Vraag & Antwoord
troyan op computer van helena
30 antwoorden
- Hoeveel gebruikeraccounts heeft die PC van je vrouw dan?
- 1 gebruiker
is een totaal andere computer met ook maar 1 gebruiker - Heeft Vista in die PC van je vrouw eerder wel meerdere gebruikers gehad?
- merkte een troyan op de computer van mijn vrouw
heb reeds mbam en combofix gedraaid en hierbij de logs
Malwarebytes' Anti-Malware 1.44
Database versie: 3510
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
23-2-2010 12:45:36
mbam-log-2010-02-23 (12-45-36).txt
Scan type: Snelle Scan
Objecten gescand: 112447
Verstreken tijd: 11 minute(s), 9 second(s)
Geheugenprocessen geïnfecteerd: 0
Geheugenmodulen geïnfecteerd: 0
Registersleutels geïnfecteerd: 1
Registerwaarden geïnfecteerd: 0
Registerdata bestanden geïnfecteerd: 0
Mappen geïnfecteerd: 0
Bestanden geïnfecteerd: 2
Geheugenprocessen geïnfecteerd:
(Geen kwaadaardige items gevonden)
Geheugenmodulen geïnfecteerd:
(Geen kwaadaardige items gevonden)
Registersleutels geïnfecteerd:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{abd42510-9b22-41cd-9dcd-8182a2d07c63} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
Registerwaarden geïnfecteerd:
(Geen kwaadaardige items gevonden)
Registerdata bestanden geïnfecteerd:
(Geen kwaadaardige items gevonden)
Mappen geïnfecteerd:
(Geen kwaadaardige items gevonden)
Bestanden geïnfecteerd:
C:\Documents and Settings\PETRONELLA\Local Settings\temp\c.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Documents and Settings\PETRONELLA\Local Settings\temp\d.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
[img:486745cffb]http://www.debraal.nl/mbam.gif[/img:486745cffb]
plaatje is van de gevonde troyan
volgende is van combofix - ComboFix 10-02-22.07 - PETRONELLA 23-02-2010 15:33:57.3.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.31.1043.18.503.273 [GMT 1:00]
Gestart vanuit: E:\ComboFix.exe
.
(((((((((((((((((((((((((((((((((( Andere Verwijderingen )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
c:\windows\system32\0035.DLL
c:\windows\system32\wexe.exe
c:\windows\system32\WORK.DAT
c:\windows\system32\wupd.dat
—– BITS: Mogelijk geïnfecteerde sites —–
hxxp://vbj3.net
Besmet exemplaar van c:\windows\system32\userinit.exe werd aangetroffen en gedesinfecteerd
Hersteld exemplaar van - c:\windows\system32\dllcache\userinit.exe
c:\windows\system32\proquota.exe was verdwenen
Hersteld exemplaar van - c:\windows\ServicePackFiles\i386\proquota.exe
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
——-\Legacy_BNSERV4
——-\Service_bnserv4
(((((((((((((((((((( Bestanden Gemaakt van 2010-01-23 to 2010-02-23 ))))))))))))))))))))))))))))))
.
2010-02-23 14:40 . 2008-04-14 17:03 50688 —-a-w- c:\windows\system32\proquota.exe
2010-02-23 14:31 . 2010-02-23 14:31 399872 —-a-w- c:\windows\system32\CF23412.exe
2010-02-23 11:29 . 2010-02-23 11:29 5115823 —-a-w- c:\documents and settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2010-02-23 11:26 . 2010-01-07 15:07 19160 —-a-w- c:\windows\system32\drivers\mbam.sys
2010-02-23 11:26 . 2010-01-07 15:07 38224 —-a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-02-23 11:26 . 2010-02-23 11:29 ——– d—–w- c:\program files\Malwarebytes' Anti-Malware
2010-02-16 21:24 . 2010-02-16 21:24 ——– d—–w- c:\documents and settings\PETRONELLA\Local Settings\Application Data\STARGAZE_IMAGE_CACHE
2010-02-16 21:24 . 2010-02-16 21:24 ——– d—–w- c:\documents and settings\All Users\Application Data\Alawar Stargaze
2010-02-16 18:26 . 2010-02-16 18:26 ——– d—–w- c:\documents and settings\PETRONELLA\Application Data\Merscom
2010-02-16 18:26 . 2010-02-16 18:26 ——– d—–w- c:\documents and settings\All Users\Application Data\Merscom
2010-02-08 20:45 . 2010-02-08 21:26 ——– d—–w- c:\windows\system32\lcl
2010-01-28 21:27 . 2010-01-28 21:27 ——– d—–w- c:\documents and settings\PETRONELLA\Application Data\My Games
2010-01-26 20:37 . 2010-01-26 20:37 ——– d—–w- c:\documents and settings\PETRONELLA\Application Data\GamesCafe
2010-01-24 15:56 . 2010-01-24 15:56 ——– d—–w- c:\documents and settings\PETRONELLA\Application Data\Argonyt
.
((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-16 21:23 . 2008-07-08 09:01 ——– d—–w- c:\documents and settings\PETRONELLA\Application Data\Zylom
2010-02-16 21:23 . 2008-07-08 09:01 ——– d—–w- c:\program files\Zylom Games
2010-01-23 10:35 . 2010-01-23 10:35 ——– d—–w- c:\documents and settings\All Users\Application Data\GameHouse
2010-01-20 06:03 . 2009-07-18 14:14 ——– d—–w- c:\program files\Microsoft Silverlight
2010-01-06 21:29 . 2010-01-06 21:29 ——– d—–w- c:\documents and settings\All Users\Application Data\NeptunesAdve
2010-01-06 12:45 . 2010-01-06 12:44 ——– d—–w- c:\documents and settings\PETRONELLA\Application Data\Zylom 3 Days Zoo Mystery
2009-12-31 16:50 . 2004-08-04 12:00 353792 —-a-w- c:\windows\system32\drivers\srv.sys
2009-12-29 18:06 . 2009-12-29 18:06 ——– d—–w- c:\documents and settings\PETRONELLA\Application Data\GameHousev1002
2009-12-22 18:30 . 2009-11-23 15:01 26 —-a-w- c:\windows\popcinfo.dat
2009-12-21 19:10 . 2004-08-04 12:00 916480 —-a-w- c:\windows\system32\wininet.dll
2009-12-17 07:42 . 2008-02-11 09:07 345600 —-a-w- c:\windows\system32\mspaint.exe
2009-12-14 07:10 . 2004-08-04 12:00 33280 —-a-w- c:\windows\system32\csrsrv.dll
2009-12-09 10:11 . 2004-08-04 12:00 2193536 —-a-w- c:\windows\system32\ntoskrnl.exe
2009-12-09 10:11 . 2004-08-04 00:58 2070400 —-a-w- c:\windows\system32\ntkrnlpa.exe
2009-12-09 05:40 . 2004-08-04 12:00 86256 —-a-w- c:\windows\system32\perfc013.dat
2009-12-09 05:40 . 2004-08-04 12:00 499226 —-a-w- c:\windows\system32\perfh013.dat
2009-12-04 18:22 . 2004-08-04 12:00 455424 —-a-w- c:\windows\system32\drivers\mrxsmb.sys
2009-11-28 15:05 . 2008-07-06 08:04 30432 —-a-w- c:\documents and settings\PETRONELLA\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-11-27 17:14 . 2004-08-04 12:00 1295872 —-a-w- c:\windows\system32\quartz.dll
2009-11-27 17:14 . 2004-08-04 01:03 17920 —-a-w- c:\windows\system32\msyuv.dll
2009-11-27 16:10 . 2004-08-04 12:00 85504 —-a-w- c:\windows\system32\avifil32.dll
2009-11-27 16:10 . 2004-08-04 12:00 28672 —-a-w- c:\windows\system32\msvidc32.dll
2009-11-27 16:10 . 2004-08-04 12:00 11264 —-a-w- c:\windows\system32\msrle32.dll
2009-11-27 16:10 . 2004-08-04 01:03 48128 —-a-w- c:\windows\system32\iyuv_32.dll
2009-11-27 16:10 . 2001-09-06 21:27 8704 —-a-w- c:\windows\system32\tsbyuv.dll
2008-07-06 16:28 . 2008-07-06 16:28 848 –sha-w- c:\windows\system32\KGyGaAvL.sys
.
