Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

Zou iemand naar deze Hijactlog willen kijken?

None
45 antwoorden
  • Laptop Acer met WinXP SP3
    Heeft veel problemen.
    Ik heb al MBAM (updated) gedraaid en ook ESET gedownload en gedraaid. In totaal zijn er ongeveer 15 virus ge-delete.
    Probleem is dat vaak het touchpath niet werkt, wel een USB mouse. Tevens starten programma's soms zeer traag, of niet op.
    Hier is de HIJACTLog:

    Logfile of Trend Micro HijackThis v2.0.4
    Scan saved at 9:04:44 AM, on 2/5/2012
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\AVG\AVG9\avgchsvx.exe
    C:\Program Files\AVG\AVG9\avgrsx.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\AVG\AVG9\avgcsrvx.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\RTHDCPL.EXE
    C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
    C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    C:\Program Files\Winamp\winampa.exe
    C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
    C:\PROGRA~1\AVG\AVG9\avgtray.exe
    C:\Program Files\ESET\ESET Smart Security\egui.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Skype\Phone\Skype.exe
    C:\Program Files\DAP\DAP.EXE
    C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
    C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
    C:\Program Files\AVG\AVG9\avgwdsvc.exe
    C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
    C:\Program Files\ESET\ESET Smart Security\ekrn.exe
    C:\Program Files\AVG\AVG9\avgnsx.exe
    C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\system32\wbem\wmiapsrv.exe
    C:\WINDOWS\system32\msiexec.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.10.6:8080
    R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files\AVG\AVG9\Toolbar\IEToolbar.dll
    R3 - URLSearchHook: SrchHook Class - {F4F10C1D-87C7-404A-B4B3-000000000000} - C:\PROGRA~1\DAP\SBSearch.dll
    O2 - BHO: (no name) - Software - (no file)
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: SBCONVERT - {3017FB3E-9A77-4396-88C5-0EC9548FB42F} - C:\Program Files\SpeedBit Video Downloader\Toolbar\tbcore3.dll
    O2 - BHO: SearchPredictObj Class - {389943B0-C3A2-4E69-82CB-8596A84CB3DC} - C:\PROGRA~1\SEARCH~1\SEARCH~1.DLL
    O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG9\avgssie.dll
    O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
    O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files\AVG\AVG9\Toolbar\IEToolbar.dll
    O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
    O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
    O2 - BHO: DAPIELoader Class - {FF6C3CF0-4B15-11D1-ABED-709549C10000} - C:\PROGRA~1\DAP\DAPIEL~1.DLL
    O2 - BHO: GrabberObj Class - {FF7C3CF0-4B15-11D1-ABED-709549C10000} - C:\PROGRA~1\SPEEDB~1\Toolbar\grabber.dll
    O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
    O3 - Toolbar: SpeedBit Video Downloader - {0329E7D6-6F54-462D-93F6-F5C3118BADF2} - C:\Program Files\SpeedBit Video Downloader\Toolbar\tbcore3.dll
    O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Program Files\AVG\AVG9\Toolbar\IEToolbar.dll
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [UIUCU] C:\DOCUME~1\user\LOCALS~1\Temp\UIUCU.EXE -CLEAN_UP
    O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
    O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
    O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System\dumprep.exe
    O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe
    O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
    O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
    O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - HKCU\..\Run: [DownloadAccelerator] "C:\Program Files\DAP\DAP.EXE" /STARTUP
    O4 - Startup: OneNote 2007 Screen Clipper and Launcher.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
    O4 - Global Startup: Bluetooth.lnk = ?
    O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm
    O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
    O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O8 - Extra context menu item: Send to &Bluetooth Device… - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
    O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
    O9 - Extra 'Tools' menuitem: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
    O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O18 - Protocol: avgsecuritytoolbar - {F2DDE6B2-9684-4A55-86D4-E255E237B77C} - C:\Program Files\AVG\AVG9\Toolbar\IEToolbar.dll
    O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
    O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG9\avgpp.dll
    O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
    O20 - Winlogon Notify: avgrsstarter - avgrsstx.dll (file missing)
    O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
    O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: AVG Security Toolbar Service - Unknown owner - C:\Program Files\AVG\AVG9\Toolbar\ToolbarBroker.exe
    O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgwdsvc.exe
    O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
    O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
    O23 - Service: NMIndexingService - Unknown owner - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe (file missing)


    End of file - 8885 bytes

    Het is een reparatie-laptop die ik als vriendendienst tracht weer aan de gang te krijgen tegen een zeer kleine bijdrage.

    MVG perloc
  • Hallo Perloc. graag nu eerst de logs van zowel MBAM alsook van ESET-online posten!
    Dit zodat ik een ook weet wat er al verijderd is!
  • Ik kan de log van ESET niet meer vinden helaas. Wat is de log naam, dan kan ik daarop zoeken.
    Ondertussen dat MBAM draaide verwijderde Avast "en passant" ook nog een paar virus items. Die zijn in quarantaine gezet.
    Ik kan er maar een vinden: een troyaans paard: VBCryptEDZ - en stond in de Windows folder met de naam: ranga.exe

    SP3 is inmiddels geinstalleerd.

    Hier de log van MBAM:

    Malwarebytes Anti-Malware 1.60.1.1000
    www.malwarebytes.org

    Database version: v2012.02.02.02

    Windows XP Service Pack 2 x86 NTFS
    Internet Explorer 6.0.2900.2180
    user :: USER-DE7A16F253 [administrator]

    2/2/2012 7:24:59 AM
    mbam-log-2012-02-02 (07-24-59).txt

    Scan type: Full scan
    Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM
    Scan options disabled: P2P
    Objects scanned: 257034
    Time elapsed: 52 minute(s), 37 second(s)

    Memory Processes Detected: 0
    (No malicious items detected)

    Memory Modules Detected: 0
    (No malicious items detected)

    Registry Keys Detected: 0
    (No malicious items detected)

    Registry Values Detected: 3
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|faiwo (Worm.SFDC) -> Data: C:\Documents and Settings\user\faiwo.exe /e -> Quarantined and deleted successfully.
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run|Service Noits (Backdoor.Agent) -> Data: ranga.exe -> Quarantined and deleted successfully.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Service Noits (Backdoor.Agent) -> Data: ranga.exe -> Quarantined and deleted successfully.

    Registry Data Items Detected: 1
    HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and repaired successfully.

    Folders Detected: 3
    C:\Program Files\Error Repair Professional (Rogue.ErrorRepairProfessional) -> Quarantined and deleted successfully.
    C:\Program Files\Error Repair Professional\Backups (Rogue.ErrorRepairProfessional) -> Quarantined and deleted successfully.
    C:\Program Files\Error Repair Professional\startbug (Rogue.ErrorRepairProfessional) -> Quarantined and deleted successfully.

    Files Detected: 1
    C:\System Volume Information\_restore{B0B7E534-5B36-4B11-A221-115F9A4F19BA}\RP353\A0424732.exe (Trojan.Agent) -> Quarantined and deleted successfully.

    (end)


    perloc
  • Hoi Perloc, dan gaan we meteen maar diep kijken.

    [b:c3ef0bcdaa]Ik wil graag dat jij je tijdens de fix aan onderstaande regels houdt:[/b:c3ef0bcdaa]
    [list:c3ef0bcdaa][*:c3ef0bcdaa]Lees telkens elke instruktie eerst goed door.
    [*:c3ef0bcdaa]De gegeven instrukties gelden alleen jouw Windows.
    [*:c3ef0bcdaa]Maak je fouten bij de uitvoering van tools tijdens de fix, kan dat mogelijk serieuze problemen in Windows veroorzaken.
    [*:c3ef0bcdaa]Installeer geen nieuwe programma's, updates of nieuwe hardware terwijl we met de fix bezig zijn.
    [*:c3ef0bcdaa]Gebruik ook geen andere programma's of tools dan diegenen waartoe ik opdracht geef,
    [*:c3ef0bcdaa] Emoticons (smileys) a.u.b. uitzetten, wanneer je een log post.
    [*:c3ef0bcdaa]Gebruik altijd één scanner per keer, nooit meerdere tegelijk gebruiken.
    [*:c3ef0bcdaa]Hou mij op de hoogte hoe jou computer op de fix reageert - goed of slecht.
    [*:c3ef0bcdaa]Ook indien je iets niet begrijpt, meldt dat dan.
    [*:c3ef0bcdaa]De fix, eenmaal gestart, dient afgewerkt te worden. Zelfs indien jij denkt dat alles in orde is, zijn er mogelijk nog steeds infecties.[/list:u:c3ef0bcdaa][/color:c3ef0bcdaa]

    [b:c3ef0bcdaa]Stap •1•[/b:c3ef0bcdaa][/color:c3ef0bcdaa]
    [b:c3ef0bcdaa]Welk programma[/b:c3ef0bcdaa]: [b:c3ef0bcdaa]TDSSStarter.exe[/b:c3ef0bcdaa]
    [b:c3ef0bcdaa]Waarvoor/waarom[/b:c3ef0bcdaa]: Rootkitscanner
    [b:c3ef0bcdaa]Moeilijkheidsgraad[/b:c3ef0bcdaa]: geen
    Download [b:c3ef0bcdaa]TDSSStarter [/b:c3ef0bcdaa] naar het bureaublad.

