Vraag & Antwoord

Beveiliging & privacy

Ulqun.dat

Anoniem
None
19 antwoorden
 • Hallo!

  Mijn Avast rapporteert onophoudelijk een "Rootkit" probleem met "ulqun.dat" die zich in de Local Settings/Temp file bevindt. Avast beweert hem verwijderd te hebben en dat verdere actie niet nodig is. Maar "ulqun.dat" komt steeds terug, hoe ik hem ook verwijder. MBAM vindt niets. Op de gangbare zoekmachines krijg ik geen resultaat over deze boosdoener…

  Ten einde raad heb ik de meldingen van Avast maar uitgeschakeld, maar dat vind ik geen bevredigende oplossing. In de logfile van Avast staat inderdaad dat "ulqun.dat" tig maal is verwijderd, niet dus.

  Heeft iemand ooit van deze malware gehoord? Hoe raak ik hem kwijt??

  Ciao, Henk
 • Download [b:f98865a1ec]HiJackThis[/b:f98865a1ec]

  Dubbelklik op HJTInstall.exe
  Hijackthis wordt nu op je PC geïnstalleerd, een snelkoppeling wordt op je bureaublad geplaatst.

  HijackThis zal openen na het installeren.
  Klik op "Do a systemscan and save a logfile".
  Er opent een kladblokvenster, hou gelijktijdig de CTRL en A-toets ingedrukt, nu is alles geselecteerd. Hou gelijktijdig de CTRL en C-toets ingedrukt, nu is alles gekopieerd. Plak nu het HJT logje in je bericht door CTRL en V-toets.

  N.B. : gebruikers van Windows Vista en Windows 7 zullen eerst moeten rechtsklikken op HijackThis.exe en dan kiezen voor "Run as Administrator".
 • Hallo KAPE!

  Dit heb ik al gedaan op het "Windows" forum, dat ging over een mogelijk gerelateerd probleem, namelijk dat AVG weigert automatisch te updaten, maar hier is 'ie nogmaals:

  (N.B. inmiddels is Avast terug vervangen door AVG)

  Ik ben benieuwd wat de experts er uit opmaken :-)

  Logfile of Trend Micro HijackThis v2.0.4
  Scan saved at 14:53:52, on 31/05/2010
  Platform: Windows XP SP3 (WinNT 5.01.2600)
  MSIE: Internet Explorer v8.00 (8.00.6001.18702)
  Boot mode: Normal

  Running processes:
  C:\WINDOWS\System32\smss.exe
  C:\WINDOWS\system32\winlogon.exe
  C:\WINDOWS\system32\services.exe
  C:\WINDOWS\system32\lsass.exe
  C:\WINDOWS\system32\Ati2evxx.exe
  C:\WINDOWS\system32\svchost.exe
  C:\WINDOWS\System32\svchost.exe
  C:\WINDOWS\system32\Ati2evxx.exe
  C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
  C:\WINDOWS\system32\spoolsv.exe
  C:\WINDOWS\Explorer.EXE
  C:\Program Files\Bonjour\mDNSResponder.exe
  C:\Program Files\Cobian Backup 8\cbService.exe
  C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
  C:\Program Files\Microsoft LifeCam\MSCamS32.exe
  C:\Program Files\SPAMfighter\sfus.exe
  C:\WINDOWS\system32\svchost.exe
  C:\Program Files\QuickTime\qttask.exe
  C:\Program Files\Cobian Backup 8\cbInterface.exe
  C:\Program Files\SPAMfighter\SFAgent.exe
  C:\WINDOWS\RTHDCPL.EXE
  C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
  C:\WINDOWS\system32\ctfmon.exe
  C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
  C:\Program Files\Skype\Phone\Skype.exe
  C:\Program Files\Messenger\msmsgs.exe
  C:\Program Files\Skype\Plugin Manager\skypePM.exe
  C:\WINDOWS\System32\svchost.exe
  C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
  D:\Install\HijackThis.exe