((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2008-01-22 152872]
"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2009-07-26 3883856]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Photo Downloader"="c:\program files\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-09 63712]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"Smapp"="c:\program files\Analog Devices\SoundMAX\SMTray.exe" [2003-05-05 143360]
"DrvLsnr"="c:\program files\Analog Devices\SoundMAX\DrvLsnr.exe" [2003-05-08 69632]
"EPSON Stylus D88 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE" [2005-01-27 98304]
"QuickFinder Scheduler"="c:\program files\WordPerfect Office X3\Programs\QFSCHD130.EXE" [2005-11-30 77892]
"ISUSPM Startup"="c:\program files\Common Files\InstallShield\UpdateService\isuspm.exe" [2005-08-11 249856]
"ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2005-08-11 81920]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-09-20 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-09-20 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-09-20 114688]
"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2008-05-28 570664]
"ClamWin"="c:\program files\ClamWin\bin\ClamTray.exe" [2009-04-14 86016]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\documents and settings\All Users\Menu Start\Programma's\Opstarten\
Exif Launcher.lnk - c:\program files\FinePixViewer\QuickDCF.exe [2002-1-9 200704]
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
.
.
——- Bijkomende Scan ——-
.
uStart Page = about:blank
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
IE: Open with WordPerfect - c:\program files\WordPerfect Office X3\Programs\WPLauncher.hta
TCP: {A1E49CF8-E624-4C4E-AB72-A8D822D20A8B} = 192.168.2.1
DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game13.zylom.com/activex/zylomgamesplayer.cab
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-23 15:43
Windows 5.1.2600 Service Pack 3 NTFS
scannen van verborgen processen …
scannen van verborgen autostart items …
scannen van verborgen bestanden …
Scan succesvol afgerond
verborgen bestanden: 0
**************************************************************************
.
——————— DLLs Geladen Onder Lopende Processen ———————
- - - - - - - > 'explorer.exe'(3236)
c:\program files\Common Files\Ahead\Lib\NeroSearchBar.dll
c:\program files\Common Files\Ahead\Lib\MFC71U.DLL
c:\program files\Common Files\Ahead\Lib\BCGCBPRO860un71.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
———————— Andere Aktieve Processen ————————
.
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\windows\system32\IoctlSvc.exe
c:\program files\Analog Devices\SoundMAX\SMAgent.exe
c:\program files\Canon\CAL\CALMAIN.exe
c:\program files\Common Files\Ahead\Lib\NMIndexingService.exe
c:\program files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
.
**************************************************************************
.
Voltooingstijd: 2010-02-23 15:49:37 - machine werd herstart
ComboFix-quarantined-files.txt 2010-02-23 14:49
ComboFix2.txt 2009-03-29 10:54
ComboFix3.txt 2009-03-29 09:42
Pre-Run: 18.756.718.592 bytes beschikbaar
Post-Run: 22.292.193.280 bytes beschikbaar
- - End Of File - - D59689FF19A5B6B4CA578A4932667002
volgende is de hjt log - Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 15:53:33, on 23-2-2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\ClamWin\bin\ClamTray.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\FinePixViewer\QuickDCF.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\TrendMicro\HiJackThis\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Aanmelden - Help - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [DrvLsnr] C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe
O4 - HKLM\..\Run: [EPSON Stylus D88 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE /P23 "EPSON Stylus D88 Series" /O6 "USB001" /M "Stylus D88"
O4 - HKLM\..\Run: [QuickFinder Scheduler] "C:\Program Files\WordPerfect Office X3\Programs\QFSCHD130.EXE"
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [ClamWin] "C:\Program Files\ClamWin\bin\ClamTray.exe" –logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Exif Launcher.lnk = C:\Program Files\FinePixViewer\QuickDCF.exe
O8 - Extra context menu item: Open with WordPerfect - C:\Program Files\WordPerfect Office X3\Programs\WPLauncher.hta
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game13.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A1E49CF8-E624-4C4E-AB72-A8D822D20A8B}: NameServer = 192.168.2.1
O22 - SharedTaskScheduler: Preloader van browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Cache-daemon voor onderdeelcategorieën - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
–
End of file - 6728 bytes
hopelijk komt er wat uit
gr arie - Hallo Sjouwer, je bent een echte doe hetzelver dus!
Het gebruik uit eigener beweging van Combofix wordt ten zeerste afgeraden!
Combofix wordt via veel sites aangeboden, er zijn er echter maar twee waar de aktuele versie gedownload kan worden.
Het gebruik van Combofix, gedownload via een niet officële link houdt in, dat het het daaropvolgende gebruik van Combofix niet zonder gevaar is! Temeer, zodra er problemen zijn met Combofix, het tool tijdelijk niet te verkrijgen is via de officiële links.
1) download [b:7827c22025]TFC[/b:7827c22025] (klick) naar je bureaublad.
• Klik/dubbelklik op [b:7827c22025]TFC.exe[/b:7827c22025] om het programma te starten.
• Niet schrikken - het tool sluit alle lopende programma's - ergo: verzeker je dus ervan, dat je werk al is opgeslagen!
• Vervolgens klik je op de knop [b:7827c22025]Start[/b:7827c22025] om de scan te starten. Deze scan kan kort of langer duren, wees geduldig en laat TFC zijn taak doen en wacht to TFC klaaar is.
• Indien TFC klaar is, dan komt de melding dat de computer opnieu opgestart wordt.
• Gebeurt het afsluiten niet automatisch, start dan zelf de computer opnieuw op.
2) download [b:7827c22025] naar je bureaublad.
• dds.scr dubbelklikken (Vista/Win 7 gebruikers doen dit via rechtsklik en kiezen voor Als Administrator uitvoeren) - wacht tot de scan klaar is.