    [b:c3ef0bcdaa]"TDSSSStarter.exe" gebruiken[/b:c3ef0bcdaa]:
    [list:c3ef0bcdaa][*:c3ef0bcdaa] [b:c3ef0bcdaa]Sluit nu eerst alle nog openstaande programmavensters![/color:c3ef0bcdaa][/b:c3ef0bcdaa]
    [list:c3ef0bcdaa][*:c3ef0bcdaa][b:c3ef0bcdaa]Windows 2000[/color:c3ef0bcdaa][/b:c3ef0bcdaa] en [b:c3ef0bcdaa]Windows XP[/b:c3ef0bcdaa][/color:c3ef0bcdaa]: start het tool middels dubbelklik op "[i:c3ef0bcdaa] TDSSStarter .exe[/i:c3ef0bcdaa]".
    [*:c3ef0bcdaa][b:c3ef0bcdaa]Windows Vista[/b:c3ef0bcdaa][/color:c3ef0bcdaa] en [b:c3ef0bcdaa]Windows 7[/b:c3ef0bcdaa][/color:c3ef0bcdaa]: start het tool middels rechtsklik op "[i:c3ef0bcdaa]TDSSStarter.exe[/i:c3ef0bcdaa]" en dan kiezen voor [i:c3ef0bcdaa][b:c3ef0bcdaa]Als Administrator uitvoeren[/b:c3ef0bcdaa][/i:c3ef0bcdaa].[/list:u:c3ef0bcdaa]
    [*:c3ef0bcdaa]Vervolgens zal een CMD-venster gestart worden en wanneer de scan gereed is weer automatisch sluiten.
    [*:c3ef0bcdaa]Post nu de inhoud van het geopende kladblokbestand in het volgende bericht.[/list:u:c3ef0bcdaa]
    [b:c3ef0bcdaa]Stap •2•[/b:c3ef0bcdaa][/color:c3ef0bcdaa]
    [b:c3ef0bcdaa]Welk programma[/b:c3ef0bcdaa]: ComboFix
    [b:c3ef0bcdaa]Waarvoor/waarom[/b:c3ef0bcdaa]: Zeer specialistische scanner om Windows diepgaand te onderzoeken
    en zo mogelijk op te schonen.
    [b:c3ef0bcdaa]Moeilijkheidsgraad[/b:c3ef0bcdaa]: Min of meer lastige voorbereidingsfase, dus lees alles eerst goed.
    [b:c3ef0bcdaa]Downloadlokatie[/b:c3ef0bcdaa]: Dit programma absoluut naar het bureaublad downloaden!
    [b:c3ef0bcdaa]Download ComboFix via één van deze locaties[/b:c3ef0bcdaa]:
    [list:c3ef0bcdaa][*:c3ef0bcdaa][b:c3ef0bcdaa]Bleepingcomputer[/b:c3ef0bcdaa]
    [*:c3ef0bcdaa][b:c3ef0bcdaa]ForoSpyware[/b:c3ef0bcdaa]
    [*:c3ef0bcdaa][b:c3ef0bcdaa]Geekstogo[/b:c3ef0bcdaa][/list:u:c3ef0bcdaa]
    [b:c3ef0bcdaa]Hier[/b:c3ef0bcdaa] zie je hoe je ComboFix moet gebruiken.

    Antivirusprogramma en actieve malwarescanners dienen al voor de ComboFix start gedeaktiveert zijn!
    [b:c3ef0bcdaa]Hier[/b:c3ef0bcdaa] en [b:c3ef0bcdaa]hier[/b:c3ef0bcdaa] vindt je gegevens hoe antivirusprogramma's en spywarescanners te deaktiveren.

    [b:c3ef0bcdaa]Voor alle duidelijkheid nogmaals[/b:c3ef0bcdaa]: ComboFix dient vanaf het bureaublad gestart te worden.

    [b:c3ef0bcdaa]Opmerkingen[/b:c3ef0bcdaa]:
    [list:c3ef0bcdaa][*:c3ef0bcdaa] Bij gebruik van Windows XP zal er mogelijk gevraagd worden, om de "Recovery Console" te installeren!
    Sta dit dan toe (hiervoor is een actieve internet verbinding vereist).[/list:u:c3ef0bcdaa]
    [b:c3ef0bcdaa]ComboFix opstarten[/b:c3ef0bcdaa]:
    [list:c3ef0bcdaa][*:c3ef0bcdaa] [b:c3ef0bcdaa]Sluit nu eerst alle nog openstaande programmavensters![/color:c3ef0bcdaa][/b:c3ef0bcdaa]
    [list:c3ef0bcdaa][*:c3ef0bcdaa][b:c3ef0bcdaa]Windows 2000[/color:c3ef0bcdaa][/b:c3ef0bcdaa] en [b:c3ef0bcdaa]Windows XP[/b:c3ef0bcdaa][/color:c3ef0bcdaa]: start ComboFix.exe middels dubbelklik op ComboFix.exe.
    [*:c3ef0bcdaa][b:c3ef0bcdaa]Windows Vista[/b:c3ef0bcdaa][/color:c3ef0bcdaa] en [b:c3ef0bcdaa]Windows 7[/b:c3ef0bcdaa][/color:c3ef0bcdaa]: start ComboFix.exe via rechtsklik op ComboFix.exe en kies dan voor [i:c3ef0bcdaa][b:c3ef0bcdaa]Als Administrator uitvoeren[/b:c3ef0bcdaa][/i:c3ef0bcdaa].[/list:u:c3ef0bcdaa][/list:u:c3ef0bcdaa]
    [b:c3ef0bcdaa]ComboFix is opgestart[/b:c3ef0bcdaa]:
    [list:c3ef0bcdaa][*:c3ef0bcdaa]Niet in het zwarte venster klikken, hierdoor kan ComboFix of zelfs Windows geheel "bevriezen"!
    [*:c3ef0bcdaa]Combofix sluit tijdens de scan de internet verbinding; probeer deze tussentijds niet te herstellen!
    [*:c3ef0bcdaa]Het kan voorkomen dat de computer meerdere malen opnieuw opgestart moet worden, dit is normaal.
    [*:c3ef0bcdaa]Wanneer ComboFix gereed is, zal het het een logbestand voor je maken.
    [*:c3ef0bcdaa]Post de inhoud van dit logbestand in je volgende bericht.
    [*:c3ef0bcdaa]Indien het log niet opstart, is dit terug tevinden in C:\ComboFix.txt[/list:u:c3ef0bcdaa]
    [b:c3ef0bcdaa]Belangrijke opmerking[/b:c3ef0bcdaa]:
    [list:c3ef0bcdaa][*:c3ef0bcdaa][b:c3ef0bcdaa]Indien na de scan bij het opstarten van programma's er een error wordt getoond met de melding:[/color:c3ef0bcdaa][/b:c3ef0bcdaa]
    [*:c3ef0bcdaa][b:c3ef0bcdaa]Illegal operation attempted on a registery key that has been marked for deletion.[/color:c3ef0bcdaa][/b:c3ef0bcdaa]
    [*:c3ef0bcdaa][b:c3ef0bcdaa]Start dan de computer opnieuw op.[/color:c3ef0bcdaa][/b:c3ef0bcdaa][/list:u:c3ef0bcdaa]
    [b:c3ef0bcdaa]Stap •3•[/b:c3ef0bcdaa][/color:c3ef0bcdaa]
    [b:c3ef0bcdaa]Samenvattend: hierna post je in jouw volgende bericht de inhoud van de volgende logs:[/b:c3ef0bcdaa]
    [list:c3ef0bcdaa][*:c3ef0bcdaa] TDSSKStarter-log
    [*:c3ef0bcdaa] ComboFix.txt-log
    [/list:u:c3ef0bcdaa]
  • Het door een paar oorzaken even geduurd.
    Voor Combofix moest de Virusscanner tijdelijk worden uitgeschakeld. Er zijn op deze computer (Engels) nogal wat programma's in het Portugees geinstalleerd, zo ook AVG Free 9.0 Ik heb meer dan een half uur gezocht in dat programma om het te de-activeren en meende het te hebben gevonden, maar toen ik Combofix opstartte kreeg ik de melding dat ie nog steeds actief was. Dus heb ik die er maar afgegooid (AVG 9.0 en verouderd). Vanmorgen AVG 2012 gedownload en geinstalleerd.
    Hier zxijn de logs:

    19:03:50.0640 3892 TDSS rootkit removing tool 2.7.9.0 Feb 1 2012 09:28:49
    19:03:50.0656 3892 ============================================================
    19:03:50.0656 3892 Current date / time: 2012/02/05 19:03:50.0656
    19:03:50.0656 3892 SystemInfo:
    19:03:50.0656 3892
    19:03:50.0656 3892 OS Version: 5.1.2600 ServicePack: 3.0
    19:03:50.0656 3892 Product type: Workstation
    19:03:50.0656 3892 ComputerName: USER-DE7A16F253
    19:03:50.0656 3892 UserName: user
    19:03:50.0656 3892 Windows directory: C:\WINDOWS
    19:03:50.0656 3892 System windows directory: C:\WINDOWS
    19:03:50.0656 3892 Processor architecture: Intel x86
    19:03:50.0656 3892 Number of processors: 2
    19:03:50.0656 3892 Page size: 0x1000
    19:03:50.0656 3892 Boot type: Normal boot
    19:03:50.0656 3892 ============================================================
    19:03:54.0921 3892 Drive \Device\Harddisk0\DR0 - Size: 0x1BF2976000 (111.79 Gb), SectorSize: 0x200, Cylinders: 0x3901, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'K0', Flags 0x00000054
    19:03:54.0937 3892 \Device\Harddisk0\DR0:
    19:03:54.0937 3892 MBR used
    19:03:54.0937 3892 \Device\Harddisk0\DR0\Partition0: MBR, Type 0x7, StartLBA 0x3F, BlocksNum 0xC34F28D
    19:03:54.0937 3892 \Device\Harddisk0\DR0\Partition1: MBR, Type 0x7, StartLBA 0xC34F2CC, BlocksNum 0x1C444F5
    19:03:55.0203 3892 Initialize success
    19:03:55.0203 3892 ============================================================
    19:03:55.0265 0800 ============================================================
    19:03:55.0265 0800 Scan started
    19:03:55.0265 0800 Mode: Auto (DCExact ); SigCheck; TDLFS; Silent;
    19:03:55.0265 0800 ============================================================
    19:03:56.0796 0800 Abiosdsk - ok
    19:03:57.0281 0800 abp480n5 - ok
    19:03:57.0859 0800 ACPI (8fd99680a539792a30e97944fdaecf17) C:\WINDOWS\system32\DRIVERS\ACPI.sys
    19:04:00.0546 0800 ACPI - ok
    19:04:01.0125 0800 ACPIEC (9859c0f6936e723e4892d7141b1327d5) C:\WINDOWS\system32\DRIVERS\ACPIEC.sys
    19:04:01.0421 0800 ACPIEC - ok
    19:04:01.0968 0800 adpu160m - ok
    19:04:02.0500 0800 aec (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
    19:04:02.0765 0800 aec - ok
    19:04:03.0234 0800 AFD (322d0e36693d6e24a2398bee62a268cd) C:\WINDOWS\System32\drivers\afd.sys
    19:04:03.0421 0800 AFD - ok
    19:04:03.0921 0800 Aha154x - ok
    19:04:04.0359 0800 aic78u2 - ok
    19:04:04.0750 0800 aic78xx - ok
    19:04:05.0265 0800 AliIde - ok
    19:04:05.0750 0800 amsint - ok
    19:04:06.0328 0800 Arp1394 (b5b8a80875c1dededa8b02765642c32f) C:\WINDOWS\system32\DRIVERS\arp1394.sys
    19:04:06.0546 0800 Arp1394 - ok
    19:04:07.0140 0800 asc - ok
    19:04:07.0703 0800 asc3350p - ok
    19:04:08.0203 0800 asc3550 - ok
    19:04:08.0765 0800 AsyncMac (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
    19:04:09.0015 0800 AsyncMac - ok
    19:04:09.0593 0800 atapi (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
    19:04:09.0796 0800 atapi - ok
    19:04:10.0218 0800 Atdisk - ok
    19:04:10.0781 0800 ati2mtag (1fa523c5e4ad953f896ea50c33475bea) C:\WINDOWS\system32\DRIVERS\ati2mtag.sys
    19:04:10.0921 0800 ati2mtag - ok
    19:04:11.0437 0800 Atmarpc (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
    19:04:11.0703 0800 Atmarpc - ok
    19:04:12.0375 0800 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
    19:04:12.0609 0800 audstub - ok
    19:04:13.0218 0800 AvgLdx86 (b8c187439d27aba430dd69fdcf1fa657) C:\WINDOWS\system32\Drivers\avgldx86.sys
    19:04:13.0703 0800 AvgLdx86 - ok
    19:04:14.0343 0800 AvgMfx86 (80ff2b1b7eeda966394f0baa895bbf4b) C:\WINDOWS\system32\Drivers\avgmfx86.sys
    19:04:14.0359 0800 AvgMfx86 - ok
    19:04:14.0906 0800 AvgTdiX (9a7a93388f503a34e7339ae7f9997449) C:\WINDOWS\system32\Drivers\avgtdix.sys
    19:04:14.0937 0800 AvgTdiX - ok
    19:04:15.0687 0800 b57w2k (74a65415dfaad20f06e7550fa9b6e012) C:\WINDOWS\system32\DRIVERS\b57xp32.sys
    19:04:15.0750 0800 b57w2k - ok
    19:04:16.0296 0800 bcm4sbxp (625df8f8f415b3153e7bae44a2c29359) C:\WINDOWS\system32\DRIVERS\bcm4sbxp.sys
    19:04:16.0343 0800 bcm4sbxp - ok
    19:04:16.0890 0800 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
    19:04:17.0109 0800 Beep - ok
    19:04:17.0656 0800 btaudio (9a8a912b81770e5890ccc6d11aa395a4) C:\WINDOWS\system32\drivers\btaudio.sys
    19:04:17.0718 0800 btaudio ( UnsignedFile.Multi.Generic ) - warning
    19:04:17.0718 0800 btaudio - detected UnsignedFile.Multi.Generic (1)
    19:04:18.0296 0800 BTDriver (32cfa5312ce51b892cdc039f7ac22823) C:\WINDOWS\system32\DRIVERS\btport.sys
    19:04:18.0375 0800 BTDriver ( UnsignedFile.Multi.Generic ) - warning
    19:04:18.0375 0800 BTDriver - detected UnsignedFile.Multi.Generic (1)
    19:04:18.0937 0800 BTKRNL (a60842fb32730cbddeec4acba8b1e987) C:\WINDOWS\system32\DRIVERS\btkrnl.sys
    19:04:19.0062 0800 BTKRNL ( UnsignedFile.Multi.Generic ) - warning
    19:04:19.0062 0800 BTKRNL - detected UnsignedFile.Multi.Generic (1)
    19:04:19.0843 0800 BTSERIAL (e45bb58592831adc5f1a3a11536689e5) C:\WINDOWS\system32\drivers\btserial.sys
    19:04:19.0875 0800 BTSERIAL ( UnsignedFile.Multi.Generic ) - warning
    19:04:19.0875 0800 BTSERIAL - detected UnsignedFile.Multi.Generic (1)
    19:04:20.0531 0800 BTWDNDIS (2049300fa5cb1ac890e82f9ac55636e1) C:\WINDOWS\system32\DRIVERS\btwdndis.sys
    19:04:20.0578 0800 BTWDNDIS ( UnsignedFile.Multi.Generic ) - warning
    19:04:20.0578 0800 BTWDNDIS - detected UnsignedFile.Multi.Generic (1)
    19:04:21.0125 0800 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
    19:04:21.0343 0800 cbidf2k - ok
    19:04:21.0859 0800 cd20xrnt - ok
    19:04:22.0500 0800 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
    19:04:22.0734 0800 Cdaudio - ok
    19:04:23.0312 0800 Cdfs (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
    19:04:23.0531 0800 Cdfs - ok
    19:04:24.0046 0800 Cdrom (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
    19:04:24.0312 0800 Cdrom - ok
    19:04:24.0843 0800 Changer - ok
    19:04:25.0359 0800 CmBatt (0f6c187d38d98f8df904589a5f94d411) C:\WINDOWS\system32\DRIVERS\CmBatt.sys
    19:04:25.0609 0800 CmBatt - ok
    19:04:26.0093 0800 CmdIde - ok
    19:04:26.0640 0800 Compbatt (6e4c9f21f0fae8940661144f41b13203) C:\WINDOWS\system32\DRIVERS\compbatt.sys
    19:04:26.0890 0800 Compbatt - ok
    19:04:27.0437 0800 Cpqarray - ok
    19:04:27.0937 0800 dac2w2k - ok
    19:04:28.0546 0800 dac960nt - ok
    19:04:29.0250 0800 Disk (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
    19:04:29.0500 0800 Disk - ok
    19:04:30.0093 0800 dmboot (d992fe1274bde0f84ad826acae022a41) C:\WINDOWS\system32\drivers\dmboot.sys
    19:04:30.0453 0800 dmboot - ok
    19:04:30.0984 0800 dmio (7c824cf7bbde77d95c08005717a95f6f) C:\WINDOWS\system32\drivers\dmio.sys
    19:04:31.0250 0800 dmio - ok
    19:04:31.0781 0800 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
    19:04:32.0046 0800 dmload - ok
    19:04:32.0609 0800 DMusic (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
    19:04:32.0812 0800 DMusic - ok
    19:04:33.0562 0800 dpti2o - ok
    19:04:34.0125 0800 drmkaud (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
    19:04:34.0359 0800 drmkaud - ok
    19:04:34.0984 0800 eamon (9309c5c9831203436e64cf2ae605c5d7) C:\WINDOWS\system32\DRIVERS\eamon.sys
    19:04:35.0046 0800 eamon - ok
    19:04:35.0671 0800 ehdrv (deff87f04ab5f6dd5edf2b80853bbe10) C:\WINDOWS\system32\DRIVERS\ehdrv.sys
    19:04:35.0703 0800 ehdrv - ok
    19:04:36.0546 0800 epfw (5ba193ca0ae31209aaa39939ce6736b2) C:\WINDOWS\system32\DRIVERS\epfw.sys
    19:04:36.0562 0800 epfw - ok
    19:04:37.0234 0800 Epfwndis (75d3bcd3e0eded0ab0f96d9a10ff01c9) C:\WINDOWS\system32\DRIVERS\Epfwndis.sys
    19:04:37.0250 0800 Epfwndis - ok
    19:04:37.0781 0800 epfwtdi (dc64f26f35e32c9472bbf8acd84060d3) C:\WINDOWS\system32\DRIVERS\epfwtdi.sys
