Vraag & Antwoord

Beveiliging & privacy

Trojans gevonden, graag check HijackThisfile

Anoniem
goudpan
28 antwoorden
  • Hoi,

    Ik ben bezig deze computer van een kennis weer goedwerkend te krijgen.
    Klachten:
    - IE geeft steeds aan dat hij niet afgesloten is, bij een herstart vraagt ie om de eerdere sessie te herstarten;
    - ATF-cleaner blijft doordraaien en reageert dan niet meer
    - Computer is traag

    Allereerst met MBAM een scan gedraaid, hij vond het volgende, zie log:

    Malwarebytes' Anti-Malware 1.50.1.1100
    www.malwarebytes.org

    Databaseversie: 5506

    Windows 6.1.7600
    Internet Explorer 8.0.7600.16385

    12-1-2011 15:45:30
    mbam-log-2011-01-12 (15-45-30).txt

    Scantype: Snelle scan
    Objecten gescand: 139193
    Verstreken tijd: 3 minuut/minuten, 4 seconde(n)

    Geheugenprocessen geïnfecteerd: 0
    Geheugenmodulen geïnfecteerd: 0
    Registersleutels geïnfecteerd: 5
    Registerwaarden geïnfecteerd: 1
    Registerdata geïnfecteerd: 0
    Mappen geïnfecteerd: 0
    Bestanden geïnfecteerd: 3

    Geheugenprocessen geïnfecteerd:
    (Geen kwaadaardige objecten gedetecteerd)

    Geheugenmodulen geïnfecteerd:
    (Geen kwaadaardige objecten gedetecteerd)

    Registersleutels geïnfecteerd:
    HKEY_CURRENT_USER\SOFTWARE\D9L83679SM (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\JP595IR86O (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\NtWqIVLZEWZU (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Quarantined and deleted successfully.

    Registerwaarden geïnfecteerd:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\JP595IR86O (Trojan.FakeAlert) -> Value: JP595IR86O -> Quarantined and deleted successfully.

    Registerdata geïnfecteerd:
    (Geen kwaadaardige objecten gedetecteerd)

    Mappen geïnfecteerd:
    (Geen kwaadaardige objecten gedetecteerd)

    Bestanden geïnfecteerd:
    c:\Windows\Tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
    c:\Windows\Tasks\{62c40aa6-4406-467a-a5a5-dfdf1b559b7a}.job (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    c:\Windows\Tasks\{bbaeaeaf-1275-40e2-bd6c-bc8f88bd114a}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

    Daarna een HijackThislog aangemaakt, zie hieronder:

    Logfile of Trend Micro HijackThis v2.0.4
    Scan saved at 16:12:42, on 12-1-2011
    Platform: Windows 7 (WinNT 6.00.3504)
    MSIE: Internet Explorer v8.00 (8.00.7600.16385)
    Boot mode: Normal

    Running processes:
    C:\Windows\system32\Dwm.exe
    C:\Windows\Explorer.EXE
    C:\Windows\system32\taskhost.exe
    C:\Windows\System32\igfxtray.exe
    C:\Windows\System32\hkcmd.exe
    C:\Windows\System32\igfxpers.exe
    C:\Windows\system32\igfxsrvc.exe
    C:\Program Files\Alwil Software\Avast5\AvastUI.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe
    C:\Windows\system32\taskeng.exe
    C:\Windows\system32\NOTEPAD.EXE
    C:\Program Files\Hijackthis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Preserve
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
    O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
    O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
    O4 - HKLM\..\Run: [avast5] "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui
    O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
    O4 - HKLM\..\RunOnce: [AvgUninstallURL] cmd.exe /c start http://www.avg.com/ww.special-uninstallation-feedback-app?lic=OQBBAFYARgBSAEUARQAtAFYAQQBFAEEAWQAtAFQAMwBMAFUARQAtAE4ATAAzAEQAQQAtAEMAQgBVAEsASAAtAEoARgA3AE0AOQA"&"inst=NwA3AC0ANAAxADYANQA2ADEANAAyADUALQBGAEwAKwA5AC0ARgA5AE0ANgArADEALQBYAE8AMwA2ACsAMQAtAEYAOQBNADcAQwArADUA"&"prod=90"&"ver=9.0.872
    O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
    O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    O9 - Extra button: Verzenden naar OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: Verz&enden naar OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
    O23 - Service: Mobiel Apple apparaat (Apple Mobile Device) - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
    O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
    O23 - Service: Bonjour-service (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe


    End of file - 4554 bytes


    Graag hulp bij het definitef verwijderen van de rommel op deze computer.
  • Hallo goudpan, ik zie dat Avast niet met alle optie is geïnstalleerd geworden na de deïnstallatie van AVG.