  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
  R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
  R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
  R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
  O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
  O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
  O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
  O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.5.5126.1836\swg.dll
  O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
  O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
  O4 - HKLM\..\Run: [Cobian Backup 8 interface] "C:\Program Files\Cobian Backup 8\cbInterface.exe" -service
  O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Program Files\SPAMfighter\SFAgent.exe" update delay 60
  O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"
  O4 - HKLM\..\Run: [VX3000] C:\WINDOWS\vVX3000.exe
  O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
  O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
  O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
  O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
  O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
  O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
  O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\\Phone\Skype.exe" /nosplash /minimized
  O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
  O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
  O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
  O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
  O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
  O4 - Startup: e-Backup 1.42 Scheduler.lnk = ?
  O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
  O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
  O8 - Extra context menu item: Google Sidewiki… - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_2EC7709873947E87.dll/cmsidewiki.html
  O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
  O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
  O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
  O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
  O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
  O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
  O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
  O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
  O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
  O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
  O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
  O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
  O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
  O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
  O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
  O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
  O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
  O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
  O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
  O23 - Service: Cobian Backup 8 service (CobBMService) - Luis Cobian - C:\Program Files\Cobian Backup 8\cbService.exe
  O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
  O23 - Service: GhostStartService - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
  O23 - Service: Google Desktop Manager 5.7.806.10245 (GoogleDesktopManager-061008-081103) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
  O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
  O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
  O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
  O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
  O23 - Service: SPAMfighter Update Service - SPAMfighter ApS - C:\Program Files\SPAMfighter\sfus.exe


  End of file - 8096 bytes
 • Ligt het nou aan mij of zie ik dubbel?

  [b:7ac84a2552]C:\WINDOWS\system32\svchost.exe
  C:\WINDOWS\System32\svchost.exe[/b:7ac84a2552]

  Het kan ook aan mij liggen. Ik ben geen expert. Maar volgens mij hoor je dit maar één keer te starten en niet dubbel.

  <EDIT> Misschien ligt het toch aan mij, ik lees net op een andere site dat dit wel vaker voorkomt en niet hoeft te wijzen op malware. Ik heb niks gezegd. :oops:
 • Ik zal eens kijken in MSconfig en evt. één weghalen. Toch denk ik niet dat dat nu juist het probleem is :-)

  Ciao, Henk
 • In Msconfig > Startup staat 'ie niet. Alleen bekende onschuldige zaken.

  Maar in Taskmanager > Processes staat 'ie zes keer… Geen idee of dat erg is.

  Ciao, H
 • [quote:70b65b03bb="Belsat"]In Msconfig > Startup staat 'ie niet. Alleen bekende onschuldige zaken. Maar in Taskmanager > Processes staat 'ie zes keer… Geen idee of dat erg is.
  [/quote:70b65b03bb] Zou die - hoeveel keer hij ook aanwezig mag zijn - onaangeroerd laten. Verwijderen zou wel eens ernstig kunnen tegenvallen.

  Logje ziet er overigens goed uit.

  Download [b:70b65b03bb]Combofix[/b:70b65b03bb] naar je Bureaublad.

  Lees [b:70b65b03bb]hier[/b:70b65b03bb] meer over correct gebruik van Combofix.

  OPMERKING: indien je, tijdens of na het downloaden van Combofix of tijdens het gebruik van Combofix een melding krijgt van je Antivirus- of een andere realtime scanner, schakel dan deze scanner uit en [b:70b65b03bb]download Combofix opnieuw[/b:70b65b03bb].
  Sommige scanners zien bepaalde componenten die Combofix gebruikt als verdacht en gaan deze blokkeren of verwijderen![list:70b65b03bb]
  Dubbelklik op [b:70b65b03bb]Combofix.exe[/b:70b65b03bb] om het te starten.
  Indien je Combofix al eerder hebt gebruikt, kan je een waarschuwing krijgen dat een update beschikbaar is. Sta toe dat ComboFix wordt geupdate.
  Volg de instructies, aanvaard de disclaimer door op [b:70b65b03bb]Ja[/b:70b65b03bb] te klikken.
  Indien de Recovery Console niet geïnstalleerd is, wordt je gevraagd om dit alsnog te doen door op [b:70b65b03bb]JA[/b:70b65b03bb] te klikken in het "Query - Recovery Console" venster (enkel voor XP, niet voor VISTA).
  Klik op [b:70b65b03bb]OK[/b:70b65b03bb] en [b:70b65b03bb]Ja[/b:70b65b03bb] om automatisch de Recovery Console te laten installeren.
  Klik na afloop terug op [b:70b65b03bb]Ja[/b:70b65b03bb] om het scannen op malware te starten.
  Tijdens het runnen van de fix, [b:70b65b03bb]NIET[/b:70b65b03bb] in het venster klikken, want dit zal je pc doen vasthangen.[/list:u:70b65b03bb]
  Wanneer de fix voltooid is en na herstart, zal de log [b:70b65b03bb]Combofix.txt[/b:70b65b03bb] openen.