    19:04:37.0781 0800 epfwtdi - ok
    19:04:38.0406 0800 Fastfat (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
    19:04:38.0625 0800 Fastfat - ok
    19:04:39.0062 0800 Fdc (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\drivers\Fdc.sys
    19:04:39.0187 0800 Fdc - ok
    19:04:39.0687 0800 Fips (d45926117eb9fa946a6af572fbe1caa3) C:\WINDOWS\system32\drivers\Fips.sys
    19:04:39.0828 0800 Fips - ok
    19:04:40.0453 0800 Flpydisk (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\drivers\Flpydisk.sys
    19:04:40.0578 0800 Flpydisk - ok
    19:04:41.0125 0800 FltMgr (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\drivers\fltmgr.sys
    19:04:41.0296 0800 FltMgr - ok
    19:04:41.0812 0800 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
    19:04:42.0031 0800 Fs_Rec - ok
    19:04:42.0625 0800 Ftdisk (6ac26732762483366c3969c9e4d2259d) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
    19:04:42.0859 0800 Ftdisk - ok
    19:04:43.0312 0800 Gpc (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
    19:04:43.0562 0800 Gpc - ok
    19:04:43.0968 0800 gtstusbser - ok
    19:04:44.0484 0800 HDAudBus (573c7d0a32852b48f3058cfd8026f511) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
    19:04:44.0734 0800 HDAudBus - ok
    19:04:45.0265 0800 HidUsb (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys
    19:04:45.0546 0800 HidUsb - ok
    19:04:46.0015 0800 hpn - ok
    19:04:46.0625 0800 HTTP (f6aacf5bce2893e0c1754afeb672e5c9) C:\WINDOWS\system32\Drivers\HTTP.sys
    19:04:46.0890 0800 HTTP - ok
    19:04:47.0359 0800 i2omgmt - ok
    19:04:47.0812 0800 i2omp - ok
    19:04:48.0312 0800 i8042prt (4a0b06aa8943c1e332520f7440c0aa30) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
    19:04:48.0640 0800 i8042prt - ok
    19:04:49.0171 0800 Imapi (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
    19:04:49.0437 0800 Imapi - ok
    19:04:49.0953 0800 ini910u - ok
    19:04:50.0734 0800 IntcAzAudAddService (4078d4795e394bf2adbed6fcc9827f78) C:\WINDOWS\system32\drivers\RtkHDAud.sys
    19:04:51.0078 0800 IntcAzAudAddService - ok
    19:04:51.0578 0800 IntelIde - ok
    19:04:52.0031 0800 intelppm (8c953733d8f36eb2133f5bb58808b66b) C:\WINDOWS\system32\DRIVERS\intelppm.sys
    19:04:52.0281 0800 intelppm - ok
    19:04:52.0781 0800 Ip6Fw (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\drivers\ip6fw.sys
    19:04:53.0062 0800 Ip6Fw - ok
    19:04:53.0625 0800 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
    19:04:53.0937 0800 IpFilterDriver - ok
    19:04:54.0562 0800 IpInIp (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
    19:04:54.0812 0800 IpInIp - ok
    19:04:55.0406 0800 IpNat (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
    19:04:55.0656 0800 IpNat - ok
    19:04:56.0218 0800 IPSec (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
    19:04:56.0500 0800 IPSec - ok
    19:04:57.0015 0800 irda (aca5e7b54409f9cb5eed97ed0c81120e) C:\WINDOWS\system32\DRIVERS\irda.sys
    19:04:57.0281 0800 irda - ok
    19:04:58.0031 0800 IRENUM (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
    19:04:58.0296 0800 IRENUM - ok
    19:04:58.0875 0800 isapnp (05a299ec56e52649b1cf2fc52d20f2d7) C:\WINDOWS\system32\DRIVERS\isapnp.sys
    19:04:59.0125 0800 isapnp - ok
    19:04:59.0625 0800 Kbdclass (463c1ec80cd17420a542b7f36a36f128) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
    19:04:59.0859 0800 Kbdclass - ok
    19:05:00.0421 0800 kmixer (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
    19:05:01.0500 0800 kmixer - ok
    19:05:01.0984 0800 KSecDD (1705745d900dabf2d89f90ebaddc7517) C:\WINDOWS\system32\drivers\KSecDD.sys
    19:05:02.0218 0800 KSecDD - ok
    19:05:02.0765 0800 lbrtfdc - ok
    19:05:03.0468 0800 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
    19:05:03.0687 0800 mnmdd - ok
    19:05:04.0421 0800 Modem (dfcbad3cec1c5f964962ae10e0bcc8e1) C:\WINDOWS\system32\drivers\Modem.sys
    19:05:04.0578 0800 Modem - ok
    19:05:05.0203 0800 Mouclass (35c9e97194c8cfb8430125f8dbc34d04) C:\WINDOWS\system32\DRIVERS\mouclass.sys
    19:05:05.0437 0800 Mouclass - ok
    19:05:05.0984 0800 mouhid (b1c303e17fb9d46e87a98e4ba6769685) C:\WINDOWS\system32\DRIVERS\mouhid.sys
    19:05:06.0250 0800 mouhid - ok
    19:05:06.0734 0800 MountMgr (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
    19:05:06.0906 0800 MountMgr - ok
    19:05:07.0343 0800 mraid35x - ok
    19:05:07.0921 0800 MRxDAV (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
    19:05:08.0218 0800 MRxDAV - ok
    19:05:08.0703 0800 MRxSmb (68755f0ff16070178b54674fe5b847b0) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
    19:05:08.0968 0800 MRxSmb - ok
    19:05:09.0671 0800 Msfs (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
    19:05:09.0859 0800 Msfs - ok
    19:05:10.0828 0800 MSKSSRV (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
    19:05:11.0062 0800 MSKSSRV - ok
    19:05:11.0578 0800 MSPCLOCK (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
    19:05:11.0812 0800 MSPCLOCK - ok
    19:05:12.0281 0800 MSPQM (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
    19:05:12.0500 0800 MSPQM - ok
    19:05:13.0062 0800 mssmbios (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
    19:05:13.0296 0800 mssmbios - ok
    19:05:13.0812 0800 Mup (2f625d11385b1a94360bfc70aaefdee1) C:\WINDOWS\system32\drivers\Mup.sys
    19:05:14.0015 0800 Mup - ok
    19:05:14.0531 0800 NDIS (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
    19:05:14.0734 0800 NDIS - ok
    19:05:15.0296 0800 NdisTapi (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS
    distapi.sys
    19:05:15.0546 0800 NdisTapi - ok
    19:05:16.0109 0800 Ndisuio (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS
    disuio.sys
    19:05:16.0343 0800 Ndisuio - ok
    19:05:16.0812 0800 NdisWan (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS
    diswan.sys
    19:05:17.0046 0800 NdisWan - ok
    19:05:17.0671 0800 NDProxy (6215023940cfd3702b46abc304e1d45a) C:\WINDOWS\system32\drivers\NDProxy.sys
    19:05:17.0875 0800 NDProxy - ok
    19:05:18.0609 0800 NetBIOS (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS
    etbios.sys
    19:05:18.0859 0800 NetBIOS - ok
    19:05:19.0500 0800 NetBT (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS
    etbt.sys
    19:05:19.0687 0800 NetBT - ok
    19:05:20.0531 0800 NETw4x32 (12b0d99865434387f784268b70e23360) C:\WINDOWS\system32\DRIVERS\NETw4x32.sys
    19:05:20.0671 0800 NETw4x32 - ok
    19:05:21.0515 0800 NIC1394 (e9e47cfb2d461fa0fc75b7a74c6383ea) C:\WINDOWS\system32\DRIVERS
    ic1394.sys
    19:05:21.0703 0800 NIC1394 - ok
    19:05:22.0703 0800 Npfs (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
    19:05:22.0921 0800 Npfs - ok
    19:05:23.0562 0800 Ntfs (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
    19:05:23.0828 0800 Ntfs - ok
    19:05:24.0421 0800 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
    19:05:24.0656 0800 Null - ok
    19:05:25.0281 0800 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS
    wlnkflt.sys
    19:05:25.0500 0800 NwlnkFlt - ok
    19:05:26.0203 0800 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS
    wlnkfwd.sys
    19:05:26.0437 0800 NwlnkFwd - ok
    19:05:27.0031 0800 ohci1394 (ca33832df41afb202ee7aeb05145922f) C:\WINDOWS\system32\DRIVERS\ohci1394.sys
    19:05:27.0312 0800 ohci1394 - ok
    19:05:27.0906 0800 Parport (5575faf8f97ce5e713d108c2a58d7c7c) C:\WINDOWS\system32\drivers\Parport.sys
    19:05:28.0140 0800 Parport - ok
    19:05:28.0765 0800 PartMgr (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
    19:05:28.0953 0800 PartMgr - ok
    19:05:29.0453 0800 ParVdm (70e98b3fd8e963a6a46a2e6247e0bea1) C:\WINDOWS\system32\drivers\ParVdm.sys
    19:05:29.0671 0800 ParVdm - ok
    19:05:30.0171 0800 PCI (a219903ccf74233761d92bef471a07b1) C:\WINDOWS\system32\DRIVERS\pci.sys