    Klopt dat?

    [b:b7d3c62ef4]Te gebruiken programma's[/b:b7d3c62ef4]
    [list:b7d3c62ef4][*:b7d3c62ef4]Trend Micro [b:b7d3c62ef4]Hijack This Versie 2.0.4[/b:b7d3c62ef4]
    [*:b7d3c62ef4]Microsoft [b:b7d3c62ef4]Malicious Software Removal Tool[/b:b7d3c62ef4]
    [*:b7d3c62ef4] Malwarebytes [b:b7d3c62ef4]MBAM[/b:b7d3c62ef4]
    [*:b7d3c62ef4][b:b7d3c62ef4]TFC[/b:b7d3c62ef4] (The File Cleaner)[/list:u:b7d3c62ef4]
    [b:b7d3c62ef4]Downloaden - maar nog niet installeren - download de setups naar je bureaublad[/b:b7d3c62ef4]:
    [list:b7d3c62ef4][*:b7d3c62ef4]Microsoft [b:b7d3c62ef4]Malicious Software Removal Tool[/b:b7d3c62ef4] - download en meer informatie vindt je [b:b7d3c62ef4]hier[/b:b7d3c62ef4]
    [*:b7d3c62ef4]Download [b:b7d3c62ef4]TFC[/b:b7d3c62ef4] [b:b7d3c62ef4]hier[/b:b7d3c62ef4][/list:u:b7d3c62ef4]
    [b:b7d3c62ef4]Belangrijk[/b:b7d3c62ef4]:
    [list:b7d3c62ef4][*:b7d3c62ef4]Vista- en Windows 7 gebruik(st)ers installeren en starten alle gebruikte tools middels rechtsklikken en dan kiezen voor Als Administrator uitvoeren.[/list:u:b7d3c62ef4]
  • Goed, zoveel mogelijk geprobeerd te doen, even een verslag:
    Volgens mij had ik AVG eerst gewoon verwijderd en daaroverheen nog de AVG remover tool gebruikt, vreemd dat het dan niet helemaal verwijderd is.
    De Maliscious software removal tool vindt geen schadelijke software. De windows searchqu toolbar staat niet in de lijst van geïnstalleerde software. TFC draaide goed tot bij het legen van de prullenbak, na 6 uur draaien heb ik het programma maar afgesloten.
    Op een of andere manier lukt het niet om tijdelijke bestanden te verwijderen, vreemd genoeg. Daarna startte de computer niet meer op en heb ik systeemherstel moeten uitvoeren.

    Ik heb nu de volgende logs voor je:

    Logfile of Trend Micro HijackThis v2.0.4
    Scan saved at 10:20:07, on 13-1-2011
    Platform: Windows 7 (WinNT 6.00.3504)
    MSIE: Internet Explorer v8.00 (8.00.7600.16385)
    Boot mode: Normal

    Running processes:
    C:\Windows\system32\Dwm.exe
    C:\Windows\Explorer.EXE
    C:\Windows\System32\igfxtray.exe
    C:\Windows\System32\hkcmd.exe
    C:\Windows\System32\igfxpers.exe
    C:\Program Files\Alwil Software\Avast5\AvastUI.exe
    C:\Windows\system32\igfxsrvc.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    C:\Windows\system32\taskhost.exe
    C:\Windows\system32\taskeng.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe
    C:\Program Files\Hijackthis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
    O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
    O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
    O4 - HKLM\..\Run: [avast5] "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui
    O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
    O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200
    O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: Verzenden naar OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: Verz&enden naar OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
    O23 - Service: Mobiel Apple apparaat (Apple Mobile Device) - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
    O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
    O23 - Service: Bonjour-service (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe


    End of file - 4186 bytes


    Malwarebytes' Anti-Malware 1.50.1.1100
    www.malwarebytes.org

    Databaseversie: 5510

    Windows 6.1.7600
    Internet Explorer 8.0.7600.16385

    13-1-2011 10:23:19
    mbam-log-2011-01-13 (10-23-19).txt

    Scantype: Snelle scan
    Objecten gescand: 138911
    Verstreken tijd: 2 minuut/minuten, 36 seconde(n)