  Post dit logje in je volgende antwoord.
 • Thanx, KAPE. Gaan we morgen met frisse moed bekijken.

  Thanx, so far
 • Hi KAPE, het duurt even want aangezien Combofix behoorlijk ingrijpend lijkt te zijn, ga ik eerst maar eens een Ghost image maken :-) En dan wacht ik liever tot het onweer voorbij is..



  Ciao, Henk

  P.S., Norton Ghost werkt niet; dan maar zo..
 • Voilà, de Combofix.txt file: (commentaar onderaan)

  ComboFix 10-06-06.04 - Daniela 07/06/2010 14:01:47.1.2 - x86
  Microsoft Windows XP Professional 5.1.2600.3.1252.1.1033.18.3327.2797 [GMT 2:00]
  Running from: c:\documents and settings\Daniela\Desktop\ComboFix.exe
  AV: AVG Anti-Virus Free *On-access scanning disabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
  .

  ((((((((((((((((((((((((( Files Created from 2010-05-07 to 2010-06-07 )))))))))))))))))))))))))))))))
  .

  2010-06-03 17:42 . 2010-04-19 08:25 2117704 —-a-w- c:\documents and settings\All Users\Application Data\AVG Security Toolbar\IEToolbar.dll
  2010-06-03 17:34 . 2010-06-03 17:42 ——– d—–w- c:\documents and settings\All Users\Application Data\AVG Security Toolbar
  2010-06-03 17:33 . 2010-06-03 17:33 ——– d—–w- c:\documents and settings\All Users\Application Data\avg9
  2010-06-03 15:19 . 2010-06-03 15:19 ——– d—–w- c:\windows\system32\wbem\Repository
  2010-06-03 13:17 . 2010-06-03 17:34 242896 —-a-w- c:\windows\system32\drivers\avgtdix.sys
  2010-06-03 13:17 . 2010-06-03 17:34 12464 —-a-w- c:\windows\system32\avgrsstx.dll
  2010-06-03 13:17 . 2010-06-03 17:34 216200 —-a-w- c:\windows\system32\drivers\avgldx86.sys
  2010-06-03 13:17 . 2010-06-03 17:34 29512 —-a-w- c:\windows\system32\drivers\avgmfx86.sys
  2010-06-03 13:17 . 2010-06-03 18:09 ——– d—–w- c:\windows\system32\drivers\Avg
  2010-06-02 15:27 . 2010-06-02 15:27 ——– d—–w- c:\documents and settings\All Users\Application Data\Alwil Software
  2010-05-30 13:30 . 2010-05-30 13:30 ——– d—–w- c:\program files\CCleaner
  2010-05-30 09:04 . 2010-05-30 09:04 ——– d—–w- c:\documents and settings\Daniela\Application Data\Malwarebytes
  2010-05-30 09:04 . 2010-04-29 13:39 38224 —-a-w- c:\windows\system32\drivers\mbamswissarmy.sys
  2010-05-30 09:04 . 2010-05-30 12:16 ——– d—–w- c:\program files\Malwarebytes' Anti-Malware
  2010-05-30 09:04 . 2010-05-30 09:04 ——– d—–w- c:\documents and settings\All Users\Application Data\Malwarebytes
  2010-05-30 09:04 . 2010-04-29 13:39 20952 —-a-w- c:\windows\system32\drivers\mbam.sys
  2010-05-26 13:20 . 2010-05-26 13:20 ——– d—–w- c:\program files\Microsoft Windows 7 Upgrade Advisor
  2010-05-23 08:23 . 2010-06-02 15:28 ——– d—–w- c:\program files\Alwil Software
  2010-05-23 07:22 . 2010-05-23 07:22 ——– d-sh–w- c:\documents and settings\Daniela\IECompatCache

