InstallShield Installation Information
    [10/07/2011|14:43] C:\Program Files\Intel
    [12/07/2011|06:26] C:\Program Files\Internet Explorer
    [02/08/2011|11:19] C:\Program Files\Java
    [10/07/2011|16:12] C:\Program Files\Lexmark 2300 Series
    [10/07/2011|15:55] C:\Program Files\Lexmark Fax Solutions
    [16/10/2011|09:00] C:\Program Files\Lx_cats
    [10/07/2011|15:36] C:\Program Files\Macrium
    [21/09/2011|21:40] C:\Program Files\Malwarebytes' Anti-Malware
    [10/07/2011|15:12] C:\Program Files\Messenger
    [07/10/2011|08:02] C:\Program Files\Microsoft ActiveSync
    [29/09/2011|07:53] C:\Program Files\Microsoft Analysis Services
    [11/07/2011|00:17] C:\Program Files\microsoft frontpage
    [18/08/2011|16:42] C:\Program Files\Microsoft Games
    [29/08/2011|16:55] C:\Program Files\Microsoft Games for Windows - LIVE
    [07/10/2011|08:02] C:\Program Files\Microsoft Office
    [12/07/2011|06:32] C:\Program Files\Microsoft SDKs
    [12/07/2011|06:38] C:\Program Files\Microsoft SQL Server
    [12/07/2011|06:38] C:\Program Files\Microsoft SQL Server Compact Edition
    [12/07/2011|06:38] C:\Program Files\Microsoft Synchronization Services
    [12/07/2011|06:38] C:\Program Files\Microsoft Visual Studio 9.0
    [12/07/2011|06:33] C:\Program Files\Microsoft.NET
    [10/07/2011|15:12] C:\Program Files\Movie Maker
    [12/07/2011|06:29] C:\Program Files\MSBuild
    [17/07/2011|16:02] C:\Program Files\MSN
    [11/07/2011|00:12] C:\Program Files\MSN Gaming Zone
    [22/07/2011|05:43] C:\Program Files
    eed for speed 2
    [10/07/2011|15:09] C:\Program Files\NetMeeting
    [19/07/2011|21:17] C:\Program Files\NetMeter
    [03/10/2011|12:40] C:\Program Files\Nimbuzz
    [11/07/2011|00:13] C:\Program Files\Online Services
    [10/07/2011|15:09] C:\Program Files\Outlook Express
    [14/07/2011|18:02] C:\Program Files\Pando Networks
    [15/07/2011|21:42] C:\Program Files\Real
    [12/07/2011|06:29] C:\Program Files\Reference Assemblies
    [11/07/2011|16:51] C:\Program Files\Sonic
    [31/07/2011|10:54] C:\Program Files\SPSSInc
    [16/07/2011|10:11] C:\Program Files\Starbreeze Studios
    [10/07/2011|14:35] C:\Program Files\Sunbelt Software
    [20/10/2011|08:00] C:\Program Files\Trend Micro
    [15/07/2011|05:30] C:\Program Files\TrueCrypt
    [11/07/2011|00:22] C:\Program Files\Uninstall Information
    [29/08/2011|10:18] C:\Program Files\VideoLAN
    [09/10/2011|10:45] C:\Program Files\Wakfu
    [10/07/2011|15:12] C:\Program Files\Windows Media Player
    [10/07/2011|15:09] C:\Program Files\Windows NT
    [11/07/2011|00:15] C:\Program Files\WindowsUpdate
    [14/07/2011|18:19] C:\Program Files\WinRAR
    [11/07/2011|00:17] C:\Program Files\xerox

