Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

Laptop besmet: HijackThis log

None
13 antwoorden
  • Hallo,

    Tijdens het surfen waarschijnlijk toch ergens op een foute link geklikt. De virusscanner (McAfee Enterprise 8.0i) zag diverse zaken langskomen, maar heeft volgens mij niet alles tegen kunnen houden. Ik heb nog gescand met S&D en AdAware, maar daar komt niets bijzonders uit. Housecall ziet nog wel een bedreiging, maar kan deze niet verwijderen. Zouden jullie eens naar mijn HijackThis log willen kijken om te zien wat er aan de hand zou kunnen zijn?
    Alvast hartelijk dank!

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 21:49:45, on 23-2-2009
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16791)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
    C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
    C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
    C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
    C:\Program Files\Network Associates\VirusScan\Mcshield.exe
    C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
    C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Toshiba\TOSHIBA Applet\TAPPSRV.exe
    C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
    C:\Program Files\Wireless-N Business Notebook Adapter\WLService.exe
    C:\Program Files\Wireless-N Business Notebook Adapter\WLS.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
    C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
    C:\Program Files\Common Files\Network Associates\TalkBack\TBMon.exe
    C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtMon.exe
    C:\Program Files\Wireless-N Business Notebook Adapter\WPC4400N.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtProc.exe
    C:\Program Files\Microsoft ActiveSync\Wcescomm.exe
    C:\WINDOWS\system32\TPSBattM.exe
    C:\PROGRA~1\MICROS~3\rapimgr.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
    O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
    O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
    O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Common Files\Network Associates\TalkBack\TBMon.exe"
    O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe /logon
    O4 - HKLM\..\Run: [WrtMon.exe] C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtMon.exe
    O4 - HKLM\..\Run: [WPC4400N] C:\Program Files\Wireless-N Business Notebook Adapter\WPC4400N.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\Wcescomm.exe"
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Lokale service')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Netwerkservice')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Adobe Reader Snelle start.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin
    pjpi150_04.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin
    pjpi150_04.dll
    O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
    O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
    O9 - Extra 'Tools' menuitem: Mobiele favorieten maken… - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O15 - Trusted Zone: http://*.mcafee.com
    O16 - DPF: {34DC6011-88B5-4EA9-BA7A-DC7B4F4437FE} (JordanUploader Class) - http://foto.hema.nl/ips-opdata/layout/hema/objects/jordan.cab
    O16 - DPF: {493ACF15-5CD9-4474-82A6-91670C3DD66E} (LinkedIn ContactFinderControl) - http://www.linkedin.com/cab/LinkedInContactFinderControl.cab
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com
    esources/scan8/oscan8.cab
    O16 - DPF: {DA25EE3A-530B-4494-AA8A-AA52557E37B6} (LinkedIn Signature Control) - http://www.linkedin.com/cab/LinkedInSignatureControl.cab
    O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5532/mcfscan.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{52D1A988-AA90-4000-A843-2A95BBA66924}: NameServer = 195.241.48.33,195.241.49.33
    O17 - HKLM\System\CCS\Services\Tcpip\..\{C8281126-038F-470D-A9F1-BDE0D922919F}: NameServer = 195.241.48.33,195.241.49.33
    O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
    O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
    O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
    O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
    O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
    O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
    O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Program Files\Toshiba\TOSHIBA Applet\TAPPSRV.exe
    O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
    O23 - Service: Webroot Spy Sweeper Engine (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
    O23 - Service: WPC4400NSVC - GEMTEKS - C:\Program Files\Wireless-N Business Notebook Adapter\WLService.exe


    End of file - 8818 bytes


  • Start hijackthis en kies voor 'do a system scan only'
    Selecteer alleen de items die hieronder zijn genoemd:

    [b:212227ab8c]R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =[/b:212227ab8c]

    Sluit alle vensters behalve Hijackthis
    Klik op 'Fix checked' om de items te verwijderen.


    Download [b:212227ab8c] en sla het op je bureaublad op.
    Dubbelklik op [b:212227ab8c]mbam-setup.exe[/b:212227ab8c] om het programma te installeren.

    Zorg dat er na de installatie een vinkje is geplaatst bij:[list:212227ab8c]
    [*:212227ab8c]Update MalwareBytes' Anti-Malware
    [*:212227ab8c]Start MalwareBytes' Anti-Malware
    [/list:u:212227ab8c]Klik daarna op "[b:212227ab8c]Voltooien[/b:212227ab8c]".
    Indien een update gevonden wordt, zal die gedownload en geïnstalleerd worden.[list:212227ab8c]
    [*:212227ab8c]Zodra het programma gestart is, ga dan naar het tabblad "[b:212227ab8c]Instellingen[/b:212227ab8c]".
    [*:212227ab8c]Vink hier aan: "[b:212227ab8c]Sluit Internet Explorer tijdens verwijdering van malware[/b:212227ab8c]".
    [*:212227ab8c]Ga daarna naar het tabblad "[b:212227ab8c]Scanner[/b:212227ab8c]", kies hier voor "[b:212227ab8c]Snelle Scan[/b:212227ab8c]".
    [*:212227ab8c]Druk vervolgens op "[b:212227ab8c]Scannen[/b:212227ab8c]" om de scan te starten.
    [*:212227ab8c]Het scannen kan een tijdje duren, dus wees geduldig.