  .
  (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
  .
  2010-06-07 11:54 . 2009-08-21 10:08 ——– d—–w- c:\documents and settings\Daniela\Application Data\Skype
  2010-06-07 08:33 . 2009-05-14 05:26 ——– d—–w- c:\program files\SPAMfighter
  2010-06-07 08:32 . 2009-08-21 10:18 ——– d—–w- c:\documents and settings\Daniela\Application Data\skypePM
  2010-06-06 17:13 . 2008-12-04 10:54 ——– d—–w- c:\program files\Common Files\Symantec Shared
  2010-06-03 13:17 . 2008-11-26 13:45 ——– d—–w- c:\program files\AVG
  2010-05-30 14:25 . 2008-12-07 15:09 ——– d—–w- c:\program files\HD Tune
  2010-05-30 13:44 . 2008-11-26 13:49 3638 —-a-r- c:\documents and settings\Daniela\Application Data\Microsoft\Installer\{CA217BDD-D941-454C-AA7E-C3ADA1648FE3}\_6b365cfd.exe
  2010-05-30 13:44 . 2008-11-26 13:49 3638 —-a-r- c:\documents and settings\Daniela\Application Data\Microsoft\Installer\{CA217BDD-D941-454C-AA7E-C3ADA1648FE3}\_5f49ddc.exe
  2010-05-30 13:44 . 2008-11-26 13:49 3638 —-a-r- c:\documents and settings\Daniela\Application Data\Microsoft\Installer\{CA217BDD-D941-454C-AA7E-C3ADA1648FE3}\_5f323bf6.exe
  2010-05-30 13:44 . 2008-11-26 13:49 3638 —-a-r- c:\documents and settings\Daniela\Application Data\Microsoft\Installer\{CA217BDD-D941-454C-AA7E-C3ADA1648FE3}\_3e121a49.exe
  2010-05-30 13:44 . 2008-11-26 13:49 3638 —-a-r- c:\documents and settings\Daniela\Application Data\Microsoft\Installer\{CA217BDD-D941-454C-AA7E-C3ADA1648FE3}\_3a9e797d.exe
  .

  ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
  .
  .
  *Note* empty entries & legit default entries are not shown
  REGEDIT4

  [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
  "{A3BC75A2-1F87-4686-AA43-5347D756017C}"= "c:\program files\AVG\AVG9\Toolbar\IEToolbar.dll" [2010-04-19 2117704]

  [HKEY_CLASSES_ROOT\clsid\{a3bc75a2-1f87-4686-aa43-5347d756017c}]

  [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A3BC75A2-1F87-4686-AA43-5347D756017C}]
  2010-04-19 08:25 2117704 —-a-w- c:\program files\AVG\AVG9\Toolbar\IEToolbar.dll

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
  "{CCC7A320-B3CA-4199-B1A6-9F516DD69829}"= "c:\program files\AVG\AVG9\Toolbar\IEToolbar.dll" [2010-04-19 2117704]

  [HKEY_CLASSES_ROOT\clsid\{ccc7a320-b3ca-4199-b1a6-9f516dd69829}]

  [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
  "{CCC7A320-B3CA-4199-B1A6-9F516DD69829}"= "c:\program files\AVG\AVG9\Toolbar\IEToolbar.dll" [2010-04-19 2117704]

  [HKEY_CLASSES_ROOT\clsid\{ccc7a320-b3ca-4199-b1a6-9f516dd69829}]

  [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  "DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2008-07-24 490952]
  "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-12-12 68856]
  "Skype"="c:\program files\Skype\\Phone\Skype.exe" [2010-03-09 26100520]

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  "Cobian Backup 8 interface"="c:\program files\Cobian Backup 8\cbInterface.exe" [2007-09-27 2425856]
  "SPAMfighter Agent"="c:\program files\SPAMfighter\SFAgent.exe" [2009-03-12 326792]
  "LifeCam"="c:\program files\Microsoft LifeCam\LifeExp.exe" [2007-05-17 279912]
  "VX3000"="c:\windows\vVX3000.exe" [2007-04-10 709992]
  "RTHDCPL"="RTHDCPL.EXE" [2008-04-10 16861184]
  "GhostStartTrayApp"="c:\program files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe" [2003-05-28 94208]

  [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
  "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

  c:\documents and settings\All Users\Start Menu\Programs\Startup\
  Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]

  [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
  2010-06-03 17:34 12464 —-a-w- c:\windows\system32\avgrsstx.dll

  [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
  "LoadAppInit_DLLs"=1 (0x1)