    ——————–\\ Listing Folders in C:\Program Files\Common Files

    [10/07/2011|15:32] C:\Program Files\Common Files\Adobe
    [29/08/2011|09:25] C:\Program Files\Common Files\AVSMedia
    [29/09/2011|08:02] C:\Program Files\Common Files\DESIGNER
    [08/08/2011|11:43] C:\Program Files\Common Files\DirectX
    [08/08/2011|11:33] C:\Program Files\Common Files\EasyInfo
    [11/07/2011|16:27] C:\Program Files\Common Files\InstallShield
    [02/08/2011|11:17] C:\Program Files\Common Files\Java
    [07/10/2011|08:03] C:\Program Files\Common Files\Microsoft Shared
    [11/07/2011|00:14] C:\Program Files\Common Files\MSSoap
    [10/07/2011|17:06] C:\Program Files\Common Files\ODBC
    [15/07/2011|21:44] C:\Program Files\Common Files\Real
    [11/07/2011|00:14] C:\Program Files\Common Files\Services
    [10/07/2011|17:06] C:\Program Files\Common Files\SpeechEngines
    [31/07/2011|10:55] C:\Program Files\Common Files\SPSS
    [10/07/2011|15:09] C:\Program Files\Common Files\System
    [15/07/2011|21:43] C:\Program Files\Common Files\xing shared

    ——————–\\ Process

    ( 44 Processes )

    … OK !

    ——————–\\ Searching with S_Lop

    No Lop folder found !

    ——————–\\ Searching for Lop Files - Folders

    No Lop folder found !

    ——————–\\ Searching within the Registry

    ….. OK !

    ——————–\\ Checking the Hosts file

    Hosts file CLEAN


    ——————–\\ Searching for hidden files with Catchme

    catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2011-10-20 13:09:53
    Windows 5.1.2600 Service Pack 3 NTFS
    scanning hidden processes …
    scanning hidden files …
    scan completed successfully
    hidden processes: 0
    hidden files: 0

    ——————–\\ Searching for other infections

    ——————–\\ Cracks & Keygens ..

    C:\DOCUME~1\Peter\Desktop\ophcrack-win32-installer-3.3.1.exe
    C:\DOCUME~1\Peter\Desktop\ophcrack-xp-livecd-2.3.1.iso
    C:\DOCUME~1\Peter\Local Settings\Temporary Internet Files\Content.IE5\6K14GOM6\ophcrack-4-1[1].jpg
    C:\DOCUME~1\Peter\Recent\ophcrack-xp-livecd-2.3.1.iso.lnk


    [F:640][D:110]-> C:\DOCUME~1\Peter\LOCALS~1\Temp
    [F:468][D:0]-> C:\DOCUME~1\Peter\Cookies
    [F:1916][D:5]-> C:\DOCUME~1\Peter\LOCALS~1\TEMPOR~1\content.IE5

    1 - "C:\Lop SD\LopR_1.txt" - 20/10/2011|13:12 - Option : [2]