• Na de scan worden twee tekstdocumnenten geopend - post de inhoud van beide DDS-logs (maar schakel eerst in kladblok via Opmaak de Automatische terugloop uit!). - combofix is van de originele site afkomstig
hoefde er niks van de hjt log weg
gr arie - dds txt
DDS (Ver_09-12-01.01) - NTFSx86
Run by PETRONELLA at 6:43:39,76 on wo 24-02-2010
Internet Explorer: 8.0.6001.18702
Microsoft Windows XP Home Edition 5.1.2600.3.1252.31.1043.18.503.228 [GMT 1:00]
============== Running Processes ===============
C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe
C:\WINDOWS\System32\svchost.exe -k netsvcs
svchost.exe
svchost.exe
C:\WINDOWS\system32\spoolsv.exe
svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe -k imgsvc
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\ClamWin\bin\ClamTray.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\FinePixViewer\QuickDCF.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
E:\dds.scr
============== Pseudo HJT Report ===============
uStart Page = about:blank
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
BHO: Adobe PDF Reader Link Helper: {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelper.dll
BHO: {5C255C8A-E604-49b4-9D64-90988571CECB} - No File
BHO: Windows Live Aanmelden - Help: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\program files\common files\microsoft shared\windows live\WindowsLiveLogin.dll
BHO: Java™ Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\java\jre6\bin\jp2ssv.dll
BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\program files\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
uRun: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "c:\program files\common files\ahead\lib\NMBgMonitor.exe"
uRun: [MsnMsgr] "c:\program files\windows live\messenger\MsnMsgr.Exe" /background
mRun: [Adobe Photo Downloader] "c:\program files\adobe\photoshop album starter edition\3.2\apps\apdproxy.exe"
mRun: [Adobe Reader Speed Launcher] "c:\program files\adobe\reader 8.0\reader\Reader_sl.exe"
mRun: [Smapp] c:\program files\analog devices\soundmax\SMTray.exe
mRun: [DrvLsnr] c:\program files\analog devices\soundmax\DrvLsnr.exe
mRun: [EPSON Stylus D88 Series] c:\windows\system32\spool\drivers\w32x86\3\E_FATIABE.EXE /P23 "EPSON Stylus D88 Series" /O6 "USB001" /M "Stylus D88"
mRun: [QuickFinder Scheduler] "c:\program files\wordperfect office x3\programs\QFSCHD130.EXE"
mRun: [ISUSPM Startup] "c:\program files\common files\installshield\updateservice\isuspm.exe" -startup
mRun: [ISUSScheduler] "c:\program files\common files\installshield\updateservice\issch.exe" -start
mRun: [igfxtray] c:\windows\system32\igfxtray.exe
mRun: [igfxhkcmd] c:\windows\system32\hkcmd.exe
mRun: [igfxpers] c:\windows\system32\igfxpers.exe
mRun: [NeroFilterCheck] c:\program files\common files\ahead\lib\NeroCheck.exe
mRun: [ClamWin] "c:\program files\clamwin\bin\ClamTray.exe" –logon
mRun: [SunJavaUpdateSched] "c:\program files\java\jre6\bin\jusched.exe"
dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
StartupFolder: c:\docume~1\alluse~1\menust~1\progra~1\opstar~1\exifla~1.lnk - c:\program files\finepixviewer\QuickDCF.exe
IE: Open with WordPerfect - c:\program files\wordperfect office x3\programs\WPLauncher.hta
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\program files\messenger\msmsgs.exe
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game13.zylom.com/activex/zylomgamesplayer.cab
DPF: {CAFEEFAC-0015-0000-0003-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_03-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
TCP: {A1E49CF8-E624-4C4E-AB72-A8D822D20A8B} = 192.168.2.1
Notify: igfxcui - igfxdev.dll
SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll
============= SERVICES / DRIVERS ===============
=============== Created Last 30 ================
2010-02-23 14:52:44 0 d—–w- c:\program files\TrendMicro
2010-02-23 14:40:05 50688 —-a-w- c:\windows\system32\proquota.exe
2010-02-23 14:33:07 77312 —-a-w- c:\windows\MBR.exe
2010-02-23 14:33:07 261632 —-a-w- c:\windows\PEV.exe
2010-02-23 14:31:55 399872 —-a-w- c:\windows\system32\CF23412.exe
2010-02-23 11:26:48 19160 —-a-w- c:\windows\system32\drivers\mbam.sys
2010-02-23 11:26:45 38224 —-a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-02-23 11:26:44 0 d—–w- c:\program files\Malwarebytes' Anti-Malware
2010-02-16 21:24:04 0 d—–w- c:\docume~1\alluse~1\applic~1\Alawar Stargaze
2010-02-16 18:26:10 0 d—–w- c:\docume~1\petron~1\applic~1\Merscom
2010-02-16 18:26:10 0 d—–w- c:\docume~1\alluse~1\applic~1\Merscom
2010-02-08 20:45:40 0 d—–w- c:\windows\system32\lcl
2010-01-28 21:27:25 0 d—–w- c:\docume~1\petron~1\applic~1\My Games
2010-01-26 20:37:13 0 d—–w- c:\docume~1\petron~1\applic~1\GamesCafe
==================== Find3M ====================
2009-12-31 16:50:03 353792 —-a-w- c:\windows\system32\drivers\srv.sys
2009-12-21 19:10:30 916480 ——w- c:\windows\system32\wininet.dll
2009-12-17 07:42:53 345600 —-a-w- c:\windows\system32\mspaint.exe
2009-12-14 07:10:21 33280 —-a-w- c:\windows\system32\csrsrv.dll
2009-12-09 10:11:59 2193536 ——w- c:\windows\system32\ntoskrnl.exe
2009-12-09 10:11:59 2070400 ——w- c:\windows\system32\ntkrnlpa.exe
2009-12-09 05:40:54 86256 —-a-w- c:\windows\system32\perfc013.dat
2009-12-09 05:40:54 499226 —-a-w- c:\windows\system32\perfh013.dat
2009-11-27 17:14:13 1295872 —-a-w- c:\windows\system32\quartz.dll
2009-11-27 17:14:12 17920 —-a-w- c:\windows\system32\msyuv.dll
2009-11-27 16:10:19 8704 —-a-w- c:\windows\system32\tsbyuv.dll
2009-11-27 16:10:19 85504 —-a-w- c:\windows\system32\avifil32.dll
2009-11-27 16:10:19 48128 —-a-w- c:\windows\system32\iyuv_32.dll
2009-11-27 16:10:19 28672 —-a-w- c:\windows\system32\msvidc32.dll
2009-11-27 16:10:19 11264 —-a-w- c:\windows\system32\msrle32.dll
2008-07-06 16:28:31 848 –sha-w- c:\windows\system32\KGyGaAvL.sys
2008-02-11 09:55:24 16384 –sha-w- c:\windows\system32\config\systemprofile\local settings\application data\microsoft\feeds cache\index.dat
2008-07-09 09:43:06 32768 –sha-w- c:\windows\system32\config\systemprofile\local settings\geschiedenis\history.ie5\mshist012008063020080707\index.dat
2008-07-09 09:43:06 32768 –sha-w- c:\windows\system32\config\systemprofile\local settings\geschiedenis\history.ie5\mshist012008070920080710\index.dat
============= FINISH: 6:44:09,75 ===============
van tfc heb ik geen log kunnen vinden - en attach txt
UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG.
IF REQUESTED, ZIP IT UP & ATTACH IT
DDS (Ver_09-12-01.01)
Microsoft Windows XP Home Edition
Boot Device: \Device\HarddiskVolume1
Install Date: 6-7-2008 9:49:02
System Uptime: 24-2-2010 6:39:46 (0 hours ago)
Motherboard: Hewlett-Packard | | 085Ch
Processor: Intel(R) Pentium(R) 4 CPU 2.80GHz | XU1 PROCESSOR | 2793/533mhz
==== Disk Partitions =========================
A: is Removable
C: is FIXED (NTFS) - 37 GiB total, 20,859 GiB free.