    19:05:30.0421 0800 PCI - ok
    19:05:30.0875 0800 PCIDump - ok
    19:05:31.0421 0800 PCIIde (ccf5f451bb1a5a2a522a76e670000ff0) C:\WINDOWS\system32\DRIVERS\pciide.sys
    19:05:31.0625 0800 PCIIde - ok
    19:05:32.0187 0800 Pcmcia (9e89ef60e9ee05e3f2eef2da7397f1c1) C:\WINDOWS\system32\DRIVERS\pcmcia.sys
    19:05:32.0437 0800 Pcmcia - ok
    19:05:32.0921 0800 PDCOMP - ok
    19:05:33.0421 0800 PDFRAME - ok
    19:05:34.0015 0800 PDRELI - ok
    19:05:34.0578 0800 PDRFRAME - ok
    19:05:35.0093 0800 perc2 - ok
    19:05:35.0609 0800 perc2hib - ok
    19:05:36.0265 0800 PptpMiniport (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
    19:05:36.0531 0800 PptpMiniport - ok
    19:05:37.0125 0800 PSched (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
    19:05:37.0421 0800 PSched - ok
    19:05:38.0046 0800 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
    19:05:38.0312 0800 Ptilink - ok
    19:05:38.0843 0800 PxHelp20 (d86b4a68565e444d76457f14172c875a) C:\WINDOWS\system32\Drivers\PxHelp20.sys
    19:05:38.0906 0800 PxHelp20 - ok
    19:05:39.0359 0800 ql1080 - ok
    19:05:39.0906 0800 Ql10wnt - ok
    19:05:40.0390 0800 ql12160 - ok
    19:05:40.0890 0800 ql1240 - ok
    19:05:41.0500 0800 ql1280 - ok
    19:05:42.0000 0800 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
    19:05:42.0218 0800 RasAcd - ok
    19:05:42.0796 0800 Rasirda (0207d26ddf796a193ccd9f83047bb5fc) C:\WINDOWS\system32\DRIVERS\rasirda.sys
    19:05:42.0921 0800 Rasirda - ok
    19:05:43.0421 0800 Rasl2tp (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
    19:05:43.0671 0800 Rasl2tp - ok
    19:05:44.0203 0800 RasPppoe (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
    19:05:44.0453 0800 RasPppoe - ok
    19:05:44.0984 0800 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
    19:05:45.0250 0800 Raspti - ok
    19:05:45.0812 0800 Rdbss (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
    19:05:46.0109 0800 Rdbss - ok
    19:05:46.0656 0800 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
    19:05:46.0859 0800 RDPCDD - ok
    19:05:47.0312 0800 rdpdr (15cabd0f7c00c47c70124907916af3f1) C:\WINDOWS\system32\DRIVERS\rdpdr.sys
    19:05:47.0562 0800 rdpdr - ok
    19:05:48.0046 0800 RDPWD (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys
    19:05:48.0250 0800 RDPWD - ok
    19:05:48.0734 0800 redbook (f828dd7e1419b6653894a8f97a0094c5) C:\WINDOWS\system32\DRIVERS\redbook.sys
    19:05:48.0953 0800 redbook - ok
    19:05:49.0421 0800 Secdrv (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
    19:05:49.0656 0800 Secdrv - ok
    19:05:50.0156 0800 Serial (cca207a8896d4c6a0c9ce29a4ae411a7) C:\WINDOWS\system32\drivers\Serial.sys
    19:05:50.0343 0800 Serial - ok
    19:05:50.0953 0800 Sfloppy (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
    19:05:51.0187 0800 Sfloppy - ok
    19:05:51.0625 0800 Simbad - ok
    19:05:52.0156 0800 SMCIRDA (707647a1aa0edb6cbef61b0c75c28ed3) C:\WINDOWS\system32\DRIVERS\smcirda.sys
    19:05:52.0281 0800 SMCIRDA - ok
    19:05:52.0828 0800 Sparrow - ok
    19:05:53.0375 0800 splitter (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
    19:05:53.0609 0800 splitter - ok
    19:05:54.0109 0800 sr (76bb022c2fb6902fd5bdd4f78fc13a5d) C:\WINDOWS\system32\DRIVERS\sr.sys
    19:05:54.0765 0800 sr - ok
    19:05:55.0265 0800 Srv (5252605079810904e31c332e241cd59b) C:\WINDOWS\system32\DRIVERS\srv.sys
    19:05:55.0500 0800 Srv - ok
    19:05:55.0953 0800 swenum (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
    19:05:56.0171 0800 swenum - ok
    19:05:56.0625 0800 swmidi (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
    19:05:56.0906 0800 swmidi - ok
    19:05:57.0390 0800 symc810 - ok
    19:05:57.0906 0800 symc8xx - ok
    19:05:58.0390 0800 sym_hi - ok
    19:05:58.0875 0800 sym_u3 - ok
    19:05:59.0500 0800 SynTP (6c218301f37cb01aa29dd9ae688653bd) C:\WINDOWS\system32\DRIVERS\SynTP.sys
    19:05:59.0578 0800 SynTP - ok
    19:06:00.0093 0800 sysaudio (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
    19:06:00.0312 0800 sysaudio - ok
    19:06:00.0875 0800 Tcpip (93ea8d04ec73a85db02eb8805988f733) C:\WINDOWS\system32\DRIVERS\tcpip.sys
    19:06:01.0156 0800 Tcpip - ok
    19:06:01.0656 0800 TDPIPE (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
    19:06:01.0781 0800 TDPIPE - ok
    19:06:02.0484 0800 TDTCP (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
    19:06:02.0609 0800 TDTCP - ok
    19:06:03.0109 0800 TermDD (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
    19:06:03.0312 0800 TermDD - ok
    19:06:03.0765 0800 TosIde - ok
    19:06:04.0281 0800 Udfs (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
    19:06:04.0484 0800 Udfs - ok
    19:06:04.0937 0800 UIUSys - ok
    19:06:05.0515 0800 ultra - ok
    19:06:06.0000 0800 Update (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
    19:06:06.0343 0800 Update - ok
    19:06:06.0843 0800 usbccgp (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
    19:06:07.0093 0800 usbccgp - ok
    19:06:07.0578 0800 usbehci (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
    19:06:07.0812 0800 usbehci - ok
    19:06:08.0437 0800 usbhub (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
    19:06:08.0656 0800 usbhub - ok
    19:06:09.0140 0800 USBSTOR (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
    19:06:09.0359 0800 USBSTOR - ok
    19:06:09.0796 0800 usbuhci (26496f9dee2d787fc3e61ad54821ffe6) C:\WINDOWS\system32\DRIVERS\usbuhci.sys
    19:06:10.0031 0800 usbuhci - ok
    19:06:10.0593 0800 VgaSave (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
    19:06:10.0796 0800 VgaSave - ok
    19:06:11.0328 0800 ViaIde - ok
    19:06:11.0859 0800 VolSnap (4c8fcb5cc53aab716d810740fe59d025) C:\WINDOWS\system32\drivers\VolSnap.sys
    19:06:12.0062 0800 VolSnap - ok
    19:06:12.0656 0800 w29n51 (c89da341fcc883a3d79dc11727484fc2) C:\WINDOWS\system32\DRIVERS\w29n51.sys
    19:06:12.0921 0800 w29n51 - ok
    19:06:13.0453 0800 Wanarp (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
    19:06:13.0671 0800 Wanarp - ok
    19:06:14.0156 0800 WDICA - ok
    19:06:14.0656 0800 wdmaud (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
    19:06:14.0906 0800 wdmaud - ok
    19:06:15.0421 0800 WmiAcpi (c42584fd66ce9e17403aebca199f7bdb) C:\WINDOWS\system32\DRIVERS\wmiacpi.sys
    19:06:15.0640 0800 WmiAcpi - ok
    19:06:16.0234 0800 ZTEusbmdm6k (2a6f72d2b6a549b1fc6a6522bc204159) C:\WINDOWS\system32\DRIVERS\ZTEusbmdm6k.sys
    19:06:16.0296 0800 ZTEusbmdm6k - ok
    19:06:16.0812 0800 ZTEusbnet (7df32dc0267c91bacf7e2b4e38ac5df1) C:\WINDOWS\system32\DRIVERS\ZTEusbnet.sys
    19:06:16.0859 0800 ZTEusbnet - ok
    19:06:17.0484 0800 ZTEusbnmea (2a6f72d2b6a549b1fc6a6522bc204159) C:\WINDOWS\system32\DRIVERS\ZTEusbnmea.sys
    19:06:17.0515 0800 ZTEusbnmea - ok
    19:06:18.0000 0800 ZTEusbser6k (2a6f72d2b6a549b1fc6a6522bc204159) C:\WINDOWS\system32\DRIVERS\ZTEusbser6k.sys
    19:06:18.0062 0800 ZTEusbser6k - ok
    19:06:18.0546 0800 ZTEusbvoice (2a6f72d2b6a549b1fc6a6522bc204159) C:\WINDOWS\system32\DRIVERS\ZTEusbvoice.sys
    19:06:18.0578 0800 ZTEusbvoice - ok
    19:06:18.0625 0800 MBR (0x1B8) (8f558eb6672622401da993e1e865c861) \Device\Harddisk0\DR0
    19:06:18.0921 0800 \Device\Harddisk0\DR0 - ok
    19:06:18.0921 0800 Boot (0x1200) (e5d7ee6f1759f3d0824b613fe612ebb9) \Device\Harddisk0\DR0\Partition0
    19:06:18.0921 0800 \Device\Harddisk0\DR0\Partition0 - ok
    19:06:18.0937 0800 Boot (0x1200) (9b9b8f2368a3236a0dc0754aec111e17) \Device\Harddisk0\DR0\Partition1
    19:06:18.0937 0800 \Device\Harddisk0\DR0\Partition1 - ok
    19:06:18.0937 0800 ============================================================
    19:06:18.0937 0800 Scan finished
    19:06:18.0937 0800 ============================================================
    19:06:20.0312 2660 Deinitialize success