    ——————–\\ Scan completed at 13:12:27

    Hier de COMBO log

    ComboFix 11-10-20.03 - Peter 20/10/2011 14:14:13.1.1 - x86
    Microsoft Windows XP Professional 5.1.2600.3.1252.1.1033.18.1015.554 [GMT 2:00]
    Running from: c:\documents and settings\Peter\Desktop\ComboFix.exe
    AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
    FW: Sunbelt Kerio Personal Firewall *Enabled* {E659E0EE-10E6-49B7-8696-60F38D0EB174}
    .
    .
    ((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    c:\documents and settings\Minda\My Documents\~WRL0002.tmp
    c:\documents and settings\Minda\My Documents\~WRL0004.tmp
    c:\documents and settings\Minda\My Documents\~WRL2068.tmp
    c:\documents and settings\Minda\My Documents\~WRL2375.tmp
    c:\documents and settings\Minda\My Documents\~WRL3038.tmp
    c:\documents and settings\Minda\My Documents\~WRL3133.tmp
    c:\windows\system32\lsprst7.dll
    c:\windows\system32\prsgrc.dll
    .
    .
    ((((((((((((((((((((((((( Files Created from 2011-09-20 to 2011-10-20 )))))))))))))))))))))))))))))))
    .
    .
    2011-10-20 10:53 . 2011-10-20 11:12 ——– d—–w- C:\Lop SD
    2011-10-20 06:00 . 2011-10-20 06:00 388096 —-a-r- c:\documents and settings\Peter\Application Data\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
    2011-10-20 06:00 . 2011-10-20 06:00 ——– d—–w- c:\program files\Trend Micro
    2011-10-08 04:34 . 2011-10-16 07:00 ——– d—a-w- c:\documents and settings\All Users\Application Data\TEMP
    2011-10-08 04:34 . 2011-10-08 04:34 ——– d—–w- c:\program files\Classic Menu for Office 2010
    2011-10-07 06:02 . 2011-10-07 06:02 ——– d—–w- c:\program files\Microsoft ActiveSync
    2011-10-03 10:40 . 2011-10-03 10:40 ——– d—–w- c:\program files\Nimbuzz
    2011-10-03 07:04 . 2011-10-03 07:04 ——– d—–w- c:\documents and settings\Minda\Local Settings\Application Data\Identities
    2011-10-03 06:35 . 2011-10-03 06:35 ——– d—–w- c:\documents and settings\Minda\Application Data\Malwarebytes
    2011-10-02 07:13 . 2011-10-02 07:13 ——– d—–w- c:\documents and settings\Peter_2\.thumbnails
    2011-10-01 14:52 . 2011-10-01 14:52 ——– d—–w- c:\program files\Eltima Software
    2011-10-01 14:18 . 2011-10-02 07:16 ——– d—–w- c:\documents and settings\Peter_2\.gimp-2.6
    2011-10-01 14:17 . 2011-10-01 14:17 ——– d—–w- c:\program files\GIMP-2.0
    2011-09-29 06:01 . 2011-09-29 06:01 ——– d—–w- c:\documents and settings\All Users\Microsoft
    2011-09-29 05:53 . 2011-09-29 05:53 ——– d—–w- c:\program files\Microsoft Analysis Services
    2011-09-29 05:50 . 2011-09-29 05:50 ——– d—–r- C:\MSOCache
    2011-09-25 16:11 . 2011-09-25 16:11 ——– d–h–w- c:\windows\PIF
    .
    .
    .
    (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2011-10-16 05:43 . 2011-07-10 16:48 414368 —-a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
    2011-09-06 20:45 . 2011-07-10 22:30 41184 —-a-w- c:\windows\avastSS.scr
    2011-09-06 20:45 . 2011-07-10 22:30 199304 —-a-w- c:\windows\system32\aswBoot.exe
    2011-09-06 20:38 . 2011-07-10 22:30 442200 —-a-w- c:\windows\system32\drivers\aswSnx.sys
    2011-09-06 20:37 . 2011-07-10 22:30 320856 —-a-w- c:\windows\system32\drivers\aswSP.sys
    2011-09-06 20:36 . 2011-07-10 22:30 34392 —-a-w- c:\windows\system32\drivers\aswRdr.sys
    2011-09-06 20:36 . 2011-07-10 22:30 52568 —-a-w- c:\windows\system32\drivers\aswTdi.sys
    2011-09-06 20:36 . 2011-07-10 22:30 110552 —-a-w- c:\windows\system32\drivers\aswmon2.sys
    2011-09-06 20:36 . 2011-07-10 22:30 104536 —-a-w- c:\windows\system32\drivers\aswmon.sys
    2011-09-06 20:36 . 2011-07-10 22:30 20568 —-a-w- c:\windows\system32\drivers\aswFsBlk.sys
    2011-09-06 20:33 . 2011-07-10 22:30 30808 —-a-w- c:\windows\system32\drivers\aavmker4.sys
    2011-08-31 15:00 . 2011-07-11 14:45 22216 —-a-w- c:\windows\system32\drivers\mbam.sys
    2011-08-04 12:41 . 2011-08-04 12:41 42 —-a-w- c:\documents and settings\Minda\Local Settings\Application Data\GLF14.tmp
    2011-08-02 09:15 . 2011-08-02 09:16 73728 —-a-w- c:\windows\system32\javacpl.cpl
    2011-08-02 09:15 . 2011-07-31 12:44 472808 —-a-w- c:\windows\system32\deployJava1.dll
    2011-07-30 11:44 . 2011-07-16 08:35 43520 —-a-w- c:\windows\system32\CmdLineExt03.dll
    .
    .
    ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* empty entries & legit default entries are not shown
    REGEDIT4
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
    @="{472083B0-C522-11CF-8763-00608CC02F24}"
    [HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
    2011-09-06 20:45 122512 —-a-w- c:\program files\AVAST Software\Avast\ashShell.dll
    .
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "c:\program files\NetMeter\NetMeter.exe"="c:\program files\NetMeter\NetMeter.exe" [2007-08-11 331264]
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2011-09-06 3722416]
    "igfxtray"="c:\windows\system32\igfxtray.exe" [2005-09-20 94208]
    "igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-09-20 77824]
    "igfxpers"="c:\windows\system32\igfxpers.exe" [2005-09-20 114688]
    "lxcgmon.exe"="c:\program files\Lexmark 2300 Series\lxcgmon.exe" [2005-07-21 200704]
    "EzPrint"="c:\program files\Lexmark 2300 Series\ezprint.exe" [2005-08-01 94208]