D: is CDROM ()
E: is Removable
==== Disabled Device Manager Items =============
==== System Restore Points ===================
RP205: 26-11-2009 6:52:29 - Controlepunt van systeem
RP206: 28-11-2009 7:30:09 - Controlepunt van systeem
RP207: 29-11-2009 8:03:55 - Controlepunt van systeem
RP208: 30-11-2009 12:25:11 - Controlepunt van systeem
RP209: 1-12-2009 12:26:05 - Controlepunt van systeem
RP210: 2-12-2009 14:53:08 - Controlepunt van systeem
RP211: 3-12-2009 15:47:26 - Controlepunt van systeem
RP212: 4-12-2009 16:27:30 - Controlepunt van systeem
RP213: 5-12-2009 17:46:43 - Controlepunt van systeem
RP214: 6-12-2009 17:54:24 - Controlepunt van systeem
RP215: 7-12-2009 18:51:50 - Controlepunt van systeem
RP216: 8-12-2009 19:24:19 - Controlepunt van systeem
RP217: 9-12-2009 6:33:42 - Software Distribution Service 3.0
RP218: 10-12-2009 17:19:41 - Controlepunt van systeem
RP219: 12-12-2009 7:36:22 - Controlepunt van systeem
RP220: 13-12-2009 8:34:34 - Controlepunt van systeem
RP221: 14-12-2009 9:25:46 - Controlepunt van systeem
RP222: 15-12-2009 11:48:36 - Controlepunt van systeem
RP223: 16-12-2009 16:40:24 - Controlepunt van systeem
RP224: 17-12-2009 18:43:53 - Controlepunt van systeem
RP225: 18-12-2009 19:52:43 - Controlepunt van systeem
RP226: 20-12-2009 8:02:13 - Controlepunt van systeem
RP227: 21-12-2009 10:34:24 - Controlepunt van systeem
RP228: 22-12-2009 11:08:42 - Controlepunt van systeem
RP229: 23-12-2009 12:11:07 - Controlepunt van systeem
RP230: 24-12-2009 15:06:41 - Controlepunt van systeem
RP231: 27-12-2009 16:19:57 - Controlepunt van systeem
RP232: 28-12-2009 17:18:09 - Controlepunt van systeem
RP233: 29-12-2009 17:54:56 - Controlepunt van systeem
RP234: 30-12-2009 18:22:51 - Controlepunt van systeem
RP235: 1-1-2010 8:18:09 - Controlepunt van systeem
RP236: 2-1-2010 18:48:16 - Controlepunt van systeem
RP237: 4-1-2010 6:20:18 - Controlepunt van systeem
RP238: 5-1-2010 13:03:10 - Controlepunt van systeem
RP239: 6-1-2010 17:56:56 - Controlepunt van systeem
RP240: 7-1-2010 19:09:08 - Controlepunt van systeem
RP241: 8-1-2010 19:23:37 - Controlepunt van systeem
RP242: 10-1-2010 9:18:19 - Controlepunt van systeem
RP243: 11-1-2010 9:29:34 - Controlepunt van systeem
RP244: 12-1-2010 12:31:43 - Controlepunt van systeem
RP245: 13-1-2010 6:37:06 - Software Distribution Service 3.0
RP246: 14-1-2010 14:20:16 - Controlepunt van systeem
RP247: 15-1-2010 17:01:47 - Controlepunt van systeem
RP248: 17-1-2010 7:31:06 - Controlepunt van systeem
RP249: 18-1-2010 8:12:36 - Controlepunt van systeem
RP250: 19-1-2010 17:42:56 - Controlepunt van systeem
RP251: 20-1-2010 7:01:31 - Software Distribution Service 3.0
RP252: 21-1-2010 7:06:45 - Controlepunt van systeem
RP253: 22-1-2010 6:16:26 - Software Distribution Service 3.0
RP254: 23-1-2010 6:32:37 - Controlepunt van systeem
RP255: 24-1-2010 13:29:22 - Controlepunt van systeem
RP256: 25-1-2010 13:47:48 - Controlepunt van systeem
RP257: 26-1-2010 20:26:05 - Controlepunt van systeem
RP258: 28-1-2010 6:33:52 - Controlepunt van systeem
RP259: 29-1-2010 18:09:35 - Controlepunt van systeem
RP260: 30-1-2010 18:31:36 - Controlepunt van systeem
RP261: 1-2-2010 6:37:51 - Controlepunt van systeem
RP262: 2-2-2010 6:44:55 - Controlepunt van systeem
RP263: 3-2-2010 12:01:30 - Controlepunt van systeem
RP264: 4-2-2010 18:10:58 - Controlepunt van systeem
RP265: 5-2-2010 19:23:43 - Controlepunt van systeem
RP266: 7-2-2010 9:54:18 - Controlepunt van systeem
RP267: 8-2-2010 10:23:25 - Controlepunt van systeem
RP268: 9-2-2010 11:48:32 - Controlepunt van systeem
RP269: 10-2-2010 6:29:45 - Software Distribution Service 3.0
RP270: 11-2-2010 6:34:59 - Controlepunt van systeem
RP271: 12-2-2010 17:56:05 - Controlepunt van systeem
RP272: 13-2-2010 20:19:01 - Controlepunt van systeem
RP273: 15-2-2010 12:44:55 - Controlepunt van systeem
RP274: 16-2-2010 15:14:02 - Controlepunt van systeem
RP275: 17-2-2010 15:56:46 - Controlepunt van systeem
RP276: 19-2-2010 12:08:50 - Controlepunt van systeem
RP277: 20-2-2010 19:54:38 - Controlepunt van systeem
RP278: 22-2-2010 16:02:18 - Controlepunt van systeem
RP279: 23-2-2010 15:52:42 - Installed HiJackThis
==== Installed Programs ======================
Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742)
Adobe Flash Player 10 ActiveX
Adobe Reader 8.1.2
Adobe Reader 8.1.2 Security Update 1 (KB403742)
Adobe® Photoshop® Album Starter Edition 3.2
albelli photo book creator Extra
Beveiligingsupdate for Windows XP (KB923689)
Beveiligingsupdate for Windows XP (KB941569)
Beveiligingsupdate voor Windows Internet Explorer 7 (KB938127)
Beveiligingsupdate voor Windows Internet Explorer 7 (KB950759)
Beveiligingsupdate voor Windows Internet Explorer 7 (KB953838)
Beveiligingsupdate voor Windows Internet Explorer 7 (KB956390)
Beveiligingsupdate voor Windows Internet Explorer 7 (KB958215)
Beveiligingsupdate voor Windows Internet Explorer 7 (KB960714)
Beveiligingsupdate voor Windows Internet Explorer 7 (KB961260)
Beveiligingsupdate voor Windows Internet Explorer 7 (KB963027)
Beveiligingsupdate voor Windows Internet Explorer 8 (KB969897)
Beveiligingsupdate voor Windows Internet Explorer 8 (KB971961)
Beveiligingsupdate voor Windows Internet Explorer 8 (KB972260)
Beveiligingsupdate voor Windows Internet Explorer 8 (KB974455)
Beveiligingsupdate voor Windows Internet Explorer 8 (KB976325)
Beveiligingsupdate voor Windows Internet Explorer 8 (KB978207)
Beveiligingsupdate voor Windows Media Player (KB911564)
Beveiligingsupdate voor Windows Media Player (KB952069)
Beveiligingsupdate voor Windows Media Player (KB954155)
Beveiligingsupdate voor Windows Media Player (KB968816)
Beveiligingsupdate voor Windows Media Player (KB973540)
Beveiligingsupdate voor Windows Media Player 11 (KB936782)
Beveiligingsupdate voor Windows Media Player 11 (KB954154)
Beveiligingsupdate voor Windows Media Player 6.4 (KB925398)
Beveiligingsupdate voor Windows Media Player 9 (KB936782)
Beveiligingsupdate voor Windows XP (KB923561)
Beveiligingsupdate voor Windows XP (KB923789)
Beveiligingsupdate voor Windows XP (KB938464)
Beveiligingsupdate voor Windows XP (KB946648)
Beveiligingsupdate voor Windows XP (KB950760)
Beveiligingsupdate voor Windows XP (KB950762)
Beveiligingsupdate voor Windows XP (KB950974)
Beveiligingsupdate voor Windows XP (KB951066)
Beveiligingsupdate voor Windows XP (KB951376-v2)
Beveiligingsupdate voor Windows XP (KB951698)
Beveiligingsupdate voor Windows XP (KB951748)
Beveiligingsupdate voor Windows XP (KB952004)
Beveiligingsupdate voor Windows XP (KB952954)
Beveiligingsupdate voor Windows XP (KB953839)
Beveiligingsupdate voor Windows XP (KB954211)
Beveiligingsupdate voor Windows XP (KB954459)
Beveiligingsupdate voor Windows XP (KB954600)
Beveiligingsupdate voor Windows XP (KB955069)
Beveiligingsupdate voor Windows XP (KB956391)
Beveiligingsupdate voor Windows XP (KB956572)
Beveiligingsupdate voor Windows XP (KB956744)
Beveiligingsupdate voor Windows XP (KB956802)