  [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^Adobe Reader Speed Launch.lnk]
  backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup

  [HKLM\~\startupfolder\C:^Documents and Settings^Daniela^Start Menu^Programs^Startup^e-Backup 1.42 Scheduler.lnk]
  backup=c:\windows\pss\e-Backup 1.42 Scheduler.lnkStartup
  path=c:\documents and settings\Daniela\Start Menu\Programs\Startup\e-Backup 1.42 Scheduler.lnk

  [HKLM\~\startupfolder\C:^Documents and Settings^Daniela^Start Menu^Programs^Startup^MagicDisc.lnk]
  backup=c:\windows\pss\MagicDisc.lnkStartup

  [HKLM\~\startupfolder\C:^Documents and Settings^Daniela^Start Menu^Programs^Startup^Snippy.exe]
  backup=c:\windows\pss\Snippy.exeStartup
  HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ANIWZCS2Service
  HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ashampoo PopUpBlocker
  HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICustomerCare
  HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EasyTuneVPro

  [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GEST]
  = [X]
  HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC
  HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg
  HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\USRobotics Wireless Manager UI

  [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeCS4ServiceManager]
  2008-08-14 05:58 611712 —-a-w- c:\program files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe

  [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GhostStartTrayApp]
  2003-05-28 17:11 94208 —-a-w- c:\program files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe

  [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Desktop Search]
  2008-11-26 13:52 29744 —-a-w- c:\program files\Google\Google Desktop Search\GoogleDesktop.exe

  [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
  2006-10-26 23:47 31016 —-a-w- c:\program files\Microsoft Office\Office12\GrooveMonitor.exe

  [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
  2008-04-14 04:42 1695232 ——w- c:\program files\Messenger\msmsgs.exe

  [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
  2001-07-09 10:50 155648 —-a-w- c:\windows\system32\NeroCheck.exe

  [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
  2008-12-04 10:32 155648 —-a-w- c:\program files\QuickTime\qttask.exe

  [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
  "gusvc"=3 (0x3)

  [HKEY_LOCAL_MACHINE\software\microsoft\security center]
  "AntiVirusOverride"=dword:00000001

  [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
  "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
  "%windir%\\system32\\sessmgr.exe"=
  "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
  "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
  "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
  "c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
  "c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
  "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
  "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
  "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
  "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
  "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
  "c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
  "c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
  "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
  "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=
  "c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
  "c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=
  "c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
  "c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
  "c:\\Program Files\\Ubisoft\\Related Designs\\ANNO 1404\\tools\\Anno4Web.exe"=
  "c:\\Program Files\\Common Files\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
  "c:\\Program Files\\Microsoft LifeCam\\LifeCam.exe"=
  "c:\\Program Files\\Microsoft LifeCam\\LifeExp.exe"=
  "c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
  "c:\\Program Files\\AVG\\AVG9\\avgupd.exe"=
  "c:\\Program Files\\AVG\\AVG9\\avgnsx.exe"=
  "c:\\Program Files\\Skype\\Phone\\Skype.exe"=

  [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
  "5353:TCP"= 5353:TCP:Adobe CSI CS4

  R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [6/3/2010 3:17 PM 216200]
  R1 AvgTdiX;AVG Free Network Redirector;c:\windows\system32\drivers\avgtdix.sys [6/3/2010 3:17 PM 242896]
  R1 GhPciScan;GhostPciScanner;c:\program files\Symantec\Norton Ghost 2003\GhPciScan.sys [5/28/2003 7:01 PM 5632]
  R2 avg9wd;AVG Free WatchDog;c:\program files\AVG\AVG9\avgwdsvc.exe [6/3/2010 7:33 PM 308064]
  R2 SPAMfighter Update Service;SPAMfighter Update Service;c:\program files\SPAMfighter\sfus.exe [3/12/2009 10:44 AM 184968]
  R3 k57w2k;Broadcom NetLink (TM) Gigabit Ethernet;c:\windows\system32\drivers\k57xp32.sys [2/1/2010 2:44 PM 175104]
  S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [12/2/2008 1:43 PM 717296]
  S2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2/3/2010 10:01 AM 135664]
  S3 AVG Security Toolbar Service;AVG Security Toolbar Service;c:\program files\AVG\AVG9\Toolbar\ToolbarBroker.exe [6/3/2010 7:34 PM 430152]
  S3 FXDrv32;FXDrv32;c:\progra~1\FOXCONN\FOXLIV~1\FXDrv32.sys [2/8/2010 3:57 PM 23872]
  S3 GoogleDesktopManager-061008-081103;Google Desktop Manager 5.7.806.10245;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [11/26/2008 3:52 PM 29744]
  S3 GVTDrv;GVTDrv;c:\windows\system32\drivers\GVTDrv.sys [11/25/2008 2:32 PM 24944]
  S3 MarkFun_NT;MarkFun_NT;\??\c:\program files\Gigabyte\ET5Pro\markfun.w32 –> c:\program files\Gigabyte\ET5Pro\markfun.w32 [?]
  S3 NdisWDM;USRobotics NDIS-WDM Virtual Miniport Ethernet Adapter Service;c:\windows\system32\DRIVERS\ndiswdm.sys –> c:\windows\system32\DRIVERS\ndiswdm.sys [?]
  .
  Contents of the 'Scheduled Tasks' folder