    Geheugenprocessen geïnfecteerd: 0
    Geheugenmodulen geïnfecteerd: 0
    Registersleutels geïnfecteerd: 0
    Registerwaarden geïnfecteerd: 0
    Registerdata geïnfecteerd: 0
    Mappen geïnfecteerd: 0
    Bestanden geïnfecteerd: 0

    Geheugenprocessen geïnfecteerd:
    (Geen kwaadaardige objecten gedetecteerd)

    Geheugenmodulen geïnfecteerd:
    (Geen kwaadaardige objecten gedetecteerd)

    Registersleutels geïnfecteerd:
    (Geen kwaadaardige objecten gedetecteerd)

    Registerwaarden geïnfecteerd:
    (Geen kwaadaardige objecten gedetecteerd)

    Registerdata geïnfecteerd:
    (Geen kwaadaardige objecten gedetecteerd)

    Mappen geïnfecteerd:
    (Geen kwaadaardige objecten gedetecteerd)

    Bestanden geïnfecteerd:
    (Geen kwaadaardige objecten gedetecteerd)

    32 Bit HP CIO Components Installer
    Aangifte inkomstenbelasting 2009
    Adobe Flash Player 10 ActiveX
    Adobe Reader 9.4.1 - Nederlands
    Apple Application Support
    Apple Mobile Device Support
    Apple Software Update
    avast! Free Antivirus
    BitLord 1.1
    Bonjour
    DivX Converter
    DivX Plus DirectShow Filters
    DivX Setup
    HP Customer Participation Program 13.0
    HP Imaging Device Functions 13.0
    HP Officejet Pro 8000 A809 Series
    Huur- en zorgtoeslag 2010
    Intel(R) Graphics Media Accelerator Driver
    Intel(R) TV Wizard
    Junk Mail filter update
    Malwarebytes' Anti-Malware
    Maple 13
    Microsoft .NET Framework 4 Client Profile
    Microsoft .NET Framework 4 Client Profile
    Microsoft .NET Framework 4 Client Profile NLD Language Pack
    Microsoft Choice Guard
    Microsoft Office 2007 Service Pack 2 (SP2)
    Microsoft Office 2007 Service Pack 2 (SP2)
    Microsoft Office 2007 Service Pack 2 (SP2)
    Microsoft Office 2007 Service Pack 2 (SP2)
    Microsoft Office 2007 Service Pack 2 (SP2)
    Microsoft Office 2007 Service Pack 2 (SP2)
    Microsoft Office Excel MUI (Dutch) 2007
    Microsoft Office Home and Student 2007
    Microsoft Office Home and Student 2007
    Microsoft Office OneNote MUI (Dutch) 2007
    Microsoft Office PowerPoint MUI (Dutch) 2007
    Microsoft Office Proof (Dutch) 2007
    Microsoft Office Proof (English) 2007
    Microsoft Office Proof (French) 2007
    Microsoft Office Proof (German) 2007
    Microsoft Office Proofing (Dutch) 2007
    Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
    Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
    Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
    Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
    Microsoft Office Shared MUI (Dutch) 2007
    Microsoft Office Word MUI (Dutch) 2007
    Microsoft Silverlight
    Microsoft Visual C++ 2005 Redistributable
    MSVCRT
    myPrintMileage (Officejet Pro 8000 A809)
    NTREGOPT 1.1j
    OGA Notifier 2.0.0048.0
    Picasa 3
    QuickTime
    RealPlayer
    RealUpgrade 1.1
    Security Update for 2007 Microsoft Office System (KB2288621)
    Security Update for 2007 Microsoft Office System (KB2288931)
    Security Update for 2007 Microsoft Office System (KB2289158)
    Security Update for 2007 Microsoft Office System (KB2344875)
    Security Update for 2007 Microsoft Office System (KB2345043)
    Security Update for 2007 Microsoft Office System (KB969559)
    Security Update for 2007 Microsoft Office System (KB976321)
    Security Update for Microsoft Office Excel 2007 (KB2345035)
    Security Update for Microsoft Office InfoPath 2007 (KB979441)
    Security Update for Microsoft Office PowerPoint 2007 (KB982158)
    Security Update for Microsoft Office PowerPoint Viewer (KB2413381)
    Security Update for Microsoft Office system 2007 (972581)
    Security Update for Microsoft Office system 2007 (KB974234)
    Security Update for Microsoft Office Visio Viewer 2007 (KB973709)
    Security Update for Microsoft Office Word 2007 (KB2344993)
    SimBoePro
    Spelling Dictionaries Support For Adobe Reader 9
    Taalpakket voor Microsoft .NET Framework 4 Client Profile - NLD
    Update for 2007 Microsoft Office System (KB967642)
    Update for Microsoft Office OneNote 2007 (KB980729)
    Update voor Microsoft Office Excel 2007 Help (KB963678)
    Update voor Microsoft Office Powerpoint 2007 Help (KB963669)
    Update voor Microsoft Office Word 2007 Help (KB963665)
    VC80CRTRedist - 8.0.50727.4053
    VLC media player 1.1.4
    Windows Live - Hulpprogramma voor uploaden
    Windows Live Call
    Windows Live Communications Platform
    Windows Live Essentials
    Windows Live Essentials
    Windows Live Mail
    Windows Live Messenger
    Xvid 1.2.1 final uninstall
  • Hoi goudpan, heb jij TFC opgestart met administratorrechten of had het tool gedubbelklikt?