    [*:212227ab8c]Wanneer de scan voltooid is, klik op [b:212227ab8c]OK[/b:212227ab8c], daarna "[b:212227ab8c]Bekijk Resultaten[/b:212227ab8c]" om de resultaten te zien.
    [*:212227ab8c]Zorg ervoor dat daar alles aangevinkt is, daarna klik op: "[b:212227ab8c]Verwijder geselecteerde[/b:212227ab8c]".
    [*:212227ab8c]Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten.
    [/list:u:212227ab8c]Het log wordt automatisch bewaard door MalwareBytes' Anti-Malware en kan je terugvinden door op de "[b:212227ab8c]Logs[/b:212227ab8c]" tab te klikken in het programma.

    Plaats dit logje



    Download [b:212227ab8c] naar je Bureaublad en gebruik het volgens deze handleiding.
    [i:212227ab8c]
  • @Othuroyo:

    Alvast bedankt voor je hulp!!

    De aangegeven HijackThis entry heb ik verwijderd.
    ————————————————-
    Logbestand van Malwarebytes:
    Malwarebytes' Anti-Malware 1.34
    Database versie: 1798
    Windows 5.1.2600 Service Pack 3

    24-2-2009 19:45:49
    mbam-log-2009-02-24 (19-45-49).txt

    Scan type: Snelle Scan
    Objecten gescand: 67284
    Verstreken tijd: 4 minute(s), 43 second(s)

    Geheugenprocessen geïnfecteerd: 0
    Geheugenmodulen geïnfecteerd: 0
    Registersleutels geïnfecteerd: 1
    Registerwaarden geïnfecteerd: 0
    Registerdata bestanden geïnfecteerd: 0
    Mappen geïnfecteerd: 0
    Bestanden geïnfecteerd: 0

    Geheugenprocessen geïnfecteerd:
    (Geen kwaadaardige items gevonden)

    Geheugenmodulen geïnfecteerd:
    (Geen kwaadaardige items gevonden)

    Registersleutels geïnfecteerd:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{a3ed5288-f558-4f6e-8d5c-740cb6f89029} (Rogue.Multiple) -> Quarantined and deleted successfully.

    Registerwaarden geïnfecteerd:
    (Geen kwaadaardige items gevonden)

    Registerdata bestanden geïnfecteerd:
    (Geen kwaadaardige items gevonden)

    Mappen geïnfecteerd:
    (Geen kwaadaardige items gevonden)

    Bestanden geïnfecteerd:
    (Geen kwaadaardige items gevonden)

    ————————————

    Logbestand van Combofix:

    ComboFix 09-02-21.01 - Yvon Didden 2009-02-24 19:58:49.2 - NTFSx86
    Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1043.18.1014.578 [GMT 1:00]
    Gestart vanuit: c:\documents and settings\Yvon Didden\Bureaublad\ComboFix.exe
    FW: Norton Internet Worm Protection *disabled*
    .

    (((((((((((((((((((((((((((((((((( Andere Verwijderingen )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\test.txt

    .
    (((((((((((((((((((( Bestanden Gemaakt van 2009-01-24 to 2009-02-24 ))))))))))))))))))))))))))))))
    .