    "TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" [2011-07-15 198160]
    "SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2011-04-08 254696]
    "Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-08-31 449608]
    "LXCGCATS"="c:\windows\System32\spool\DRIVERS\W32X86\3\LXCGtime.dll" [2005-07-20 73728]
    .
    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
    .
    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^Adobe Reader Speed Launch.lnk]
    backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FaxCenterServer]
    2005-07-12 13:36 299008 —-a-w- c:\program files\Lexmark Fax Solutions\fm3032.exe
    .
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)
    .
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\Sunbelt Software\\Personal Firewall\\kpf4gui.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\Program Files\\SPSSInc\\Statistics17\\SPSSWinWrapIDE.exe"=
    "c:\\Program Files\\SPSSInc\\Statistics17\\statistics.exe"=
    "c:\\Program Files\\SPSSInc\\Statistics17\\statistics.com"=
    "c:\\Program Files\\Microsoft Office\\Office14\\ONENOTE.EXE"=
    .
    R0 pssnap;Paramount Software Snapshot Filter;c:\windows\system32\drivers\pssnap.sys [5/20/2008 5:32 PM 15328]
    R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [7/11/2011 12:30 AM 442200]
    R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [7/11/2011 12:30 AM 320856]
    R1 fwdrv;Firewall Driver;c:\windows\system32\drivers\fwdrv.sys [7/18/2006 9:02 PM 284184]
    R1 khips;Kerio HIPS Driver;c:\windows\system32\drivers\khips.sys [7/18/2006 9:02 PM 91672]
    R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [7/11/2011 12:30 AM 20568]
    R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [7/11/2011 4:45 PM 366152]
    R2 ReflectService;Macrium Reflect Image Mounting Service;c:\program files\Macrium\Reflect\ReflectService.exe [8/6/2008 8:34 PM 216032]
    R2 UnsignedThemes;Unsigned Themes;c:\windows\UnsignedThemesSvc.exe [7/13/2009 10:07 AM 21096]
    R2 uxpatch;uxpatch;c:\windows\system32\drivers\uxpatch.sys [7/13/2009 10:07 AM 25448]
    R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [7/11/2011 4:45 PM 22216]
    S2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [7/11/2011 12:30 AM 136176]
    S3 gupdatem;Google Update Service (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [7/11/2011 12:30 AM 136176]
    S3 MBAMSwissArmy;MBAMSwissArmy;\??\c:\windows\system32\drivers\mbamswissarmy.sys –> c:\windows\system32\drivers\mbamswissarmy.sys [?]
    S3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [1/9/2010 9:37 PM 4640000]
    S3 PSMounter;Macrium Reflect Image Explorer Service;c:\windows\system32\drivers\psmounter.sys [7/8/2008 9:39 PM 31712]
    S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0; [x]
    .
    Contents of the 'Scheduled Tasks' folder
    .
    2011-10-20 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2011-07-10 22:30]
    .
    2011-10-20 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2011-07-10 22:30]
    .
    .
    ——- Supplementary Scan ——-
    .
    uStart Page = about:blank
    IE: &Verzenden naar OneNote - c:\progra~1\MICROS~2\Office14\ONBttnIE.dll/105
    IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    IE: E&xporteren naar Microsoft Excel - c:\progra~1\MICROS~2\Office14\EXCEL.EXE/3000
    IE: {{9F57042F-357E-418B-87D9-3045F9473DA8} - c:\program files\FreshDevices\FreshDownload\fd.exe
    IE: {{d9288080-1baa-4bc4-9cf8-a92d743db949} - c:\documents and settings\Peter_2\Start Menu\Programs\IMVU\Run IMVU.lnk
    TCP: DhcpNameServer = 192.168.1.1
    .
    - - - - ORPHANS REMOVED - - - -
    .
    HKLM-Run-Cmaudio - cmicnfg.cpl
    .
    .
    .
    **************************************************************************
    .
    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2011-10-20 14:31
    Windows 5.1.2600 Service Pack 3 NTFS
    .
    scanning hidden processes …
    .
    scanning hidden autostart entries …
    .
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    LXCGCATS = rundll32 c:\windows\System32\spool\DRIVERS\W32X86\3\LXCGtime.dll,_RunDLLEntry@16???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????
    .
    scanning hidden files …
    .
    scan completed successfully
    hidden files: 0
    .
    **************************************************************************
    .
    ——————— LOCKED REGISTRY KEYS ———————
    .
    [HKEY_LOCAL_MACHINE\software\Microsoft\Environment*]
    "Licence0"="04F0D21-79D8-7A25-D702-433F"
    .
    Completion time: 2011-10-20 14:38:22
    ComboFix-quarantined-files.txt 2011-10-20 12:38
    .
    Pre-Run: 6,918,909,952 bytes free
    Post-Run: 10,945,216,512 bytes free
    .
    WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
    [boot loader]
    timeout=2
    default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
    [operating systems]
    c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
    UnsupportedDebug="do not select this" /debug
    multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
    .
    - - End Of File - - A407A53926131F4CF8DCB722CA05583F