    Ondanks het systeemherstel, denk ik dat een diepgaande diagnose nodig is!


    [[b:682c5c47ac]Welk programma[/b:682c5c47ac]: ComboFix
    [b:682c5c47ac]Waarvoor/waarom[/b:682c5c47ac]: Zeer specialistische scanner om Windows diepgaand te onderzoeken en zo mogelijk op te schonen.
    [b:682c5c47ac]Moeilijkheidsgraad[/b:682c5c47ac]: Min of meer lastige voorbereidingsfase, dus lees alles eerst goed.
    [b:682c5c47ac]Downloadlokatie[/b:682c5c47ac]: Dit programma absoluut naar het bureaublad downloaden!
    [b:682c5c47ac]Download ComboFix via één van deze locaties[/b:682c5c47ac]:
    [list:682c5c47ac][*:682c5c47ac][b:682c5c47ac]Bleepingcomputer[/b:682c5c47ac]
    [*:682c5c47ac][b:682c5c47ac]ForoSpyware[/b:682c5c47ac]
    [*:682c5c47ac][b:682c5c47ac]Geekstogo[/b:682c5c47ac][/list:u:682c5c47ac]
    [b:682c5c47ac]Hier[/b:682c5c47ac] zie je hoe je ComboFix moet gebruiken.

    Antivirusprogramma en actieve malwarescanners dienen al voor de ComboFix start gedeaktiveert zijn!
    [b:682c5c47ac]Hier[/b:682c5c47ac] en [url=http://www.techsupportforum.com/forums/f50/how-to-disable-your

    -security-applications-490111.html][b:682c5c47ac]hier[/b:682c5c47ac] vindt je gegevens hoe antivirusprogramma's en spywarescanners te deaktiveren.

    [b:682c5c47ac]Voor alle duidelijkheid nogmaals[/b:682c5c47ac]: ComboFix dient vanaf het bureaublad gestart te worden.

    [b:682c5c47ac]Opmerkingen[/b:682c5c47ac]:
    [list:682c5c47ac][*:682c5c47ac] Bij gebruik van Windows XP zal er mogelijk gevraagd worden, om de "Recovery Console" te installeren! Sta dit dan toe (hiervoor is een actieve

    internet verbinding vereist).
    [*:682c5c47ac]Vista- en Windows 7 gebruikers starten Combofix op via rechtsklik met Administratorrechten.
    [*:682c5c47ac]Alle openstaande programma's en webpagina's dienen afgesloten te zijn.[/list:u:682c5c47ac]
    [b:682c5c47ac]ComboFix is opgestart[/b:682c5c47ac]:
    [list:682c5c47ac][*:682c5c47ac]Niet in het zwarte venster klikken, hierdoor kan ComboFix of zelfs Windows geheel "bevriezen"!
    [*:682c5c47ac]Combofix sluit tijdens de scan de internet verbinding – probeer deze tussentijds niet te herstellen!
    [*:682c5c47ac]Het kan voorkomen dat de computer meerdere malen opnieuw opgestart moet worden, dit is normaal.
    [*:682c5c47ac]Wanneer ComboFix gereed is, zal het het een logbestand voor je maken.
    [*:682c5c47ac]Post de inhoud van dit logbestand in je volgende bericht.
    [*:682c5c47ac]Indien het log niet opstart, is dit terug tevinden in C:\ComboFix.txt[/list:u:682c5c47ac]
    [b:682c5c47ac]Belangrijke opmerking[/b:682c5c47ac]:
    [list:682c5c47ac][*:682c5c47ac]
  • Naar mijn weten had ik TFC opgestart als administrator.