    ==============================================
    Last Created System Restore Point
    ==============================================
    RP361: 2/5/2012 7:01:12 PM - TDSSKiller Starter Restore Point
    ==============================================
    EOF

    —————————————————————–

    ComboFix 12-02-05.02 - user 02/05/2012 20:08:13.1.2 - x86
    Microsoft Windows XP Professional 5.1.2600.3.1252.1.1033.18.1022.345 [GMT 2:00]
    Running from: c:\documents and settings\user\Desktop\ComboFix.exe
    AV: ESET Smart Security 5.0 *Disabled/Updated* {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
    FW: ESET Personal firewall *Enabled* {E5E70D32-0101-4340-86A3-A7B0F1C8FFE0}
    .
    .
    ((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    c:\documents and settings\All Users\Application Data\TEMP
    c:\documents and settings\All Users\Application Data\TEMP\AVG\avgmfapx.exe
    c:\documents and settings\All Users\Application Data\TEMP\AVG\avgmfarx.dll
    c:\documents and settings\All Users\Application Data\TEMP\AVG\avgntdumpx.exe
    c:\documents and settings\All Users\Application Data\TEMP\AVG\avgrunasx.exe
    c:\documents and settings\All Users\Application Data\TEMP\AVG\compat.ini
    c:\documents and settings\All Users\Application Data\TEMP\AVG\htmlayout.dll
    c:\documents and settings\All Users\Application Data\TEMP\AVG\incavi.avm
    c:\documents and settings\All Users\Application Data\TEMP\AVG\license_cz.htm
    c:\documents and settings\All Users\Application Data\TEMP\AVG\license_da.htm
    c:\documents and settings\All Users\Application Data\TEMP\AVG\license_es.htm
    c:\documents and settings\All Users\Application Data\TEMP\AVG\license_fr.htm
    c:\documents and settings\All Users\Application Data\TEMP\AVG\license_ge.htm
    c:\documents and settings\All Users\Application Data\TEMP\AVG\license_hu.htm
    c:\documents and settings\All Users\Application Data\TEMP\AVG\license_id.htm
    c:\documents and settings\All Users\Application Data\TEMP\AVG\license_in.htm
    c:\documents and settings\All Users\Application Data\TEMP\AVG\license_it.htm
    c:\documents and settings\All Users\Application Data\TEMP\AVG\license_jp.htm
    c:\documents and settings\All Users\Application Data\TEMP\AVG\license_ko.htm
    c:\documents and settings\All Users\Application Data\TEMP\AVG\license_ms.htm
    c:\documents and settings\All Users\Application Data\TEMP\AVG\license_nl.htm
    c:\documents and settings\All Users\Application Data\TEMP\AVG\license_pb.htm
    c:\documents and settings\All Users\Application Data\TEMP\AVG\license_pl.htm
    c:\documents and settings\All Users\Application Data\TEMP\AVG\license_pt.htm
    c:\documents and settings\All Users\Application Data\TEMP\AVG\license_ru.htm
    c:\documents and settings\All Users\Application Data\TEMP\AVG\license_sc.htm
    c:\documents and settings\All Users\Application Data\TEMP\AVG\license_sk.htm
    c:\documents and settings\All Users\Application Data\TEMP\AVG\license_sp.htm
    c:\documents and settings\All Users\Application Data\TEMP\AVG\license_tr.htm
    c:\documents and settings\All Users\Application Data\TEMP\AVG\license_us.htm
    c:\documents and settings\All Users\Application Data\TEMP\AVG\license_zh.htm
    c:\documents and settings\All Users\Application Data\TEMP\AVG\license_zt.htm
    c:\documents and settings\All Users\Application Data\TEMP\AVG\mfaconf.txt
    c:\documents and settings\All Users\Application Data\TEMP\AVG\mfacz.lns
    c:\documents and settings\All Users\Application Data\TEMP\AVG\mfada.lns
    c:\documents and settings\All Users\Application Data\TEMP\AVG\mfaes.lns
    c:\documents and settings\All Users\Application Data\TEMP\AVG\mfafr.lns
    c:\documents and settings\All Users\Application Data\TEMP\AVG\mfage.lns
    c:\documents and settings\All Users\Application Data\TEMP\AVG\mfahu.lns
    c:\documents and settings\All Users\Application Data\TEMP\AVG\mfaid.lns
    c:\documents and settings\All Users\Application Data\TEMP\AVG\mfain.lns
    c:\documents and settings\All Users\Application Data\TEMP\AVG\mfait.lns
    c:\documents and settings\All Users\Application Data\TEMP\AVG\mfajp.lns
    c:\documents and settings\All Users\Application Data\TEMP\AVG\mfako.lns
    c:\documents and settings\All Users\Application Data\TEMP\AVG\mfams.lns
    c:\documents and settings\All Users\Application Data\TEMP\AVG\mfanl.lns
    c:\documents and settings\All Users\Application Data\TEMP\AVG\mfapb.lns
    c:\documents and settings\All Users\Application Data\TEMP\AVG\mfapl.lns
    c:\documents and settings\All Users\Application Data\TEMP\AVG\mfapt.lns
    c:\documents and settings\All Users\Application Data\TEMP\AVG\mfaru.lns
    c:\documents and settings\All Users\Application Data\TEMP\AVG\mfasc.lns
    c:\documents and settings\All Users\Application Data\TEMP\AVG\mfask.lns
    c:\documents and settings\All Users\Application Data\TEMP\AVG\mfasp.lns
    c:\documents and settings\All Users\Application Data\TEMP\AVG\mfatr.lns
    c:\documents and settings\All Users\Application Data\TEMP\AVG\mfaus.lns
    c:\documents and settings\All Users\Application Data\TEMP\AVG\mfavera.txt
    c:\documents and settings\All Users\Application Data\TEMP\AVG\mfaverx.txt
    c:\documents and settings\All Users\Application Data\TEMP\AVG\mfazh.lns
    c:\documents and settings\All Users\Application Data\TEMP\AVG\mfazt.lns
    c:\documents and settings\All Users\Application Data\TEMP\AVG\setup.exe
    c:\documents and settings\All Users\Application Data\TEMP\AVG\setup.ini
    c:\documents and settings\user\Application Data\Toolbar4
    c:\documents and settings\user\Application Data\Toolbar4\{0329E7D6-6F54-462D-93F6-F5C3118BADF2}\cache\4dcd1e25545637daeb47d1d11d561fe9
    c:\documents and settings\user\Application Data\Toolbar4\{0329E7D6-6F54-462D-93F6-F5C3118BADF2}\cache\561fc09638c094093d7e73ed2e9fd71f
    c:\documents and settings\user\Application Data\Toolbar4\{0329E7D6-6F54-462D-93F6-F5C3118BADF2}\cache\6f52dca438370b63146a128c3829cc7e
    c:\documents and settings\user\Application Data\Toolbar4\{0329E7D6-6F54-462D-93F6-F5C3118BADF2}\cache\bbb9c886cf2ba534f4be36c9ba863f2f
    c:\documents and settings\user\Application Data\Toolbar4\{0329E7D6-6F54-462D-93F6-F5C3118BADF2}\cache\c126aa3bce59a908a231c8d862925cfb
    c:\documents and settings\user\Application Data\Toolbar4\{0329E7D6-6F54-462D-93F6-F5C3118BADF2}\cache\ff41badd2fd5214390366f33db21e4df
    c:\documents and settings\user\Application Data\Toolbar4\{0329E7D6-6F54-462D-93F6-F5C3118BADF2}\include_files\e5da658ab62e4af79bae0a6fd5dc01b0
    c:\documents and settings\user\Application Data\Toolbar4\{0329E7D6-6F54-462D-93F6-F5C3118BADF2}\speedbit_icon0.2.png
    c:\documents and settings\user\Cookies.lnk
    c:\documents and settings\user\My Documents\~WRL0066.tmp
    c:\documents and settings\user\My Documents\~WRL0143.tmp
    c:\documents and settings\user\My Documents\~WRL0265.tmp
    c:\documents and settings\user\My Documents\~WRL0368.tmp
    c:\documents and settings\user\My Documents\~WRL0396.tmp
    c:\documents and settings\user\My Documents\~WRL0674.tmp
    c:\documents and settings\user\My Documents\~WRL1070.tmp
    c:\documents and settings\user\My Documents\~WRL1723.tmp
    c:\documents and settings\user\My Documents\~WRL1875.tmp
    c:\documents and settings\user\My Documents\~WRL3110.tmp
    c:\documents and settings\user\My Documents\~WRL3231.tmp
    c:\documents and settings\user\My Documents\~WRL3291.tmp
    c:\documents and settings\user\WINDOWS
    c:\program files\SpeedBit Video Downloader\Toolbar\tbhelper.dll
    .
    .
    ((((((((((((((((((((((((( Files Created from 2012-01-05 to 2012-02-05 )))))))))))))))))))))))))))))))
    .
    .
    2012-02-05 17:01 . 2012-02-05 17:06 ——– d—–w- C:\TDSSStarter
    2012-02-05 07:04 . 2012-02-05 07:04 388096 —-a-r- c:\documents and settings\user\Application Data\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
    2012-02-05 07:04 . 2012-02-05 07:04 ——– d—–w- c:\program files\Trend Micro
    2012-02-03 18:20 . 2012-02-03 18:20 ——– d—–w- c:\windows\system32\en
    2012-02-03 18:20 . 2012-02-03 18:20 ——– d—–w- c:\windows\system32\bits