    2009-02-24 19:39 . 2009-02-24 19:39 <DIR> d——– c:\program files\Malwarebytes' Anti-Malware
    2009-02-24 19:39 . 2009-02-24 19:39 <DIR> d——– c:\documents and settings\Yvon Didden\Application Data\Malwarebytes
    2009-02-24 19:39 . 2009-02-24 19:39 <DIR> d——– c:\documents and settings\All Users\Application Data\Malwarebytes
    2009-02-24 19:39 . 2009-02-11 10:19 38,496 –a—— c:\windows\system32\drivers\mbamswissarmy.sys
    2009-02-24 19:39 . 2009-02-11 10:19 15,504 –a—— c:\windows\system32\drivers\mbam.sys
    2009-02-24 19:35 . 2009-02-24 19:35 <DIR> d——– c:\windows\LastGood
    2009-02-23 21:48 . 2009-02-23 21:48 <DIR> d——– c:\program files\Trend Micro
    2009-02-23 19:30 . 2009-02-23 20:28 <DIR> d——– c:\windows\BDOSCAN8
    2009-02-22 20:38 . 2009-02-22 20:38 <DIR> d——– c:\windows\McAfee.com
    2009-02-22 14:11 . 2009-02-22 14:11 <DIR> d——– c:\documents and settings\NetworkService\Application Data\Webroot
    2009-02-22 14:11 . 2006-01-28 18:08 <DIR> d——– c:\documents and settings\Administrator\WINDOWS
    2009-02-22 14:11 . 2006-01-28 18:08 <DIR> d–h—– c:\documents and settings\Administrator\Sjablonen
    2009-02-22 14:11 . 2006-01-28 18:08 <DIR> dr-h—– c:\documents and settings\Administrator\Onlangs geopend
    2009-02-22 14:11 . 2006-01-18 10:50 <DIR> d–h—– c:\documents and settings\Administrator\Netwerkprinteromgeving
    2009-02-22 14:11 . 2006-01-28 18:08 <DIR> dr——- c:\documents and settings\Administrator\Mijn documenten
    2009-02-22 14:11 . 2006-01-28 18:08 <DIR> dr——- c:\documents and settings\Administrator\Menu Start
    2009-02-22 14:11 . 2006-01-28 18:08 <DIR> dr——- c:\documents and settings\Administrator\Favorieten
    2009-02-22 14:11 . 2006-01-19 14:56 <DIR> d——– c:\documents and settings\Administrator\Bureaublad
    2009-02-22 14:11 . 2006-01-28 18:08 <DIR> d——– c:\documents and settings\Administrator\Application Data\toshiba
    2009-02-22 14:11 . 2006-01-28 18:08 <DIR> d——– c:\documents and settings\Administrator\Application Data\Sonic
    2009-02-22 14:11 . 2006-07-15 10:38 <DIR> d——– c:\documents and settings\Administrator\Application Data\Intel
    2009-02-22 14:11 . 2006-01-28 18:08 <DIR> d——– c:\documents and settings\Administrator\Application Data\ATI
    2009-02-22 14:11 . 2009-02-22 14:11 <DIR> d——– c:\documents and settings\Administrator
    2009-02-16 19:29 . 2009-02-16 19:29 <DIR> d——– c:\program files\Microsoft CAPICOM 2.1.0.2
    2009-02-15 15:22 . 2008-10-16 14:06 268,648 –a—— c:\windows\system32\mucltui.dll
    2009-02-15 15:22 . 2008-10-16 14:06 208,744 –a—— c:\windows\system32\muweb.dll
    2009-02-15 15:22 . 2008-10-16 14:06 27,496 –a—— c:\windows\system32\mucltui.dll.mui
    2009-02-14 17:30 . 2009-02-14 17:30 <DIR> d——– c:\program files\Microsoft Silverlight
    2009-01-31 16:09 . 2009-01-31 16:09 <DIR> d——– c:\documents and settings\Yvon Didden\Application Data\McAfee
    2009-01-31 16:09 . 2009-01-31 16:09 <DIR> d——– c:\documents and settings\All Users\Application Data\McAfee

    .
    ((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2009-02-23 20:42 ——— d—a-w c:\documents and settings\All Users\Application Data\TEMP
    2009-02-22 19:32 ——— d—–w c:\program files\Spybot - Search & Destroy
    2009-02-22 17:41 15,648 —-a-w c:\windows\system32\drivers\NSDriver.sys
    2009-02-22 17:41 15,648 —-a-w c:\windows\system32\drivers\AWRTRD.sys
    2009-02-22 17:41 12,960 —-a-w c:\windows\system32\drivers\AWRTPD.sys
    2009-02-22 17:41 ——— d—–w c:\program files\Lavasoft
    2009-02-22 17:40 ——— d—–w c:\program files\Common Files\Wise Installation Wizard
    2009-02-22 17:40 ——— d—–w c:\documents and settings\All Users\Application Data\Lavasoft
    2009-02-22 15:38 ——— d—–w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
    2009-02-22 14:35 ——— d—–w c:\program files\Wireless-N Business Notebook Adapter
    2009-02-22 09:27 ——— d—–w c:\documents and settings\Yvon Didden\Application Data\LimeWire
    2009-02-16 20:36 ——— d—–w c:\program files\Microsoft ActiveSync
    2009-01-17 18:56 ——— d–h–w c:\program files\InstallShield Installation Information
    2009-01-17 18:53 ——— d—–w c:\program files\Sprite Software
    2009-01-17 18:53 ——— d—–w c:\documents and settings\Yvon Didden\Application Data\Sprite Software
    2009-01-17 15:18 ——— d—–w c:\program files\Windows Mobile-hulpbronnen
    2009-01-17 14:34 ——— d—–w c:\program files\Google
    2008-12-20 23:03 826,368 —-a-w c:\windows\system32\wininet.dll
    2008-05-10 16:20 32,768 –sha-w c:\windows\system32\config\systemprofile\Local Settings\Geschiedenis\History.IE5\MSHist012008051020080511\index.dat
    .

    ((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
    "H/PC Connection Agent"="c:\program files\Microsoft ActiveSync\Wcescomm.exe" [2006-11-13 1289000]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ShStatEXE"="c:\program files\Network Associates\VirusScan\SHSTAT.EXE" [2004-09-22 94208]
    "McAfeeUpdaterUI"="c:\program files\Network Associates\Common Framework\UpdaterUI.exe" [2004-08-06 139320]
    "Network Associates Error Reporting Service"="c:\program files\Common Files\Network Associates\TalkBack\TBMon.exe" [2003-10-07 147514]
    "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
    "CanonSolutionMenu"="c:\program files\Canon\SolutionMenu\CNSLMAIN.exe" [2007-10-25 652624]
    "WrtMon.exe"="c:\windows\system32\spool\drivers\w32x86\3\WrtMon.exe" [2006-09-20 20480]
    "WPC4400N"="c:\program files\Wireless-N Business Notebook Adapter\WPC4400N.exe" [2006-09-19 4490240]
    "TPSMain"="TPSMain.exe" [2005-08-03 c:\windows\system32\TPSMain.exe]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

    c:\documents and settings\All Users\Menu Start\Programma's\Opstarten\
    Adobe Reader Snelle start.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696]