    Hieronder de door jou gevraagde Combofixlog:

    ComboFix 11-01-12.04 - gebruiker 13-01-2011 18:37:56.1.4 - x86
    Microsoft Windows 7 Home Premium 6.1.7600.0.1252.31.1043.18.3574.2627 [GMT 1:00]
    Gestart vanuit: c:\users\gebruiker\Desktop\ComboFix.exe
    AV: avast! Antivirus *Disabled/Updated* {C37D8F93-0602-E43C-40AA-47DAD597F308}
    SP: avast! Antivirus *Disabled/Updated* {781C6E77-2038-EBB2-7A1A-7CA8AE10B9B5}
    SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
    .

    (((((((((((((((((((( Bestanden Gemaakt van 2010-12-13 to 2011-01-13 ))))))))))))))))))))))))))))))
    .

    2011-01-13 17:42 . 2011-01-13 17:42 ——– d—–w- c:\users\Default\AppData\Local\temp
    2011-01-13 09:06 . 2010-11-16 11:01 6273872 —-a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{428D1032-D9C4-4D42-88DB-3D74EB423786}\mpengine.dll
    2011-01-13 09:05 . 2010-12-20 17:09 38224 —-a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2011-01-13 09:05 . 2010-12-20 17:08 20952 —-a-w- c:\windows\system32\drivers\mbam.sys
    2011-01-12 12:14 . 2010-12-31 20:00 293968 —-a-w- c:\windows\system32\drivers\aswSP.sys
    2011-01-12 12:14 . 2010-12-31 19:56 17744 —-a-w- c:\windows\system32\drivers\aswFsBlk.sys
    2011-01-12 12:14 . 2010-12-31 19:56 23632 —-a-w- c:\windows\system32\drivers\aswRdr.sys
    2011-01-12 12:14 . 2010-12-31 19:59 47440 —-a-w- c:\windows\system32\drivers\aswTdi.sys
    2011-01-12 12:14 . 2010-12-31 19:56 51280 —-a-w- c:\windows\system32\drivers\aswMonFlt.sys
    2011-01-12 12:13 . 2010-12-31 20:06 38848 —-a-w- c:\windows\avastSS.scr
    2011-01-12 12:13 . 2010-12-31 20:06 188216 —-a-w- c:\windows\system32\aswBoot.exe
    2011-01-12 12:13 . 2011-01-12 12:13 ——– d—–w- c:\programdata\Alwil Software
    2011-01-12 12:13 . 2011-01-12 12:13 ——– d—–w- c:\program files\Alwil Software
    2011-01-12 11:39 . 2011-01-12 11:39 ——– d—–w- c:\users\gebruiker\AppData\Roaming\Auslogics
    2011-01-12 11:39 . 2011-01-12 11:39 ——– d—–w- c:\program files\Auslogics
    2011-01-12 11:37 . 2011-01-12 11:37 ——– d—–w- c:\program files\NT Registry Optimizer
    2011-01-05 15:03 . 2011-01-11 23:17 ——– d—–w- c:\users\gebruiker\AppData\Local\Microsoft Games
    2010-12-23 08:41 . 2010-12-23 08:41 ——– d—–w- c:\users\gebruiker\AppData\Roaming\Malwarebytes
    2010-12-23 08:41 . 2010-12-23 08:41 ——– d—–w- c:\programdata\Malwarebytes
    2010-12-23 08:41 . 2011-01-13 09:05 ——– d—–w- c:\program files\Malwarebytes' Anti-Malware

    .
    ((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-12-02 03:35 . 2010-12-02 03:35 4280320 —-a-w- c:\windows\system32\GPhotos.scr
    2010-11-29 16:38 . 2010-11-29 16:38 94208 —-a-w- c:\windows\system32\QuickTimeVR.qtx
    2010-11-29 16:38 . 2010-11-29 16:38 69632 —-a-w- c:\windows\system32\QuickTime.qts
    2010-11-21 15:20 . 2010-01-22 19:16 499712 —-a-w- c:\windows\system32\msvcp71.dll
    2010-11-21 15:20 . 2010-01-22 19:16 348160 —-a-w- c:\windows\system32\msvcr71.dll
    2010-10-19 09:41 . 2009-12-30 19:43 222080 ——w- c:\windows\system32\MpSigStub.exe
    .