Beveiligingsupdate voor Windows XP (KB956803)
Beveiligingsupdate voor Windows XP (KB956841)
Beveiligingsupdate voor Windows XP (KB956844)
Beveiligingsupdate voor Windows XP (KB957095)
Beveiligingsupdate voor Windows XP (KB957097)
Beveiligingsupdate voor Windows XP (KB958644)
Beveiligingsupdate voor Windows XP (KB958687)
Beveiligingsupdate voor Windows XP (KB958690)
Beveiligingsupdate voor Windows XP (KB958869)
Beveiligingsupdate voor Windows XP (KB959426)
Beveiligingsupdate voor Windows XP (KB960225)
Beveiligingsupdate voor Windows XP (KB960715)
Beveiligingsupdate voor Windows XP (KB960803)
Beveiligingsupdate voor Windows XP (KB960859)
Beveiligingsupdate voor Windows XP (KB961371)
Beveiligingsupdate voor Windows XP (KB961373)
Beveiligingsupdate voor Windows XP (KB961501)
Beveiligingsupdate voor Windows XP (KB968537)
Beveiligingsupdate voor Windows XP (KB969059)
Beveiligingsupdate voor Windows XP (KB969898)
Beveiligingsupdate voor Windows XP (KB969947)
Beveiligingsupdate voor Windows XP (KB970238)
Beveiligingsupdate voor Windows XP (KB970430)
Beveiligingsupdate voor Windows XP (KB971468)
Beveiligingsupdate voor Windows XP (KB971486)
Beveiligingsupdate voor Windows XP (KB971557)
Beveiligingsupdate voor Windows XP (KB971633)
Beveiligingsupdate voor Windows XP (KB971657)
Beveiligingsupdate voor Windows XP (KB972270)
Beveiligingsupdate voor Windows XP (KB973346)
Beveiligingsupdate voor Windows XP (KB973354)
Beveiligingsupdate voor Windows XP (KB973507)
Beveiligingsupdate voor Windows XP (KB973525)
Beveiligingsupdate voor Windows XP (KB973869)
Beveiligingsupdate voor Windows XP (KB973904)
Beveiligingsupdate voor Windows XP (KB974112)
Beveiligingsupdate voor Windows XP (KB974318)
Beveiligingsupdate voor Windows XP (KB974392)
Beveiligingsupdate voor Windows XP (KB974571)
Beveiligingsupdate voor Windows XP (KB975025)
Beveiligingsupdate voor Windows XP (KB975467)
Beveiligingsupdate voor Windows XP (KB975560)
Beveiligingsupdate voor Windows XP (KB975713)
Beveiligingsupdate voor Windows XP (KB977165)
Beveiligingsupdate voor Windows XP (KB977914)
Beveiligingsupdate voor Windows XP (KB978037)
Beveiligingsupdate voor Windows XP (KB978251)
Beveiligingsupdate voor Windows XP (KB978262)
Beveiligingsupdate voor Windows XP (KB978706)
Broadcom Management Programs
Broadcom NetXtreme Ethernet Controller
Canon Camera Access Library
Canon Camera Support Core Library
Canon Camera WIA Driver
Canon EOS 5D WIA Driver
CANON iMAGE GATEWAY Task for ZoomBrowser EX
Canon Internet Library for ZoomBrowser EX
Canon RAW Image Task for ZoomBrowser EX
Canon Utilities CameraWindow
Canon Utilities CameraWindow DC_DV 5 for ZoomBrowser EX
Canon Utilities CameraWindow DC_DV 6 for ZoomBrowser EX
Canon Utilities Digital Photo Professional 3.4
Canon Utilities EOS Utility
Canon Utilities MyCamera
Canon Utilities Original Data Security Tools
Canon Utilities PhotoStitch
Canon Utilities Picture Style Editor
Canon Utilities RemoteCapture Task for ZoomBrowser EX
Canon Utilities WFT-E1/E2/E3 Utility
Canon Utilities ZoomBrowser EX
Canon ZoomBrowser EX Memory Card Utility
ClamWin Free Antivirus 0.95.1
EPSON-printersoftware
Essentiële update voor Windows Media Player 11 (KB959772)
FinePixViewer Ver.3.2
HiJackThis
HijackThis 2.0.2
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix for Windows XP (KB915800-v4)
Hotfix for Windows XP (KB954550-v5)
Hotfix voor Windows Media Player 11 (KB939683)
Hotfix voor Windows XP (KB952287)
Hotfix voor Windows XP (KB961118)
Hotfix voor Windows XP (KB970653-v3)
Hotfix voor Windows XP (KB976098-v2)
Huur- en zorgtoeslag 2010
Intel(R) Extreme Graphics 2 Driver
J2SE Runtime Environment 5.0 Update 3
Java(TM) 6 Update 17
Java(TM) 6 Update 3
Java(TM) 6 Update 7
Junk Mail filter update
LightScribe 1.4.136.1
Malwarebytes' Anti-Malware
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.5 SP1
Microsoft Application Error Reporting
Microsoft Choice Guard
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Office PowerPoint Viewer 2007 (Dutch)
Microsoft Silverlight
Microsoft User-Mode Driver Framework Feature Pack 1.0
MSVCRT
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
MSXML 4.0 SP2 (KB973688)
Nero 7 Essentials
neroxml
OpenOffice.org 2.0
QuickTime
Segoe UI
SoundMAX
The Treasures of Montezuma 2 Deluxe
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)
Update Manager
Update voor Windows Internet Explorer 8 (KB969497)
Update voor Windows Internet Explorer 8 (KB976749)
Update voor Windows XP (KB951072-v2)
Update voor Windows XP (KB951978)
Update voor Windows XP (KB955759)
Update voor Windows XP (KB955839)
Update voor Windows XP (KB961503)
Update voor Windows XP (KB967715)
Update voor Windows XP (KB968389)
Update voor Windows XP (KB971737)
Update voor Windows XP (KB973687)
Update voor Windows XP (KB973815)
WebFldrs XP
Windows Genuine Advantage Validation Tool (KB892130)
Windows Internet Explorer 7
Windows Internet Explorer 8
Windows Live - Hulpprogramma voor uploaden
Windows Live aanmeldhulp
Windows Live Call
Windows Live Communications Platform
Windows Live Essentials
Windows Live Mail
Windows Live Messenger
Windows Media Format 11 runtime
Windows Media Player 11
Windows XP Service Pack 3
WinRAR archiver
WordPerfect Office X3
==== End Of File =========================== - en een nieuwe hjt log
Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 6:58:11, on 24-2-2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\ClamWin\bin\ClamTray.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\FinePixViewer\QuickDCF.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\TrendMicro\HiJackThis\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Aanmelden - Help - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [DrvLsnr] C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe
O4 - HKLM\..\Run: [EPSON Stylus D88 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE /P23 "EPSON Stylus D88 Series" /O6 "USB001" /M "Stylus D88"
O4 - HKLM\..\Run: [QuickFinder Scheduler] "C:\Program Files\WordPerfect Office X3\Programs\QFSCHD130.EXE"
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [ClamWin] "C:\Program Files\ClamWin\bin\ClamTray.exe" –logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Exif Launcher.lnk = C:\Program Files\FinePixViewer\QuickDCF.exe
O8 - Extra context menu item: Open with WordPerfect - C:\Program Files\WordPerfect Office X3\Programs\WPLauncher.hta
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game13.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A1E49CF8-E624-4C4E-AB72-A8D822D20A8B}: NameServer = 192.168.2.1
O22 - SharedTaskScheduler: Preloader van browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Cache-daemon voor onderdeelcategorieën - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
–
End of file - 6876 bytes - Hallo Arie, indien ik niet om een HJT-log vraag, hoef je dit ook echt niet te posten. Een DDS-log is veel uitgebreider!