    MVG perloc


  • Hoi Perloc - vermoedelijk MBR-rootkits!

  • Eerstens wil ik je erop opmerkzaam maken dat de HD, waar het eigelijk allemaal om begonnen is, en die ik verdenk van virus problemen de drive H: is. Die heb ik uit de probleem comp. gehaald en in mijn comp gehangen. Hij start niet op omdat er sinds het verwijderen van virussen een windows password wordt gevraagd.
    Dus de MBR van mijn comp wordt wel gecontroleerd maar niet de MBR van drive H:
    Ik heb al getracht om de MBR van drive H: met het commando FixMBR te repareren via de setup van WinXP CD, maar die kan ik niet starten omdat booten van CD een druk op een key vraagt en op dat moment werkt mijn USB keyboard nog niet. De CD moet auto-opstarten ZONDER een vraag op een key te drukken.

    De TDSSKiller heeft geen enkele fout gevonden. Er is niet gereboot. De log file is wel te selecteren maar niet de copieën en dus niet hier te pasten.

    Hier volgt de log file van die andere:

    aswMBR version 0.9.8.986 Copyright© 2011 AVAST Software
    Run date: 2011-10-20 19:15:08
    —————————–
    19:15:08.156 OS Version: Windows 5.1.2600 Service Pack 3
    19:15:08.156 Number of processors: 1 586 0x304
    19:15:08.156 ComputerName: PETER-9EA2D29A5 UserName: Peter
    19:15:09.687 Initialize success
    19:15:10.578 AVAST engine defs: 11102001
    19:15:17.562 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4
    19:15:17.562 Disk 0 Vendor: ST380011A 8.01 Size: 76319MB BusType: 3
    19:15:17.562 Disk 1 \Device\Harddisk1\DR1 -> \Device\Ide\IdeDeviceP0T1L0-c
    19:15:17.562 Disk 1 Vendor: WDC_WD800BB-00JHC0 05.01C05 Size: 76319MB BusType: 3
    19:15:19.578 Disk 0 MBR read successfully
    19:15:19.578 Disk 0 MBR scan
    19:15:19.640 Disk 0 Windows XP default MBR code
    19:15:19.656 Disk 0 scanning sectors +156296385
    19:15:19.718 Disk 0 scanning C:\WINDOWS\system32\drivers
    19:15:35.515 Service scanning
    19:15:36.765 Modules scanning
    19:15:46.546 Disk 0 trace - called modules:
    19:15:46.562 ntoskrnl.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS
    19:15:47.062 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x86354ab8]
    19:15:47.062 3 CLASSPNP.SYS[f764afd7] -> nt!IofCallDriver -> \Device\0000005e[0x86373f18]
    19:15:47.062 5 ACPI.sys[f75c1620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-4[0x8635f940]
    19:15:47.359 AVAST engine scan C:\WINDOWS
    19:15:51.625 AVAST engine scan C:\WINDOWS\system32
    19:17:50.109 AVAST engine scan C:\WINDOWS\system32\drivers
    19:18:00.031 AVAST engine scan C:\Documents and Settings\Peter
    19:18:51.265 AVAST engine scan C:\Documents and Settings\All Users
    19:19:15.546 Scan finished successfully
    19:19:31.437 Disk 0 MBR has been saved successfully to "C:\Documents and Settings\Peter\Desktop\MBR.dat"
    19:19:31.453 The log file has been saved successfully to "C:\Documents and Settings\Peter\Desktop\aswMBR.txt"