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CanonMyPrinter]
    –a—— 2007-09-13 17:50 1603152 c:\program files\Canon\MyPrinter\BJMYPRT.EXE

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DLA]
    –a–c— 2005-10-06 05:20 122940 c:\windows\system32\DLA\DLACTRLW.EXE

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxhkcmd]
    –a—— 2005-11-28 21:52 77824 c:\windows\system32\hkcmd.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxpers]
    –a—— 2005-11-28 21:55 118784 c:\windows\system32\igfxpers.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxtray]
    –a—— 2005-11-28 21:55 98304 c:\windows\system32\igfxtray.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IJNetworkScanUtility]
    –a—— 2007-05-21 00:37 124512 c:\program files\Canon\Canon IJ Network Scan Utility\CNMNSUT.EXE

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IntelWireless]
    –a–c— 2005-11-28 10:41 602182 c:\program files\Intel\Wireless\Bin\iFrmewrk.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IntelZeroConfig]
    –a–c— 2005-12-05 11:37 667718 c:\program files\Intel\Wireless\Bin\ZCfgSvc.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OpwareSE4]
    –a—— 2007-06-13 09:39 73728 c:\program files\ScanSoft\OmniPageSE4\OpWareSE4.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SmoothView]
    –a–c— 2005-05-12 13:28 118784 c:\program files\Toshiba\TOSHIBA-zoomutility\SmoothView.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSBkgdUpdate]
    –a—— 2006-10-25 08:03 210472 c:\program files\Common Files\ScanSoft Shared\SSBkgdUpdate\SSBkgdUpdate.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
    –a–c— 2005-12-17 00:32 761945 c:\program files\Synaptics\SynTP\SynTPEnh.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\THotkey]
    –a–c— 2006-01-05 14:02 352256 c:\program files\Toshiba\TOSHIBA Applet\THotkey.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Tvs]
    –a–c— 2005-11-30 12:25 73728 c:\program files\Toshiba\Tvs\TvsTray.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG]
    –a—— 2005-10-15 14:29 88203 c:\windows\agrsmmsg.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
    –a—— 2005-05-04 02:43 69632 c:\windows\Alcmtr.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
    –a—— 2005-12-09 23:49 15691264 c:\windows\RTHDCPL.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TDispVol]
    –a—— 2005-09-16 14:04 73728 c:\windows\system32\TDispVol.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
    "DisableMonitoring"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\Program Files\\Synology Assistant\\DSAssistant.exe"=
    "c:\program files\Microsoft ActiveSync\rapimgr.exe"= c:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
    "c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
    "c:\program files\Microsoft ActiveSync\WCESMgr.exe"= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
    "c:\\Program Files\\Network Associates\\Common Framework\\FrameworkService.exe"=
    "c:\\Program Files\\LimeWire\\LimeWire.exe"=
    "c:\\Program Files\\Wireless-N Business Notebook Adapter\\WPC4400N.exe"=
    "c:\\Program Files\\Sprite Software\\Sprite Backup\\spriteservice.exe"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

    R1 NaiAvTdi1;NaiAvTdi1;c:\windows\system32\drivers\mvstdi5x.sys [2006-10-27 58048]
    R2 WPC4400NSVC;WPC4400NSVC;c:\program files\Wireless-N Business Notebook Adapter\WLService.exe [2008-11-15 53307]
    R3 NETMW145;WPC4400N;c:\windows\system32\drivers
    etmw145.sys [2008-11-15 554112]

    — Andere Services/Drivers In Geheugen —

    *NewlyCreated* - ENTDRV51

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
    UxTuneUp

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7ff82d9a-ccc5-11db-88e4-0013022c600e}]
    \Shell\AutoRun\command - F:\InstallTomTomHOME.exe
    .
    Inhoud van de 'Gedeelde Taken' map

    2009-02-24 c:\windows\Tasks\1-Click Maintenance.job
    - c:\program files\TuneUp Utilities 2008\OneClickStarter.exe [2008-04-16 08:59]
    .
    .
    ——- Bijkomende Scan ——-
    .
    uStart Page = hxxp://www.google.nl
    uDefault_Search_URL = hxxp://www.google.com/ie
    mStart Page = hxxp://www.google.nl
    uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
    IE: E&xporteren naar Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    Trusted Zone: internet
    Trusted Zone: mcafee.com
    TCP: {52D1A988-AA90-4000-A843-2A95BBA66924} = 195.241.48.33,195.241.49.33
    TCP: {C8281126-038F-470D-A9F1-BDE0D922919F} = 195.241.48.33,195.241.49.33
    DPF: {34DC6011-88B5-4EA9-BA7A-DC7B4F4437FE} - hxxp://foto.hema.nl/ips-opdata/layout/hema/objects/jordan.cab
    DPF: {DA25EE3A-530B-4494-AA8A-AA52557E37B6} - hxxp://www.linkedin.com/cab/LinkedInSignatureControl.cab
    .