  2010-06-07 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
  - c:\program files\Google\Update\GoogleUpdate.exe [2010-02-03 08:01]

  2010-06-07 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
  - c:\program files\Google\Update\GoogleUpdate.exe [2010-02-03 08:01]

  2010-06-03 c:\windows\Tasks\Microsoft_Hardware_Launch_vVX3000_exe.job
  - c:\windows\vVX3000.exe [2009-11-19 21:46]
  .
  .
  ——- Supplementary Scan ——-
  .
  uStart Page = hxxp://www.google.be/
  uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
  uInternet Settings,ProxyOverride = *.local
  uSearchAssistant = hxxp://www.google.com/ie
  uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
  Handler: avgsecuritytoolbar - {F2DDE6B2-9684-4A55-86D4-E255E237B77C} - c:\program files\AVG\AVG9\Toolbar\IEToolbar.dll
  .
  - - - - ORPHANS REMOVED - - - -

  Toolbar-Locked - (no file)



  **************************************************************************

  catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
  Rootkit scan 2010-06-07 14:06
  Windows 5.1.2600 Service Pack 3 NTFS

  scanning hidden processes …

  scanning hidden autostart entries …

  scanning hidden files …

  scan completed successfully
  hidden files: 0

  **************************************************************************

  [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MarkFun_NT]
  "ImagePath"="\??\c:\program files\Gigabyte\ET5Pro\markfun.w32"
  .
  ——————— DLLs Loaded Under Running Processes ———————

  - - - - - - - > 'winlogon.exe'(764)
  c:\windows\system32\Ati2evxx.dll
  c:\windows\System32\BCMLogon.dll
  .
  Completion time: 2010-06-07 14:07:23
  ComboFix-quarantined-files.txt 2010-06-07 12:07

  Pre-Run: 31,661,502,464 bytes free
  Post-Run: 31,703,486,464 bytes free

  WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
  [boot loader]
  timeout=2
  default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
  [operating systems]
  c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
  multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /usepmtimer

  - - End Of File - - 0B98C1FBBFC1DAFD8F31EAF4A903E3C4

  Observaties:

  "Vreemde dingen" die gebleven zijn:

  "Ulqun.dat" in Local Settings > Temp laat zich nog steeds niet verwijderen.
  AVG wil niet updaten (Server does not allow..), Norton Ghost werkt niet, ook niet na herinstallatie.

  Nieuw, na Combofix: Geen vermelding van AVG meer in Msconfig > Startup. Evenmin AVG icoon rechtsonder. Wel "AVG watchdog" in services. Volgens main menu van AVG werkt alles wel normaal.
  De USB flashkaart van de fotocamera wordt niet meer automatisch gestart.

  De PC doet het op het eerste gezicht verder eigenlijk prima ;-)

  Ben benieuwd, Vriendelijk dank, zover, Henk
 • @KAPE en andere experts. Wat denken jullie van mijn Combofix logje? Geen resultaat is ook een resultaat :-)

  Mijn grootste zorg nu is dat sinds Combofix de Autoplay functie van de fotochip-kaartlezer niet meer werkt. Ook niet door in Eigenschappen > Autoplay deze functie voor alle formaten te activeren.

  Thanx en Ciao, Henk
 • Nou, hartelijk dank dan maar voor de overweldigende respons m.b.t. mijn Combofix logje.