    Alvast met dank voor de attentie!
    perloc
  • Dus als ik jouw god begrijp zit dus nu de HD in jouw PC.

    Laten we dan beginnen met een online scan:

    [b:2cb6ffbb3e]Doe de ESET online scan (Klik).[/b:2cb6ffbb3e]
    [list:2cb6ffbb3e]
    [*:2cb6ffbb3e]Klik op de knop [b:2cb6ffbb3e]ESET Online Scanner[/b:2cb6ffbb3e]
    [*:2cb6ffbb3e]Zet een vinkje bij [b:2cb6ffbb3e]YES, I accept the Terms of Use[/b:2cb6ffbb3e]
    [*:2cb6ffbb3e]Klik op [b:2cb6ffbb3e]Start[/b:2cb6ffbb3e]
    [*:2cb6ffbb3e]Sta het ActiveX control toe om te installeren.
    [*:2cb6ffbb3e]Zet een vinkje bij de volgende opties:
    [list:2cb6ffbb3e][*:2cb6ffbb3e][b:2cb6ffbb3e]Remove found threats[/b:2cb6ffbb3e]
    [*:2cb6ffbb3e][b:2cb6ffbb3e]Scan archives[/b:2cb6ffbb3e][/list:u:2cb6ffbb3e]
    [*:2cb6ffbb3e]Klik vervolgens op [b:2cb6ffbb3e]
  • Het is helaas mis gegaan. Na een paar uur draaien was het tijd om naar bed te gaan. In die tijd had hij ongeveer 15% gedaan en 2 virus gevonden.
    Ik ben, zoals gezegd naar bed gegaan en vannacht werd ik wakker: geen energie. (En geen UPS!) En ook geen idee hoe laat dat was. Ik dacht gelijk aan die Eset. Dus ik heb helaas geen log file.
    In de aanhef van mijn berichten had ik al gemeld dat ik voor de berichten Eset in deze configuratie (dus met die probleem HD) heb gedraaid. Toen had ESET al tegen de 100 virus eruit gehaald!

    Ik zal ESET nu opstarten en dan het resultaat melden.

    perloc
  • Eset opnieuw gedraaid, 2 problemen gevonden.
    Hier de log file:

    D:\cdbxp_setup_4.3.8.2568.exe Win32/OpenCandy application deleted - quarantined
    H:\Documents and Settings\All Users\Application Data\ReviverSoft\Registry Reviver\InstallCache\{F1AA1853-A0AC-4003-9E85-AC249BEC6BAD}\Registry Reviver.msi a variant of Win32/SlowPCfighter application deleted - quarantined

    MVG perloc
  • Hallo Perloc, af en toe slaapproblemen?

    Start MBAM, eerst updaten.

    Kies daarna de optie –> Volledige scan
    Kies vervolgens in het keuze menu voor –> "H".

    Die scan kan wel even duren, dus wees geduldig.

    Post het log.
  • Het komt maar zelden voor dat ik een slaapprobleem heb, dus ik weet niet waar de vraag op is gebaseerd!
    Ga rond 10 uur naar bed en ben tussen 4.30 en 5.30 wakker, al vrijwel mijn hele leven.
    Hint: Wie 's nachts goed wil slapen moet overdag goed wakker zijn!!