    **************************************************************************

    catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2009-02-24 19:59:53
    Windows 5.1.2600 Service Pack 3 NTFS

    scannen van verborgen processen …

    scannen van verborgen autostart items …

    scannen van verborgen bestanden …

    Scan succesvol afgerond
    verborgen bestanden: 0

    **************************************************************************
    .
    ——————— VERGRENDELDE REGISTER SLEUTELS ———————

    [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•9~*]
    "3140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
    .
    ——————— DLLs Geladen Onder Lopende Processen ———————

    - - - - - - - > 'winlogon.exe'(624)
    c:\windows\system32\Ati2evxx.dll
    c:\windows\system32\WRLogonNTF.dll

    - - - - - - - > 'lsass.exe'(680)
    c:\windows\system32\EntApi.dll
    .
    Voltooingstijd: 2009-02-24 20:01:09
    ComboFix-quarantined-files.txt 2009-02-24 19:01:07
    ComboFix2.txt 2009-02-24 18:55:50

    Pre-Run: 17.844.649.984 bytes beschikbaar
    Post-Run: 17,832,157,184 bytes beschikbaar

    192 — E O F — 2009-02-17 18:52:58
  • Download Flash_Disinfector.exe en plaats hem op je bureaublad: http://download.bleepingcomputer.com/sUBs/Flash_Disinfector.exe
    Zorg dat de flasdrives / usbsticks / externe harde schijven ook ingestoken zijn.
    Dubbelklik op Flash_Disinfector.exe om de tool te starten.
    Als de tool klaar is, zal de computer opnieuw starten.





    Open een kladblokbestand.
    Kopieer de onderstaande code, en plak deze in het kladblokbestand.

  • Hmmm, bij het downloaden van Flash_Disinfector krijg ik een melding van de virusscanner dat er in Flash_Disinfector een Paard van Troje ontdekt is (Generic.dx). Moet ik de virusscanner eerst uitschakelen voordat ik het bestand ga downloaden??
  • Dat is inderdaad handiger, het is bekend dat McAfee Flash Disinfector als virus ziet maar geloof me dat is het niet. :wink:
  • Okee, bovenstaande acties verricht, met virusscanner uit. Het logbestand van Combofix ziet er als volgt uit:

    ComboFix 09-02-24.02 - Yvon Didden 2009-02-25 18:27:13.3 - NTFSx86
    Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1043.18.1014.612 [GMT 1:00]
    Gestart vanuit: c:\documents and settings\Yvon Didden\Bureaublad\ComboFix.exe
    gebruikte Opdracht switches :: c:\documents and settings\Yvon Didden\Bureaublad\CFScript.txt
    FW: Norton Internet Worm Protection *disabled*
    * Nieuw herstelpunt werd aangemaakt
    .

    (((((((((((((((((((((((((((((((((( Andere Verwijderingen )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\test.txt

    .
    (((((((((((((((((((( Bestanden Gemaakt van 2009-01-25 to 2009-02-25 ))))))))))))))))))))))))))))))
    .

    2009-02-24 19:39 . 2009-02-24 19:39 <DIR> d——– c:\program files\Malwarebytes' Anti-Malware
    2009-02-24 19:39 . 2009-02-24 19:39 <DIR> d——– c:\documents and settings\Yvon Didden\Application Data\Malwarebytes
    2009-02-24 19:39 . 2009-02-24 19:39 <DIR> d——– c:\documents and settings\All Users\Application Data\Malwarebytes
    2009-02-24 19:39 . 2009-02-11 10:19 38,496 –a—— c:\windows\system32\drivers\mbamswissarmy.sys
    2009-02-24 19:39 . 2009-02-11 10:19 15,504 –a—— c:\windows\system32\drivers\mbam.sys
    2009-02-23 21:48 . 2009-02-23 21:48 <DIR> d——– c:\program files\Trend Micro
    2009-02-23 19:30 . 2009-02-23 20:28 <DIR> d——– c:\windows\BDOSCAN8
    2009-02-22 20:38 . 2009-02-22 20:38 <DIR> d——– c:\windows\McAfee.com
    2009-02-22 14:11 . 2009-02-22 14:11 <DIR> d——– c:\documents and settings\NetworkService\Application Data\Webroot
    2009-02-22 14:11 . 2006-01-28 18:08 <DIR> d——– c:\documents and settings\Administrator\WINDOWS
    2009-02-22 14:11 . 2006-01-28 18:08 <DIR> d–h—– c:\documents and settings\Administrator\Sjablonen
    2009-02-22 14:11 . 2006-01-28 18:08 <DIR> dr-h—– c:\documents and settings\Administrator\Onlangs geopend
    2009-02-22 14:11 . 2006-01-18 10:50 <DIR> d–h—– c:\documents and settings\Administrator\Netwerkprinteromgeving
    2009-02-22 14:11 . 2006-01-28 18:08 <DIR> dr——- c:\documents and settings\Administrator\Mijn documenten
    2009-02-22 14:11 . 2006-01-28 18:08 <DIR> dr——- c:\documents and settings\Administrator\Menu Start
    2009-02-22 14:11 . 2006-01-28 18:08 <DIR> dr——- c:\documents and settings\Administrator\Favorieten
    2009-02-22 14:11 . 2006-01-19 14:56 <DIR> d——– c:\documents and settings\Administrator\Bureaublad
    2009-02-22 14:11 . 2006-01-28 18:08 <DIR> d——– c:\documents and settings\Administrator\Application Data\toshiba
    2009-02-22 14:11 . 2006-01-28 18:08 <DIR> d——– c:\documents and settings\Administrator\Application Data\Sonic
    2009-02-22 14:11 . 2006-07-15 10:38 <DIR> d——– c:\documents and settings\Administrator\Application Data\Intel
    2009-02-22 14:11 . 2006-01-28 18:08 <DIR> d——– c:\documents and settings\Administrator\Application Data\ATI
    2009-02-22 14:11 . 2009-02-22 14:11 <DIR> d——– c:\documents and settings\Administrator
    2009-02-16 19:29 . 2009-02-16 19:29 <DIR> d——– c:\program files\Microsoft CAPICOM 2.1.0.2
    2009-02-15 15:22 . 2008-10-16 14:06 268,648 –a—— c:\windows\system32\mucltui.dll
    2009-02-15 15:22 . 2008-10-16 14:06 208,744 –a—— c:\windows\system32\muweb.dll
    2009-02-15 15:22 . 2008-10-16 14:06 27,496 –a—— c:\windows\system32\mucltui.dll.mui
    2009-02-14 17:30 . 2009-02-14 17:30 <DIR> d——– c:\program files\Microsoft Silverlight
    2009-01-31 16:09 . 2009-01-31 16:09 <DIR> d——– c:\documents and settings\Yvon Didden\Application Data\McAfee
    2009-01-31 16:09 . 2009-01-31 16:09 <DIR> d——– c:\documents and settings\All Users\Application Data\McAfee