  Zo komen we echt verder :-(

  Ciao, Henk
 • Avé Henk.

  Je hebt nu twee antivirussen in je Windows - dat is niet goed!

  Bepaal nu eerst welke je behouden wil.
  En laat dat vervolgens weten.

  Ondertussen mag je het onderstaande alvast doen:

  [b:d93cd8db4b] [/b:d93cd8db4b]
  N.B.: Gebruikers van Windows Vista en Windows 7 starten het tool middels rechtsklik en daarbij dan kiezend voor Als Administrator uitvoeren!
  [list:d93cd8db4b][*:d93cd8db4b] Klik/dubbelklik op [b:d93cd8db4b]TFC.exe[/b:d93cd8db4b] om het programma te starten.
  [*:d93cd8db4b] Niet schrikken - het tool sluit alle lopende programma's - ergo: verzeker je dus ervan, dat je werk al is opgeslagen!
  [*:d93cd8db4b] Vervolgens klik je op de knop [b:d93cd8db4b]Start[/b:d93cd8db4b] om de scan te starten. Deze scan kan kort of langer duren, wees geduldig en laat TFC zijn taak doen en wacht to TFC klaaar is.
  [*:d93cd8db4b] Indien TFC klaar is, dan komt de melding dat de computer opnieuw opgestart wordt.
  [*:d93cd8db4b] Gebeurt het afsluiten niet automatisch, start dan zelf de computer opnieuw op.
  [*:d93cd8db4b] Noot: TFC vertoont geen log![/list:u:d93cd8db4b]
 • Wees ook gegroet, Abraham!

  Hartelijk dank voor je reactie!

  Naar mijn beste weten heb ik nog maar één Antivirus op de computer. Welke zie je dan nog meer? Misschien een restje Avast? AVG mag blijven.

  Ik ben een beetje huiverig om mij totaal onbekende programma's te runnen, vooral omdat het om de computer van mijn vrouw gaat. Als er iets mis gaat slaap ik vannacht buiten ;-) Wat is TFC en wat doet het? Google maakt me niet veel wijzer…

  En what about mijn Combofix logje? Is daaruit nou nog iets gebleken, of niet??

  Ik wil absoluut niet jouw expertise in twijfel trekken, maar gaarne wat meer achtergrond voordat ik me in een volgend avontuur stort :-)

  Ciao and thanx, Henk
 • Hoi Henk, TFC is niets anders dan een grondige cleaner van "Temp"-mappen.

  Combofix heeft niks gevonden!

  En ik heb per ongeluk data van het HJT-og en Combofix doorelkaar gehaspelt.
  Waarom je nu voor AVG hebt gekozen in plaats van de nieuwe Avast 5, is mij niet helemaal duidelijk.

  Maar die "rootkit" in jouw Windows zit dus in een tijdelijke map en volgens mij ruimt TFC deze dan op!
 • Thanx, Abraham!

  TFC gedraaid (2x). In Local settings > Temp blijft onder meer "ulqun.dat" staan. Bij handmatig verwijderen komt hij na een paar seconden terug…

  Waarom AVG is a long story :-) Het begon allemaal ermee dat AVG niet wilde updaten. Dus er af gehaald en Avast er op. Die vond gelijk "ulqun.dat" en wilde overigens ook niet updaten. Toen maar weer terug naar AVG, die slaat tenminste niet om de haverklap alarm dat ik een rootkit virus o.i.d. heb. Kop in 't zand dus. Beter voor de gemoedsrust van mijn vrouw :-)

  Zoals hierboven ergens gezegd loopt de computer verder eigenlijk perfect, het enige is dat sinds Combofix, autoplay niet meer functioneert op de flashkaart. Ze moet nu telkens handmatig de foto's overbrengen.

  Ik ga binnenkort toch maar een nieuwe installatie van XP doen.

  Hartelijk dank voor het meedenken, Henk
 • Hallo Henk, ingeval van een rootkit met bijbehorende malware is het opnieuw installeren van Windows de beste optie - vermits je ervoor zorgt dat

  a) de internetverbinding gekapt wordt en
  b) de systeempartitie eerst geformateerd wordt!

  Alleen dan kan je zeker zijn zijn, dat het vius verdwenen is!
 • OK, thanks!

  Henk
 • Succes ermee hoor.

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.