    MBAM heb ik ook voor de start van dsze threat gedaan. Dus nu opnieuw gedaan, niets gevonden.
    Hier de log:

    Malwarebytes' Anti-Malware 1.51.2.1300
    www.malwarebytes.org

    Database version: 7963

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    21/10/2011 10:23:03
    mbam-log-2011-10-21 (10-23-03).txt

    Scan type: Full scan (H:\|)
    Objects scanned: 231999
    Time elapsed: 31 minute(s), 14 second(s)

    Memory Processes Infected: 0
    Memory Modules Infected: 0
    Registry Keys Infected: 0
    Registry Values Infected: 0
    Registry Data Items Infected: 0
    Folders Infected: 0
    Files Infected: 0

    Memory Processes Infected:
    (No malicious items detected)

    Memory Modules Infected:
    (No malicious items detected)

    Registry Keys Infected:
    (No malicious items detected)

    Registry Values Infected:
    (No malicious items detected)

    Registry Data Items Infected:
    (No malicious items detected)

    Folders Infected:
    (No malicious items detected)

    Files Infected:
    (No malicious items detected)

    MVG perloc
  • Ik vroeg ook of je af en toe slaapproblemen hebt en daarop heb je toch bevestigend geantwoord: soms.

    En deze vind ik leuk: "Hint: Wie 's nachts goed wil slapen moet overdag goed wakker zijn!! ".

    Ik heb nu een vraag aan jou: welke Ophcrack versie heb je gedownload.
    Want er zijn er twee: één voor XP en de ander voor Vista!
  • Oei!!… heb ik ergens gezegd dat ik soms niet goed kan slapen? Kan me niet hetinneren! Zou het moeten terugzoeken maar ik laat het maar zo.

    Wat betreft de OPHCrack versie, die is van WinXP.
    Ik heb hem op de probleem computer gedraaid.
    Daar vindt hij 5 items:
    Aministrator: empty
    Guest : empty
    Help asiistant: empty
    Support (en wat letters): not found
    Joana : empty

    Als ik die computer start komt hij met het Windows inlog screen met user name "Joana" en daar moet ik het password in voeren.
    Als ik OK klik komt ie even met de foto van de dochter van Joana op het scherm en keert dan terug tot het inlogscherm.

    Dus nog steeds niet opgelost.
    perloc
  • Hoi Perloc, je zal voor het volgende de HD weer terug moeten zetten in de oorspronkelijke PC.


    1) [b:509946cbdc]Achterdeur[/b:509946cbdc]
    In Windows XP is een achterdeur ingebouwd, die een aanmelding met Administrorrechten mogelijk maakt.
    Indien u bij het PC-opstarten de funktietoets F8 indrukt en in de veiligheidsmodus opstart, verschijnt een extra Administrator-account.
    Deze heeft geen wachtwoord, zodat iedereen kan inloggen.

    2) [b:509946cbdc]Automatisch aanmelden[/b:509946cbdc]
    Windows XP kent verschillende manieren van aanmelden. Het aanmelden via het Welkomstscherm of op de klassieke manier. Sommige mensen vinden het aanmelden met gebruikersnaam of wachtwoord, of het Welkomstscherm onnodig.
    Windows XP biedt de mogelijkheid om standaard met een bepaalde gebruiker automatisch aan te melden. Na het opstarten van je computer ‘rol’ je dan meteen door naar het Bureaublad. Natuurlijk kleeft er aan het automatisch aanmelden een veiligheidrisico. Iedereen die immers de computer aanzet, kan bij de gegevens van deze gebruiker. Als je dat risico voor lief neemt en automatisch wil aanmelden onder Windows, neem dan de volgende stappen.