En uit dat DDS-log blijkt, dat je vrouws Windows nog steeds besmet is!
Overigens: TFC geeft inderdaad geen log!
Wat mij tevens opviel: CLAMWIN is als antivirus geïnstalleert.
Dat is nu bepaald niet de beste keus die je kan maken, want CLAMWIN beschikt niet over een aktieve scan!
Mijn advies indien je een goede en lichte antivirus in die PC wl hebben:
Microsoft Security Essentials!
Deïnstalleer overtollige Java runtimes (veiligheidsrisico)
Ga naar [b:ec184f6507]Configuratiescherm /Programma’s en onderdelen[/b:ec184f6507] en dan verwijder je [b:ec184f6507]
Java SE Runtime Environment (JRE) 6 Update 03
Java SE Runtime Environment (JRE) 6 Update 07
[/b:ec184f6507].
————————————————————————————-
Open een nieuw kladblok bestand. (Start>Alle programma’s>Bureau-accessoires>Kladblok), kopieer en plak het volgende (vetgedrukte, blauwe
tekst) in een leeg venster
[b:ec184f6507] - kreeg fout melding over pev.exe
zou een onderdeel van combofix zijn - [img:ee7311f12e]http://www.debraal.nl/combofout.gif[/img:ee7311f12e]
en de log
ComboFix 10-02-22.07 - PETRONELLA 24-02-2010 12:22:40.4.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.31.1043.18.503.285 [GMT 1:00]
Gestart vanuit: E:\ComboFix.exe
gebruikte Opdracht switches :: E:\CFScript.txt
.
(((((((((((((((((((( Bestanden Gemaakt van 2010-01-24 to 2010-02-24 ))))))))))))))))))))))))))))))
.
2010-02-23 14:52 . 2010-02-23 14:52 388096 —-a-r- c:\documents and settings\PETRONELLA\Application Data\Microsoft\Installer\{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}\HiJackThis.exe
2010-02-23 14:52 . 2010-02-23 14:52 ——– d—–w- c:\program files\TrendMicro
2010-02-23 14:40 . 2008-04-14 17:03 50688 —-a-w- c:\windows\system32\proquota.exe
2010-02-23 14:31 . 2010-02-23 14:31 399872 —-a-w- c:\windows\system32\CF23412.exe
2010-02-23 11:29 . 2010-02-23 11:29 5115823 —-a-w- c:\documents and settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2010-02-23 11:26 . 2010-01-07 15:07 19160 —-a-w- c:\windows\system32\drivers\mbam.sys
2010-02-23 11:26 . 2010-01-07 15:07 38224 —-a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-02-23 11:26 . 2010-02-23 11:29 ——– d—–w- c:\program files\Malwarebytes' Anti-Malware
2010-02-16 21:24 . 2010-02-16 21:24 ——– d—–w- c:\documents and settings\PETRONELLA\Local Settings\Application Data\STARGAZE_IMAGE_CACHE
2010-02-16 21:24 . 2010-02-16 21:24 ——– d—–w- c:\documents and settings\All Users\Application Data\Alawar Stargaze
2010-02-16 18:26 . 2010-02-16 18:26 ——– d—–w- c:\documents and settings\PETRONELLA\Application Data\Merscom
2010-02-16 18:26 . 2010-02-16 18:26 ——– d—–w- c:\documents and settings\All Users\Application Data\Merscom
2010-02-08 20:45 . 2010-02-08 21:26 ——– d—–w- c:\windows\system32\lcl
2010-01-28 21:27 . 2010-01-28 21:27 ——– d—–w- c:\documents and settings\PETRONELLA\Application Data\My Games
2010-01-26 20:37 . 2010-01-26 20:37 ——– d—–w- c:\documents and settings\PETRONELLA\Application Data\GamesCafe
.
((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-24 11:15 . 2008-02-11 09:05 ——– d—–w- c:\program files\Java
2010-02-16 21:23 . 2008-07-08 09:01 ——– d—–w- c:\documents and settings\PETRONELLA\Application Data\Zylom
2010-02-16 21:23 . 2008-07-08 09:01 ——– d—–w- c:\program files\Zylom Games
2010-01-24 15:56 . 2010-01-24 15:56 ——– d—–w- c:\documents and settings\PETRONELLA\Application Data\Argonyt
2010-01-23 10:35 . 2010-01-23 10:35 ——– d—–w- c:\documents and settings\All Users\Application Data\GameHouse
2010-01-20 06:03 . 2009-07-18 14:14 ——– d—–w- c:\program files\Microsoft Silverlight
2010-01-06 21:29 . 2010-01-06 21:29 ——– d—–w- c:\documents and settings\All Users\Application Data\NeptunesAdve
2010-01-06 12:45 . 2010-01-06 12:44 ——– d—–w- c:\documents and settings\PETRONELLA\Application Data\Zylom 3 Days Zoo Mystery
2009-12-31 16:50 . 2004-08-04 12:00 353792 —-a-w- c:\windows\system32\drivers\srv.sys
2009-12-29 18:06 . 2009-12-29 18:06 ——– d—–w- c:\documents and settings\PETRONELLA\Application Data\GameHousev1002
2009-12-22 18:30 . 2009-11-23 15:01 26 —-a-w- c:\windows\popcinfo.dat
2009-12-21 19:10 . 2004-08-04 12:00 916480 ——w- c:\windows\system32\wininet.dll
2009-12-17 07:42 . 2008-02-11 09:07 345600 —-a-w- c:\windows\system32\mspaint.exe
2009-12-14 07:10 . 2004-08-04 12:00 33280 —-a-w- c:\windows\system32\csrsrv.dll
2009-12-09 10:11 . 2004-08-04 12:00 2193536 ——w- c:\windows\system32\ntoskrnl.exe
2009-12-09 10:11 . 2004-08-04 00:58 2070400 ——w- c:\windows\system32\ntkrnlpa.exe
2009-12-09 05:40 . 2004-08-04 12:00 86256 —-a-w- c:\windows\system32\perfc013.dat
2009-12-09 05:40 . 2004-08-04 12:00 499226 —-a-w- c:\windows\system32\perfh013.dat
2009-12-04 18:22 . 2004-08-04 12:00 455424 —-a-w- c:\windows\system32\drivers\mrxsmb.sys
2009-11-28 15:05 . 2008-07-06 08:04 30432 —-a-w- c:\documents and settings\PETRONELLA\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-11-27 17:14 . 2004-08-04 12:00 1295872 —-a-w- c:\windows\system32\quartz.dll
2009-11-27 17:14 . 2004-08-04 01:03 17920 —-a-w- c:\windows\system32\msyuv.dll
2009-11-27 16:10 . 2004-08-04 12:00 85504 —-a-w- c:\windows\system32\avifil32.dll
2009-11-27 16:10 . 2004-08-04 12:00 28672 —-a-w- c:\windows\system32\msvidc32.dll
2009-11-27 16:10 . 2004-08-04 12:00 11264 —-a-w- c:\windows\system32\msrle32.dll
2009-11-27 16:10 . 2004-08-04 01:03 48128 —-a-w- c:\windows\system32\iyuv_32.dll
2009-11-27 16:10 . 2001-09-06 21:27 8704 —-a-w- c:\windows\system32\tsbyuv.dll
2008-07-06 16:28 . 2008-07-06 16:28 848 –sha-w- c:\windows\system32\KGyGaAvL.sys
.