    .
    ((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2009-02-23 20:42 ——— d—a-w c:\documents and settings\All Users\Application Data\TEMP
    2009-02-22 19:32 ——— d—–w c:\program files\Spybot - Search & Destroy
    2009-02-22 17:41 15,648 —-a-w c:\windows\system32\drivers\NSDriver.sys
    2009-02-22 17:41 15,648 —-a-w c:\windows\system32\drivers\AWRTRD.sys
    2009-02-22 17:41 12,960 —-a-w c:\windows\system32\drivers\AWRTPD.sys
    2009-02-22 17:41 ——— d—–w c:\program files\Lavasoft
    2009-02-22 17:40 ——— d—–w c:\program files\Common Files\Wise Installation Wizard
    2009-02-22 17:40 ——— d—–w c:\documents and settings\All Users\Application Data\Lavasoft
    2009-02-22 15:38 ——— d—–w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
    2009-02-22 14:35 ——— d—–w c:\program files\Wireless-N Business Notebook Adapter
    2009-02-22 09:27 ——— d—–w c:\documents and settings\Yvon Didden\Application Data\LimeWire
    2009-02-16 20:36 ——— d—–w c:\program files\Microsoft ActiveSync
    2009-01-17 18:56 ——— d–h–w c:\program files\InstallShield Installation Information
    2009-01-17 18:53 ——— d—–w c:\program files\Sprite Software
    2009-01-17 18:53 ——— d—–w c:\documents and settings\Yvon Didden\Application Data\Sprite Software
    2009-01-17 15:18 ——— d—–w c:\program files\Windows Mobile-hulpbronnen
    2009-01-17 14:34 ——— d—–w c:\program files\Google
    2008-12-20 23:03 826,368 —-a-w c:\windows\system32\wininet.dll
    2008-05-10 16:20 32,768 –sha-w c:\windows\system32\config\systemprofile\Local Settings\Geschiedenis\History.IE5\MSHist012008051020080511\index.dat
    .

    ((((((((((((((((((((((((((((( SnapShot@2009-02-24_19.54.44,82 )))))))))))))))))))))))))))))))))))))))))
    .
    + 2008-06-17 19:03:19 8,508,416 -c—-w c:\windows\system32\dllcache\shell32.dll
    - 2008-04-14 20:32:40 8,508,416 —-a-w c:\windows\system32\shell32.dll
    + 2008-06-17 19:03:19 8,508,416 —-a-w c:\windows\system32\shell32.dll
    .
    ((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
    "H/PC Connection Agent"="c:\program files\Microsoft ActiveSync\Wcescomm.exe" [2006-11-13 1289000]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ShStatEXE"="c:\program files\Network Associates\VirusScan\SHSTAT.EXE" [2004-09-22 94208]
    "McAfeeUpdaterUI"="c:\program files\Network Associates\Common Framework\UpdaterUI.exe" [2004-08-06 139320]
    "Network Associates Error Reporting Service"="c:\program files\Common Files\Network Associates\TalkBack\TBMon.exe" [2003-10-07 147514]
    "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
    "CanonSolutionMenu"="c:\program files\Canon\SolutionMenu\CNSLMAIN.exe" [2007-10-25 652624]
    "WrtMon.exe"="c:\windows\system32\spool\drivers\w32x86\3\WrtMon.exe" [2006-09-20 20480]
    "WPC4400N"="c:\program files\Wireless-N Business Notebook Adapter\WPC4400N.exe" [2006-09-19 4490240]
    "TPSMain"="TPSMain.exe" [2005-08-03 c:\windows\system32\TPSMain.exe]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

    c:\documents and settings\All Users\Menu Start\Programma's\Opstarten\
    Adobe Reader Snelle start.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696]

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CanonMyPrinter]
    –a—— 2007-09-13 17:50 1603152 c:\program files\Canon\MyPrinter\BJMYPRT.EXE