    [img:509946cbdc]http://www.xp-helpdesk.nl/images/stories/XP/Automatisch%20aanmelden.jpg[/img:509946cbdc]

    - Ga naar Start / Uitvoeren;
    - Typ in de tekstbox het commando "control userpasswords2" en druk op Enter; (zonder aanhalingstekens)
    - In het scherm dat verschijnt kies je de tab Gebruikers;
    - Selecteer daar de gebruiker welke zich automatisch aan mag melden op het systeem; Middels één rechtsklik met je muis;
    - Vink vervolgens de optie ‘Gebruikers moeten een gebruikersnaam en wachtwoord opgeven om deze computer te kunnen gebruiken’ uit;
    - Druk op de knop toepassen;
    - Vul de gegevens - naam en wachtwoord - in van deze gebruiker;
    - Druk twee keer op OK.
  • Ik loop aan alle kanten vast. Met een USB Keyboard heeft indrukken van de F8 toets geen zin: bij opstart reageert alleen de DEL key voor het openen van de BIOS. Dus in de Admin. mode kan ik niet komen.
    In de BIOS is geen knop om de USB te activeren. Daarvoor zal ik de BIOS moeten updaten. Ik heb bij MSI gezocht, daar is een .EXE fil beschikbaar om die klus te doen. Maar, om een .EXE file te runnen moet je in Windows kunnen komen.
    Misschien dat de link die jolo me zond uitkomst biedt:
    Deze: http://en.kioskea.net/forum/affich-22087-xp-auto-log-off

    Dat ga ik nu proberen via een Diskette.
    perloc
  • Je zal eerst in het Bios de USB-Legacy op Enabled moeten zetten!
  • Dit is geen eenvoudig probleem.
    In de BIOS komt geen USB-Legacy voor!!
    Dus ik moet een BIOS-flash doen.
    Maar….
    Ik heb bij MSI voor mijn MOBO (PM8M-V) naar een BIOS update gezocht.
    Ze hebben daarvoor LiveUpdate.exe
    Nu, daar kan ik niets mee want dat is voor een werkend systeem.

    Zal nog eens verder zoeken want die LiveUpdate is een geval met veel toeters en bellen. Ik heb alleen maar de BIOS flash file nodig op een diskette.

    perloc
  • Dan mar weer het oude toetsenbord gebruiken!
  • Tja, wat moet ik dáár nu op zeggen! Het is ermee begonnen dat het originele keyboard, noch de mouse werden herkend! Het is dáárom dat ik voor Joana een USB keyboard en USB mouse heb gekocht. Die werken wel, zij het met restrictie's zoals we inmiddels weten. En omdat ik al heel wat ervaring heb met deze computers ben ik gelijk begonnen de computer op viruses te controleren temeer daar hij niet vooruit was te branden! De eerste 10 minuten gebeurde er vrijwel niets!
    Dat heeft dus de befaamde (ongeveer) 150 viruses opgeleverd.
    En toen díe waren verwijderd kwam dat vermaledijde inlog scherm op, waar ik nu al zowat een week mee bezig ben te trachten te verwijderen met uw en andermans hulp (oa jolo).
    Maar ik vrees zo langzamerhand aan een format te moeten gaan denken. Ik heb een image, format de HD, deel deze in 2 delen, op C: Windows en Office en op D: de image terug. Als het morgenavond nog niet is opgelost dan doe ik het maar zo. Het zal de eerste keer zijn dat ik bakzijl moet halen wat betreft de reparatie van een computer.

    MVG perloc
  • Indien standaard toetsenbord en muis al niet herkend worden, dan is het eerder een hardware dan software probleem!

    En bovendien na research gedaan te hebben, vermoed ik dat Joanna zelf een wachtwoord heeft aangemaakt en vervolgens niet meer aan de consequenties daarvan gedacht heeft.
  • Toen Joana de computer heeft gebracht heb ik mijn keyboard, dus degene waar ik nu op tik, daarop aangesloten. Dat gaf de melding in het boorscherm dat er geen keynoard was aangesloten. Na een USB KB te hebben aangesloten bleek ook de muis niet te werken. Een USB mouse bracht de oplossing. Een hardware fout, inderdaad, maar niet van de periferie maar intern op het MOBO. (Zou een virus die poorten kunnen blokkeren?)
    Verder heeft Joana (in het Portugees komen geen dubbele letters voor dan behalve de rr - in carro = auto) gezegd NOOIT een password te hebben ingevoerd of gebruikt. Dus dit is écht van een virus.

    Zijn er geen suggestie's meer?

    perloc

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.