    2012-02-03 06:26 . 2008-04-14 03:41 12800 ——w- c:\windows\system32\credssp.dll
    2012-02-03 06:19 . 2012-02-03 06:27 ——– d—–w- c:\windows\ServicePackFiles
    2012-02-03 06:18 . 2008-04-14 03:42 294912 ——w- c:\program files\Windows Media Player\dlimport.exe
    2012-02-03 06:18 . 2008-04-14 03:42 294912 -c—-w- c:\windows\system32\dllcache\dlimport.exe
    2012-02-03 06:08 . 2006-12-28 22:31 19569 —-a-w- c:\windows\002915_.tmp
    2012-02-03 05:45 . 2012-02-03 05:52 ——– d—–w- C:\775415e5a18b522c86016c3bf51e5378
    2012-02-02 07:44 . 2012-02-02 07:44 ——– d—–w- c:\documents and settings\user\Local Settings\Application Data\ESET
    2012-02-02 07:44 . 2012-02-02 07:44 ——– d—–w- c:\documents and settings\user\Application Data\ESET
    2012-02-02 07:44 . 2012-02-02 07:44 ——– d—–w- c:\documents and settings\LocalService\Local Settings\Application Data\ESET
    2012-02-02 07:42 . 2012-02-02 07:42 ——– d—–w- c:\program files\ESET
    2012-02-02 07:42 . 2012-02-02 07:42 ——– d—–w- c:\documents and settings\All Users\Application Data\ESET
    2012-02-02 05:13 . 2012-02-02 05:13 ——– d—–w- c:\documents and settings\user\Application Data\Malwarebytes
    2012-02-02 05:13 . 2012-02-02 05:13 ——– d—–w- c:\documents and settings\All Users\Application Data\Malwarebytes
    2012-02-02 05:13 . 2012-02-05 16:17 ——– d—–w- c:\program files\Malwarebytes' Anti-Malware
    2012-02-02 05:13 . 2011-12-10 13:24 20464 —-a-w- c:\windows\system32\drivers\mbam.sys
    .
    .
    .
    (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    .
    ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* empty entries & legit default entries are not shown
    REGEDIT4
    .
    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
    "{F4F10C1D-87C7-404A-B4B3-000000000000}"= "c:\progra~1\DAP\SBSearch.dll" [2010-01-15 38384]
    .
    [HKEY_CLASSES_ROOT\clsid\{f4f10c1d-87c7-404a-b4b3-000000000000}]
    [HKEY_CLASSES_ROOT\SearchHook.SrchHook.1]
    [HKEY_CLASSES_ROOT\TypeLib\{95EFB171-F3DF-4BEC-9EF7-829A800203E6}]
    [HKEY_CLASSES_ROOT\SearchHook.SrchHook]
    .
    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3017FB3E-9A77-4396-88C5-0EC9548FB42F}]
    2010-08-29 13:15 2447360 —-a-w- c:\program files\SpeedBit Video Downloader\Toolbar\tbcore3.dll
    .
    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{389943B0-C3A2-4E69-82CB-8596A84CB3DC}]
    .
    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FF6C3CF0-4B15-11D1-ABED-709549C10000}]
    .
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Skype"="c:\program files\Skype\Phone\Skype.exe" [2011-01-26 15026056]
    "DownloadAccelerator"="c:\program files\DAP\DAP.EXE" [2010-08-29 2835968]
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "RTHDCPL"="RTHDCPL.EXE" [2005-11-17 15600128]
    "ATICCC"="c:\program files\ATI Technologies\ATI.ACE\cli.exe" [2005-08-12 45056]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
    "SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2004-05-20 98304]
    "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2004-05-20 532480]
    "WinampAgent"="c:\program files\Winamp\winampa.exe" [2007-05-14 35328]
    "GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
    "egui"="c:\program files\ESET\ESET Smart Security\egui.exe" [2011-09-22 3080264]
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
    "AvgUninstallURL"="start @uninstallReasonUrl" [X]
    .
    c:\documents and settings\user\Start Menu\Programs\Startup\
    OneNote 2007 Screen Clipper and Launcher.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 98632]
    .
    c:\documents and settings\All Users\Start Menu\Programs\Startup\
    Bluetooth.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2006-1-6 618557]
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "AntiVirusOverride"=dword:00000001
    .
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)
    .
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\DAP\\DAP.exe"=
    "c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
    "c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=
    "c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
    "c:\\Program Files\\SPSSInc\\Statistics17\\SPSSWinWrapIDE.exe"=
    "c:\\Program Files\\SPSSInc\\Statistics17\\statistics.exe"=
    "c:\\Program Files\\SPSSInc\\Statistics17\\statistics.com"=
    "c:\\Program Files\\Skype\\Phone\\Skype.exe"=
    "c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    .
    R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [8/4/2011 9:20 AM 118104]
    R4 AvgTdiX;AVG Free Network Redirector;c:\windows\system32\Drivers\avgtdix.sys –> c:\windows\system32\Drivers\avgtdix.sys [?]
    S3 gtstusbser;Option210 USB Device for Legacy Serial Communication;c:\windows\system32\DRIVERS\gtstusbser.sys –> c:\windows\system32\DRIVERS\gtstusbser.sys [?]
    S3 ZTEusbnet;ZTE USB-NDIS miniport;c:\windows\system32\drivers\ZTEusbnet.sys [9/11/2011 5:57 PM 114688]
    S3 ZTEusbvoice;ZTE VoUSB Port;c:\windows\system32\drivers\zteusbvoice.sys [9/11/2011 5:57 PM 105856]
    .
    — Other Services/Drivers In Memory —
    .
    *NewlyCreated* - 59027844
    *Deregistered* - 59027844
    *Deregistered* - AvgLdx86
    .
    .
    ——- Supplementary Scan ——-
    .
    uStart Page = about:blank
    uInternet Connection Wizard,ShellNext = iexplore
    uInternet Settings,ProxyServer = 192.168.10.6:8080
    IE: &Clean Traces - c:\program files\DAP\Privacy Package\dapcleanerie.htm
    IE: &Download with &DAP - c:\program files\DAP\dapextie.htm
    IE: Download &all with DAP - c:\program files\DAP\dapextie2.htm
    IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
    IE: Send to &Bluetooth Device… - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
    TCP: DhcpNameServer = 192.168.1.1
    Name-Space Handler: ftp\ZDA - {5BFA1DAF-5EDC-11D2-959E-00C00C02DA5E} - c:\progra~1\DAP\dapie.dll
    Name-Space Handler: http\ZDA - {5BFA1DAF-5EDC-11D2-959E-00C00C02DA5E} - c:\progra~1\DAP\dapie.dll
    .
    .
    ——- File Associations ——-
    .
    .
    - - - - ORPHANS REMOVED - - - -
    .
    Toolbar-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
    WebBrowser-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
    HKCU-Run-SuperCopier2.exe - c:\program files\SuperCopier2\SuperCopier2.exe
    HKCU-Run-BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} - c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe
    HKLM-Run-PHIME2002ASync - c:\windows\System\dumprep.exe
    .
    .
    .
    **************************************************************************
    .
    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2012-02-05 20:15
    Windows 5.1.2600 Service Pack 3 NTFS
    .
    scanning hidden processes …
    .
    scanning hidden autostart entries …
    .
    scanning hidden files …
    .
    scan completed successfully
    hidden files: 0
    .
    **************************************************************************
    .
    ——————— DLLs Loaded Under Running Processes ———————
    .
    - - - - - - - > 'winlogon.exe'(1324)
    c:\windows\system32\Ati2evxx.dll
    .
    Completion time: 2012-02-05 20:20:04
    ComboFix-quarantined-files.txt 2012-02-05 18:20
    .
    Pre-Run: 50,778,562,560 bytes free
    Post-Run: 51,705,090,048 bytes free
    .
    WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
    [boot loader]
    timeout=2
    default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
    [operating systems]
    c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
    UnsupportedDebug="do not select this" /debug
    multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
    .
    - - End Of File - - E4E9F6C49092C11FF1FA425C9E579144


    Alvast hartelijk dank!
    perloc
  • Ik meende nu, dat jij de Eset Online scanner had gebruikt.
    Want dat zou voor de hand liggen….
    Nu blijkt echter dat jij de nieuwste versie van Eset Smart Security (antivirus + firewall) hebt geïnstalleerd.
    Dat is dus dan een dertig dagen versie, want ik neem aan dat je deze niet betaald hebt.

    En wil je weer overgaan op AVG 2012 of Avast 6, dan is er een probleem.
    Eset laat zich namelijk niet zomaar verwijderen!
    Ergo, nu nog niet eraan gaan dokteren!