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DLA]
    –a–c— 2005-10-06 05:20 122940 c:\windows\system32\DLA\DLACTRLW.EXE

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxhkcmd]
    –a—— 2005-11-28 21:52 77824 c:\windows\system32\hkcmd.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxpers]
    –a—— 2005-11-28 21:55 118784 c:\windows\system32\igfxpers.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxtray]
    –a—— 2005-11-28 21:55 98304 c:\windows\system32\igfxtray.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IJNetworkScanUtility]
    –a—— 2007-05-21 00:37 124512 c:\program files\Canon\Canon IJ Network Scan Utility\CNMNSUT.EXE

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IntelWireless]
    –a–c— 2005-11-28 10:41 602182 c:\program files\Intel\Wireless\Bin\iFrmewrk.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IntelZeroConfig]
    –a–c— 2005-12-05 11:37 667718 c:\program files\Intel\Wireless\Bin\ZCfgSvc.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OpwareSE4]
    –a—— 2007-06-13 09:39 73728 c:\program files\ScanSoft\OmniPageSE4\OpWareSE4.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SmoothView]
    –a–c— 2005-05-12 13:28 118784 c:\program files\Toshiba\TOSHIBA-zoomutility\SmoothView.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSBkgdUpdate]
    –a—— 2006-10-25 08:03 210472 c:\program files\Common Files\ScanSoft Shared\SSBkgdUpdate\SSBkgdUpdate.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
    –a–c— 2005-12-17 00:32 761945 c:\program files\Synaptics\SynTP\SynTPEnh.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\THotkey]
    –a–c— 2006-01-05 14:02 352256 c:\program files\Toshiba\TOSHIBA Applet\THotkey.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Tvs]
    –a–c— 2005-11-30 12:25 73728 c:\program files\Toshiba\Tvs\TvsTray.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG]
    –a—— 2005-10-15 14:29 88203 c:\windows\agrsmmsg.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
    –a—— 2005-05-04 02:43 69632 c:\windows\Alcmtr.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
    –a—— 2005-12-09 23:49 15691264 c:\windows\RTHDCPL.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TDispVol]
    –a—— 2005-09-16 14:04 73728 c:\windows\system32\TDispVol.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
    "DisableMonitoring"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\Program Files\\Synology Assistant\\DSAssistant.exe"=
    "c:\program files\Microsoft ActiveSync\rapimgr.exe"= c:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
    "c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
    "c:\program files\Microsoft ActiveSync\WCESMgr.exe"= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
    "c:\\Program Files\\Network Associates\\Common Framework\\FrameworkService.exe"=
    "c:\\Program Files\\LimeWire\\LimeWire.exe"=
    "c:\\Program Files\\Wireless-N Business Notebook Adapter\\WPC4400N.exe"=
    "c:\\Program Files\\Sprite Software\\Sprite Backup\\spriteservice.exe"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

    R1 NaiAvTdi1;NaiAvTdi1;c:\windows\system32\drivers\mvstdi5x.sys [2006-10-27 58048]
    R2 WPC4400NSVC;WPC4400NSVC;c:\program files\Wireless-N Business Notebook Adapter\WLService.exe [2008-11-15 53307]
    R3 NETMW145;WPC4400N;c:\windows\system32\drivers
    etmw145.sys [2008-11-15 554112]

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
    UxTuneUp
    .
    Inhoud van de 'Gedeelde Taken' map

    2009-02-25 c:\windows\Tasks\1-Click Maintenance.job
    - c:\program files\TuneUp Utilities 2008\OneClickStarter.exe [2008-04-16 08:59]
    .
    .
    ——- Bijkomende Scan ——-
    .
    uStart Page = hxxp://www.google.nl
    uDefault_Search_URL = hxxp://www.google.com/ie
    mStart Page = hxxp://www.google.nl
    uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
    IE: E&xporteren naar Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    Trusted Zone: internet
    Trusted Zone: mcafee.com
    TCP: {52D1A988-AA90-4000-A843-2A95BBA66924} = 195.241.48.33,195.241.49.33
    TCP: {C8281126-038F-470D-A9F1-BDE0D922919F} = 195.241.48.33,195.241.49.33
    DPF: {34DC6011-88B5-4EA9-BA7A-DC7B4F4437FE} - hxxp://foto.hema.nl/ips-opdata/layout/hema/objects/jordan.cab
    DPF: {DA25EE3A-530B-4494-AA8A-AA52557E37B6} - hxxp://www.linkedin.com/cab/LinkedInSignatureControl.cab
    .

    **************************************************************************

    catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2009-02-25 18:28:55
    Windows 5.1.2600 Service Pack 3 NTFS

    scannen van verborgen processen …

    scannen van verborgen autostart items …

    scannen van verborgen bestanden …

    Scan succesvol afgerond
    verborgen bestanden: 0

    **************************************************************************
    .
    ——————— VERGRENDELDE REGISTER SLEUTELS ———————

    [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•9~*]
    "3140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
    .
    ——————— DLLs Geladen Onder Lopende Processen ———————

    - - - - - - - > 'winlogon.exe'(624)
    c:\windows\system32\Ati2evxx.dll
    c:\windows\system32\WRLogonNTF.dll

    - - - - - - - > 'lsass.exe'(680)
    c:\windows\system32\EntApi.dll
    .
    Voltooingstijd: 2009-02-25 18:30:28
    ComboFix-quarantined-files.txt 2009-02-25 17:30:25
    ComboFix2.txt 2009-02-24 19:01:10
    ComboFix3.txt 2009-02-24 18:55:50

    Pre-Run: 17.761.181.696 bytes beschikbaar
    Post-Run: 17,762,242,560 bytes beschikbaar

    196 — E O F — 2009-02-24 19:16:23
  • Zijn er nog problemen?
  • Nee, voor zover ik het nu kan overzien niet. Weet niet of het zin heeft, maar ik kan straks nog even Housecall draaien, om te zien of die er nu ook zonder problemen door komt. Dat laat ik je dan nog even weten.