((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2008-01-22 152872]
"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2009-07-26 3883856]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Photo Downloader"="c:\program files\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-09 63712]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"Smapp"="c:\program files\Analog Devices\SoundMAX\SMTray.exe" [2003-05-05 143360]
"DrvLsnr"="c:\program files\Analog Devices\SoundMAX\DrvLsnr.exe" [2003-05-08 69632]
"EPSON Stylus D88 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE" [2005-01-27 98304]
"QuickFinder Scheduler"="c:\program files\WordPerfect Office X3\Programs\QFSCHD130.EXE" [2005-11-30 77892]
"ISUSPM Startup"="c:\program files\Common Files\InstallShield\UpdateService\isuspm.exe" [2005-08-11 249856]
"ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2005-08-11 81920]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-09-20 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-09-20 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-09-20 114688]
"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2008-05-28 570664]
"ClamWin"="c:\program files\ClamWin\bin\ClamTray.exe" [2009-04-14 86016]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\documents and settings\All Users\Menu Start\Programma's\Opstarten\
Exif Launcher.lnk - c:\program files\FinePixViewer\QuickDCF.exe [2002-1-9 200704]
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
.
.
——- Bijkomende Scan ——-
.
uStart Page = about:blank
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
IE: Open with WordPerfect - c:\program files\WordPerfect Office X3\Programs\WPLauncher.hta
TCP: {A1E49CF8-E624-4C4E-AB72-A8D822D20A8B} = 192.168.2.1
DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game13.zylom.com/activex/zylomgamesplayer.cab
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-24 12:28
Windows 5.1.2600 Service Pack 3 NTFS
scannen van verborgen processen …
scannen van verborgen autostart items …
scannen van verborgen bestanden …
Scan succesvol afgerond
verborgen bestanden: 0
**************************************************************************
.
——————— DLLs Geladen Onder Lopende Processen ———————
- - - - - - - > 'explorer.exe'(1220)
c:\program files\Common Files\Ahead\Lib\NeroSearchBar.dll
c:\program files\Common Files\Ahead\Lib\MFC71U.DLL
c:\program files\Common Files\Ahead\Lib\BCGCBPRO860un71.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Voltooingstijd: 2010-02-24 12:30:41
ComboFix-quarantined-files.txt 2010-02-24 11:30
ComboFix2.txt 2010-02-23 14:49
ComboFix3.txt 2009-03-29 10:54
ComboFix4.txt 2009-03-29 09:42
Pre-Run: 22.481.522.688 bytes beschikbaar
Post-Run: 22.444.621.824 bytes beschikbaar
- - End Of File - - 935FCFE9EC27FEF7E8D5A24D07674CBB - Dn doen we het nog een keer, maar nu met verbeterd script:
Open een nieuw kladblok bestand. (Start>Alle programma’s>Bureau-accessoires>Kladblok), kopieer en plak het volgende (vetgedrukte, blauwe
tekst) in een leeg venster
[b:5865c17ad2] - komt ie
ComboFix 10-02-22.07 - PETRONELLA 24-02-2010 17:09:30.5.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.31.1043.18.503.264 [GMT 1:00]
Gestart vanuit: E:\ComboFix.exe
gebruikte Opdracht switches :: E:\CFScript.txt
.
(((((((((((((((((((( Bestanden Gemaakt van 2010-01-24 to 2010-02-24 ))))))))))))))))))))))))))))))
.
2010-02-23 14:52 . 2010-02-23 14:52 388096 —-a-r- c:\documents and settings\PETRONELLA\Application Data\Microsoft\Installer\{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}\HiJackThis.exe
2010-02-23 14:52 . 2010-02-23 14:52 ——– d—–w- c:\program files\TrendMicro
2010-02-23 14:40 . 2008-04-14 17:03 50688 —-a-w- c:\windows\system32\proquota.exe
2010-02-23 14:31 . 2010-02-23 14:31 399872 —-a-w- c:\windows\system32\CF23412.exe
2010-02-23 11:29 . 2010-02-23 11:29 5115823 —-a-w- c:\documents and settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2010-02-23 11:26 . 2010-01-07 15:07 19160 —-a-w- c:\windows\system32\drivers\mbam.sys
2010-02-23 11:26 . 2010-01-07 15:07 38224 —-a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-02-23 11:26 . 2010-02-23 11:29 ——– d—–w- c:\program files\Malwarebytes' Anti-Malware
2010-02-16 21:24 . 2010-02-16 21:24 ——– d—–w- c:\documents and settings\PETRONELLA\Local Settings\Application Data\STARGAZE_IMAGE_CACHE
2010-02-16 21:24 . 2010-02-16 21:24 ——– d—–w- c:\documents and settings\All Users\Application Data\Alawar Stargaze
2010-02-16 18:26 . 2010-02-16 18:26 ——– d—–w- c:\documents and settings\PETRONELLA\Application Data\Merscom
2010-02-16 18:26 . 2010-02-16 18:26 ——– d—–w- c:\documents and settings\All Users\Application Data\Merscom
2010-02-08 20:45 . 2010-02-08 21:26 ——– d—–w- c:\windows\system32\lcl
2010-01-28 21:27 . 2010-01-28 21:27 ——– d—–w- c:\documents and settings\PETRONELLA\Application Data\My Games
2010-01-26 20:37 . 2010-01-26 20:37 ——– d—–w- c:\documents and settings\PETRONELLA\Application Data\GamesCafe
.