    Zorg ervoor dat alle openstaande webbrowservensters gesloten zijn.
    Open een nieuw kladblok (of anders: notepad) bestand, via "Start\Alle programma’s\Bureau-accessoires\[b:282240bce8]Kladblok (of Notepad)[/b:282240bce8]". .

    Kopieer en plak de volgende (vetgedrukte, blauwe tekst) in het lege kladblokvenstervenster


    [b:282240bce8]ClearJavaCache::

    File::
    c:\windows\002915_.tmp
    c:\windows\system32\drivers\avgtdix.sys

    Folder::
    c:\windows\system32\bits
    c:\program files\SpeedBit Video Downloader

    Driver::
    avgtdix

    Registry:
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
    "AvgUninstallURL"=-[/color:282240bce8][/b:282240bce8]


    Sla dit kladblokbestand op je bureaublad op als [b:282240bce8]CFScript.txt[/b:282240bce8].

    [b:282240bce8]Nu eerst de antivirus deaktiveren![/color:282240bce8][/b:282240bce8]


    Sleep CFScript.txt in ComboFix.exe


    [img:282240bce8]http://crew.nucia.eu/smeenk/CFScript.gif[/img:282240bce8]

    Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt.


    Post het Combofix log dat na het opnieuw starten wordt getoond!
    Ingeval Combofix je computer opnieuw heeft opgestart (of jij dat hebt gedaan), vindt je het log ook in [b:282240bce8]C:\Combofix.txt[/b:282240bce8]

    [b:282240bce8]Belangrijke opmerking[/b:282240bce8]:
    [list:282240bce8][*:282240bce8][b:282240bce8]Indien na de scan bij het opstarten van programma's er een error wordt getoond met de melding:[/color:282240bce8][/b:282240bce8]
    [*:282240bce8][b:282240bce8]Illegal operation attempted on a registery key that has been marked for deletion.[/color:282240bce8][/b:282240bce8]
    [*:282240bce8][b:282240bce8]Start dan de computer opnieuw op.[/color:282240bce8][/b:282240bce8][/list:u:282240bce8]
  • Oei! Dat is mis gegaan!
    Ik heb AVG uitgezet (max. 15min mogelijk)
    Daarna die file in Combofix gesleept, die begon een hele rij af te tellen en toen kreeg ik een waarschuwing wegens ESET dat ik op eigen risico kon doorgaan. Dat heb ik gedaan en er kwam de mededeling:
    "Attempt to create a new system restore point" en daar bleef hij op hangen. Ik heb een minuur of tien gewacht maar er gebeurde niets meer, geen HD activiteit, niets.
    Wat nu?
    perloc
  • Wat er gebeuren moet in dien je die waarschuwing over het register krijgt, staat onderaan de handleiding:

    [b:d56b06bab0]Belangrijke opmerking[/b:d56b06bab0]:
    [list:d56b06bab0][*:d56b06bab0][b:d56b06bab0]Indien na de scan bij het opstarten van programma's er een error wordt getoond met de melding:[/color:d56b06bab0][/b:d56b06bab0]
    [*:d56b06bab0][b:d56b06bab0]Illegal operation attempted on a registery key that has been marked for deletion.[/color:d56b06bab0][/b:d56b06bab0]
    [*:d56b06bab0][b:d56b06bab0]Start dan de computer opnieuw op.[/color:d56b06bab0][/b:d56b06bab0][/list:u:d56b06bab0]
  • Ik geef toe dat ik er niet aan heb gedacht.
    Maar Combofix gaf ook niet de fout waarop je de computer opnieuw moest booten. Hij stopte er gewoon mee.
    Verder vraag ik me af of de computer wel afsluit. Ja, bij aangesloten voeding (altijd, want de batterij is slecht) staat bij klep dicht in Power Options om de computer af te sluiten. Buiten dat gebruik ik de normale weg via de windows key "Turn off computer".
    Maar als ik opstart staat gelijk op de desktop alle logo's en tevens is ook de start balk rechts gevuld met logo's. Wel duurt het een tijd, 3-5 minuten, voor ik iets kan doen.
    Dus de computer is afgesloten geweest, Combofix is niet opnieuw begonnen. Zou dat moeten na een reboot?
    perloc
  • Kijk voor het log in C:\Combofix.
  • Ik kan geen log file vinden van Combofix op C:. Ik heb ook niet gezien "Prepairing log Report". De folder Combofix op C: is heel erg groot en het lijkt haast of Combofix de hele HD daarin heeft gecopieerd. Is dat normaal?
    perloc
  • Hoe groot is dan de map Qoobox?
  • Sorry, gisteren heel weinig tijd gehad.
    Qoobox bevat, behalve 4 files, 5 folders waarvan er 3 leeg zijn, (BackEnv) heeft 24 files, Quaranmtraine heeft o.a. subfolder AVG met 60 files en ook de anderen hebben files.
    Daarbij is er ook nog een copie, (subfolder) van dit alles in \combofix\c: met de foldernaam Combifix met dezelfde inhoud!! Dus qoobox komt 2 keer voor.

    perloc
  • Ik heb nog niet eerder meegemaakt, dat er meerdere Qoobox-mappen in Windows zouden zijn.

    Indien ComboFix nog op het buraublad staat, doe je nu het volgende:

    ComboFix verwijderen:
    [list:d038d429b9][*:d038d429b9] ga daarvoor naar Start - Uitvoeren:
    [*:d038d429b9] kopieer en plak hierin het volgende: [b:d038d429b9]Combofix /Uninstall[/b:d038d429b9]
    [*:d038d429b9] klik daarna op [b:d038d429b9]OK[/b:d038d429b9].
    [*:d038d429b9] ComboFix start op en het lijkt erop dat het tool zich installeert, maar dat is niet zo;
    [*:d038d429b9] indien het goed is, krijg je vervolgens een melding, dat Combofix verwijderd werd.[/list:u:d038d429b9]

    Voorbeeld:

    [img:d038d429b9]http://www.emphyrio.be/images/SMUninstall_combofix.png[/img:d038d429b9]

    Uitvoeren kan ook gestart worden door gelijktijdig de "Windowstoets + R-toets" in te drukken.

    [i:d038d429b9]Dit zal Combofix verwijderen inclusief gerelateerde mappen en bestanden,
    herstelt de klokinstellingen opnieuw, verbergt de bestandsextensies,
    gaat verborgen bestanden en systeembestanden terug verbergen
    en reset je Systeemherstel opnieuw.[/i:d038d429b9]


    Controleer daarna wat er van ComboFix nog aanwezig is.
    Is er dan bijv. nog 1 map Qoobox aanwezig, download ComboFix opnieuw en herhaal de Uninstall!
  • Ook dat is niet goed gegaan.
    Halverwege het process van Combofix kwam AVG met de mededeling dat hij een trheat had gevonden CMD.3XE in folder c:\32788R22FW Die heb ik laten verwijderen (de exacte term daarvoor ben ik vergeten). Dit is trouwens al de 2de keer!.
    Daarna kwam de mededeling (window) "Are you sure you want to quit ESET smart security?" Daar heb ik maar OK voor ingedrukt. Van de actie van Combofix heb ik niets teruggezien.
    In C: (en op de desktop het logo) staat, zo te zien, alles nog van Combofix. Alvorens het advies voor opnieuw downloaden zou ik graag willen lezen wat ik moet doen.
    perloc
  • Jaja, eerst installeer je Eset SmartSecurity en vervolgens installeer je ook nog AVG.

    Dat is dus één antivirus teveel!
  • Betekent dit dat u mij niet meer verder wil helpen?
    Ik heb in eerste instantie AVG gedraaid (die stond erop) en toen wilde ik de online ESET scanner draaien. Het is toch niet de bedoeling om bij vermoeden van virus problemen gelijk hulp te gaan zoeken op het forum C!T? Wel?
    Het is niet mijn bedoeling geweest om ESET te installeren maar waarschijnlijk heb ik iets niet uitgevinkt en ik kan me niet herinneren iets te hebben aangevinkt.
    ESET vroeg om de virusscanner te de-activeren. De rest is bekend uit mijn verhaal.
    Dus….??
    perloc
  • De Eset Online Scanner is iets heel anders dan Eset Smart Security.
    Want dat is antivirus + firewall!
    En natuurlijk wil ik je blijven helpen, maar je hebt door eigen toedoen er een rotzooitje van gemaakt in die Windows en dat moet nu eerst opgelost worden!

    Deïnstalleer nu Eset eerst via Configuratiescherm|Sotware en laat een nieuwe ComboFix dan daarna een nieuwe scan doen en daarvan post je het log.
  • Voordat ik opnieuw verwijten krijg even melden dat Combofix nog op de dektop staat. ESET is verwijderd.
    U zegt "een nieuwe Combofix", maar daarvoor moet toch eerst de oude worden verwijderd? En dat kan niet in Add/Remove programs.

    perloc
  • Gooi de oude in de prullenbak en leeg deze vervolgens.

    Download vervolgens een nieuwe versie naar het bureaublad: [b:e690f13f87]Bleepingcomputer[/b:e690f13f87]

    En na deaktivering van AVG start je de scan.
    Negeer mogelijke waarschuwingen, dat Eset nog aktief is!

    Verwijten?
    Als jij je vergist en je installeert Eset Smart Security in plaats van de Online versie van Eset en dien ten gevolge gaan we in een vicieus cirkeltje draaien, dan gebruik ik inderdaad iets hardere taal om de boel wakker te schudden!

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.