    Voor nu in elk geval enorm bedankt voor je hulp; geweldig!!
  • @ Othuroyo:
    Housecall heeft niets bijzonders meer gevonden, een paar onschuldige cookies, verder niet. De laptop is weer virusvrij!

    Om een en ander wat beter dicht te timmeren heb ik McAfee Enterprise 8.0i vervangen door McAfee Security Center 8.1. Daardoor krijg ik nu wel enkele foutmeldingen bij het opstarten (kan lokale server niet vinden + een fout in VsTskMgr.exe ). Maar dat probeer ik eerst zelf wel weer op te lossen (tenzij jij daar zo uit de losse pols een antwoord op hebt, natuurlijk).

    Nogmaals hartelijk dank voor je hulp!
  • Ik was op vakantie in Duitsland, vandaar dat ik niet kon reageren.


    Graag gedaan,

    Download ATF cleaner (mirror)(gemaakt door Atribune)

    Belangrijk: Sluit al je browservensters(IE en/of Firefox en/of Opera) om de tool goed te kunnen laten werken.

    Dubbelklik op

    ATF cleaner om het programma te starten.
    Op het tabblad Main, plaats je een vinkje bij Select All.
    Klik op de knop Empty Selected.

    Het volgende doen als je ook FireFox als browser hebt:

    Klik op tabblad Firefox, plaats een vinkje bij Select All.
    Wil je de door Firefox opgeslagen wachtwoorden behouden, dan klik je in het venster dat verschijnt op No.
    (dit haalt het vinkje weer weg bij Firefox saved passwords)
    Klik op de knop Empty Selected.

    Het volgende doen als je ook Opera als browser hebt:

    Klik op tabblad Opera, plaats een vinkje bij Select All.
    Wil je de door Opera opgeslagen wachtwoorden behouden, dan klik je in het venster dat verschijnt op No.
    Klik op de knop Empty Selected.
    Ga naar het tabblad Main en klik op de knop Exit om het programma af te sluiten.3. Je mag alle gebruikte tools en aangemaakte mappen terug verwijderen.(Denk eraan Combofix verwijderen doormiddel van start->uitvoeren [b:20b3a46ff7]ComboFix /U[/b:20b3a46ff7] typen en op enter drukken!!)


    - Ga naar Start/Alle programma's/Bureau-accessoires/Systeemwerkset/Systeemherstel.
    - Klik in de linkerhelft van het venster op "Instellingen van systeemherstel".
    - Zet een vinkje voor "Systeemherstel uitschakelen".
    - Klik "Toepassen".
    - Windows vraagt of je dat zeker weet.
    - Klik "Ja".
    - Klik "OK".
    - Start de pc opnieuw op.
    - Ga weer naar Start/Alle programma's/Bureau-accessoires/Systeemwerkset/Systeemherstel.
    - Je krijgt de melding: "Systeemherstel is uitgeschakeld. Wilt u systeemherstel nu inschakelen?"
    - Klik "Ja".
    - Verwijder het vinkje voor "Systeemherstel uitschakelen".
    - Klik "Toepassen".
    - Klik "OK".
    - Start de pc opnieuw op
    - Er is nu een nieuw schoon herstel punt aangemaakt


    Verder wil ik je wel zeggen dat McAfee alleen niet genoeg is om malware niet toe te laten, je moet nog een anti-spyware scanner zoals Spybot S&D hebben.
  • Goeie vakantie gehad hoop ik?

    Ik was al zeer voortvarend aan de slag gegaan met opruimen, en heb daarbij combofix gewoon met shift+delete weggegooid omdat ik er geen uninstall van kon vinden. Maar ik zie nu dat ik dit eigenlijk via Start->Uitvoeren: Combofix /U had moeten doen … Zou dit nog problemen kunnen gaan opleveren denk je?

    De meldingen die ik kreeg na het installeren van een nieuwere McAfee versie heb ik ondertussen ook 'de nek om kunnen draaien'. Had er nog wel een nieuw topic voor geopend, maar heb het uiteindelijk zelf uit kunnen vogelen.
    Wat betreft je tip voor een anti-spyware scanner; ik heb zowel AdAware (Aniversary Edition) als Spybot S&D op de machine staan, dus op dat front moet de PC nu ook goed dicht getimmerd zitten.
  • Ja, zeker.

    Dat is mooi, ik geloof dat dat met ComboFix niet echt problemen op gaat leveren.
    Dan ben je goed beveiligd en als je goed oppast met waar je op klikt en download dan is de kans op malware al een stuk kleiner(die kans is er natuurlijk altijd).

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.