((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-24 11:15 . 2008-02-11 09:05 ——– d—–w- c:\program files\Java
2010-02-16 21:23 . 2008-07-08 09:01 ——– d—–w- c:\documents and settings\PETRONELLA\Application Data\Zylom
2010-02-16 21:23 . 2008-07-08 09:01 ——– d—–w- c:\program files\Zylom Games
2010-01-24 15:56 . 2010-01-24 15:56 ——– d—–w- c:\documents and settings\PETRONELLA\Application Data\Argonyt
2010-01-23 10:35 . 2010-01-23 10:35 ——– d—–w- c:\documents and settings\All Users\Application Data\GameHouse
2010-01-20 06:03 . 2009-07-18 14:14 ——– d—–w- c:\program files\Microsoft Silverlight
2010-01-06 21:29 . 2010-01-06 21:29 ——– d—–w- c:\documents and settings\All Users\Application Data\NeptunesAdve
2010-01-06 12:45 . 2010-01-06 12:44 ——– d—–w- c:\documents and settings\PETRONELLA\Application Data\Zylom 3 Days Zoo Mystery
2009-12-31 16:50 . 2004-08-04 12:00 353792 —-a-w- c:\windows\system32\drivers\srv.sys
2009-12-29 18:06 . 2009-12-29 18:06 ——– d—–w- c:\documents and settings\PETRONELLA\Application Data\GameHousev1002
2009-12-22 18:30 . 2009-11-23 15:01 26 —-a-w- c:\windows\popcinfo.dat
2009-12-21 19:10 . 2004-08-04 12:00 916480 ——w- c:\windows\system32\wininet.dll
2009-12-17 07:42 . 2008-02-11 09:07 345600 —-a-w- c:\windows\system32\mspaint.exe
2009-12-14 07:10 . 2004-08-04 12:00 33280 —-a-w- c:\windows\system32\csrsrv.dll
2009-12-09 10:11 . 2004-08-04 12:00 2193536 ——w- c:\windows\system32\ntoskrnl.exe
2009-12-09 10:11 . 2004-08-04 00:58 2070400 ——w- c:\windows\system32\ntkrnlpa.exe
2009-12-09 05:40 . 2004-08-04 12:00 86256 —-a-w- c:\windows\system32\perfc013.dat
2009-12-09 05:40 . 2004-08-04 12:00 499226 —-a-w- c:\windows\system32\perfh013.dat
2009-12-04 18:22 . 2004-08-04 12:00 455424 —-a-w- c:\windows\system32\drivers\mrxsmb.sys
2009-11-28 15:05 . 2008-07-06 08:04 30432 —-a-w- c:\documents and settings\PETRONELLA\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-11-27 17:14 . 2004-08-04 12:00 1295872 —-a-w- c:\windows\system32\quartz.dll
2009-11-27 17:14 . 2004-08-04 01:03 17920 —-a-w- c:\windows\system32\msyuv.dll
2009-11-27 16:10 . 2004-08-04 12:00 85504 —-a-w- c:\windows\system32\avifil32.dll
2009-11-27 16:10 . 2004-08-04 12:00 28672 —-a-w- c:\windows\system32\msvidc32.dll
2009-11-27 16:10 . 2004-08-04 12:00 11264 —-a-w- c:\windows\system32\msrle32.dll
2009-11-27 16:10 . 2004-08-04 01:03 48128 —-a-w- c:\windows\system32\iyuv_32.dll
2009-11-27 16:10 . 2001-09-06 21:27 8704 —-a-w- c:\windows\system32\tsbyuv.dll
2008-07-06 16:28 . 2008-07-06 16:28 848 –sha-w- c:\windows\system32\KGyGaAvL.sys
.
((((((((((((((((((((((((((((( SnapShot@2010-02-24_11.28.18 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-02-24 16:06 . 2010-02-24 16:06 16384 c:\windows\Temp\Perflib_Perfdata_5b4.dat
.
((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2008-01-22 152872]
"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2009-07-26 3883856]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Photo Downloader"="c:\program files\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-09 63712]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"Smapp"="c:\program files\Analog Devices\SoundMAX\SMTray.exe" [2003-05-05 143360]
"DrvLsnr"="c:\program files\Analog Devices\SoundMAX\DrvLsnr.exe" [2003-05-08 69632]
"EPSON Stylus D88 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE" [2005-01-27 98304]
"QuickFinder Scheduler"="c:\program files\WordPerfect Office X3\Programs\QFSCHD130.EXE" [2005-11-30 77892]
"ISUSPM Startup"="c:\program files\Common Files\InstallShield\UpdateService\isuspm.exe" [2005-08-11 249856]
"ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2005-08-11 81920]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-09-20 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-09-20 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-09-20 114688]
"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2008-05-28 570664]
"ClamWin"="c:\program files\ClamWin\bin\ClamTray.exe" [2009-04-14 86016]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\documents and settings\All Users\Menu Start\Programma's\Opstarten\
Exif Launcher.lnk - c:\program files\FinePixViewer\QuickDCF.exe [2002-1-9 200704]
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
.
.
——- Bijkomende Scan ——-
.
uStart Page = about:blank
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
IE: Open with WordPerfect - c:\program files\WordPerfect Office X3\Programs\WPLauncher.hta
TCP: {A1E49CF8-E624-4C4E-AB72-A8D822D20A8B} = 192.168.2.1
DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game13.zylom.com/activex/zylomgamesplayer.cab
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-24 17:15
Windows 5.1.2600 Service Pack 3 NTFS
scannen van verborgen processen …
scannen van verborgen autostart items …
scannen van verborgen bestanden …
Scan succesvol afgerond
verborgen bestanden: 0
**************************************************************************
.
——————— DLLs Geladen Onder Lopende Processen ———————
- - - - - - - > 'explorer.exe'(3088)
c:\program files\Common Files\Ahead\Lib\NeroSearchBar.dll
c:\program files\Common Files\Ahead\Lib\MFC71U.DLL
c:\program files\Common Files\Ahead\Lib\BCGCBPRO860un71.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Voltooingstijd: 2010-02-24 17:17:57
ComboFix-quarantined-files.txt 2010-02-24 16:17
ComboFix2.txt 2010-02-24 11:30
ComboFix3.txt 2010-02-23 14:49
ComboFix4.txt 2009-03-29 10:54
ComboFix5.txt 2010-02-24 16:08
Pre-Run: 22.448.656.384 bytes beschikbaar
Post-Run: 22.411.730.944 bytes beschikbaar
- - End Of File - - F48BBC1219E68691CDAB90ED79994A5F - Hallo Arie, heb jij Combofix voor de installatie hernoemt naar CF23412.exe?
- nope
zie boven aan
Gestart vanuit: E:\ComboFix.exe - Hallo Arie - heb je inmiddels al een andere AV geïnstalleerd?
Download [b:ee4270fe35] naar je bureaublad.
• Verwijder eerst de internetverbinding en sluit ook alle openstaande vensters.
• Deaktiveer vervolgens tijdelijk alle aktiveve beveiligingsprogramma's, zodat deze niet kunnen interferreren met GMER
• Klik/dubbelklik (Vista/Win 7 gebruikers doen dit via rechtsklik en kiezen voor Als Administrator uitvoeren) op het gedownloade GMER-bestand,
dat een toevallig gekozen naam heeft (bijv. n7gmo46c.exe) en indien gvraagd, toestaan dat de gmer.sys driver geladen mag worden.
• Bij opstarten zal GMER openen met de Rootkit/Malware tab en zal een korte automatische scan uitvoeren - doe dan geen andere taken met de computer gedurende de scan!
• Indien je nu een waarschuwing krijgt over rootkit activity en gevraagd wordt een volledige scan te doen - dan klik je vervolgens op NO.
• Klik nu op de Scan knop. Wanneer je nu een rootkit waarschuwing ziet, dan klik je op OK.
• Klik vervolgens op de COPY knop en plak het resultaat in je volgende post.
• Sluit GMER af en reaktiveer nu alle gedeaktiveerde beveiligingen.
• Indien je een probleem ondervindt om GMER te gebruiken, probeer dit dan in Veilge Modus te doen. - de autoscan gaf geen root kit aan
Beantwoord deze vraag
Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.