    ((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond
    REGEDIT4

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-09-23 141848]
    "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-09-23 173592]
    "Persistence"="c:\windows\system32\igfxpers.exe" [2009-09-23 150552]
    "avast5"="c:\program files\Alwil Software\Avast5\avastUI.exe" [2010-12-31 3395600]

    c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
    HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2009-9-23 270336]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "ConsentPromptBehaviorAdmin"= 5 (0x5)
    "ConsentPromptBehaviorUser"= 3 (0x3)
    "EnableUIADesktopToggle"= 0 (0x0)

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "aux"=wdmaud.drv

    [HKLM\~\startupfolder\C:^Users^gebruiker^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OneNote 2007 Schermopname en Snel starten.lnk]
    path=c:\users\gebruiker\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneNote 2007 Schermopname en Snel starten.lnk
    backup=c:\windows\pss\OneNote 2007 Schermopname en Snel starten.lnk.Startup
    backupExtension=.Startup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
    2010-09-20 21:07 932288 —-a-r- c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
    2010-09-23 02:47 35760 —-a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
    2010-09-01 06:39 1164584 —-a-w- c:\program files\DivX\DivX Update\DivXUpdate.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
    2010-11-07 14:04 136176 —-atw- c:\users\gebruiker\AppData\Local\Google\Update\GoogleUpdate.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Malwarebytes' Anti-Malware (reboot)]
    2010-12-20 17:08 963976 —-a-w- c:\program files\Malwarebytes' Anti-Malware\mbam.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
    2010-11-29 16:38 421888 —-a-w- c:\program files\QuickTime\QTTask.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
    2010-11-21 15:20 274608 —-a-w- c:\program files\real\realplayer\Update\realsched.exe

    R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
    R3 WatAdminSvc;Windows Activation Technologies-service;c:\windows\system32\Wat\WatAdminSvc.exe [2010-06-02 1343400]
    S1 aswSP;aswSP; [x]
    S2 aswFsBlk;aswFsBlk; [x]
    S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2010-12-31 51280]
    S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [2009-03-01 139776]
    S3 RTL8187B;Realtek RTL8187B 802.11b/g 54 Mbps draadloze USB 2.0-netwerkadapter;c:\windows\system32\DRIVERS\RTL8187B.sys [2009-07-13 347136]


    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
    HPService REG_MULTI_SZ HPSLPSVC
    hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
    .
    Inhoud van de 'Gedeelde Taken' map

    2011-01-10 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2714516515-3284364112-1062224456-1000Core.job
    - c:\users\gebruiker\AppData\Local\Google\Update\GoogleUpdate.exe [2010-11-07 14:04]

    2011-01-13 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2714516515-3284364112-1062224456-1000UA.job
    - c:\users\gebruiker\AppData\Local\Google\Update\GoogleUpdate.exe [2010-11-07 14:04]
    .
    .
    ——- Bijkomende Scan ——-
    .
    uStart Page = hxxp://www.startpagina.nl/
    uInternet Settings,ProxyOverride = *.local
    IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
    IE: E&xporteren naar Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
    .
    .
    ——————— VERGRENDELDE REGISTER SLEUTELS ———————

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
    @Denied: (A 2) (Everyone)
    @="FlashBroker"
    "LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
    "Enabled"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
    @="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
    @Denied: (A 2) (Everyone)
    @="IFlashBroker4"

    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
    @="{00020424-0000-0000-C000-000000000046}"

    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
    "Version"="1.0"

    [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
    @Denied: (Full) (Everyone)
    .
    Voltooingstijd: 2011-01-13 18:44:25
    ComboFix-quarantined-files.txt 2011-01-13 17:44

    Pre-Run: 475.457.568.768 bytes beschikbaar
    Post-Run: 475.007.004.672 bytes beschikbaar

    - - End Of File - - ECF2309F8D91441061B12FAE23F14481
  • Hoi goudpan, het log is schoon.

    Ook geen melding aanwezig van AVG!


    ComboFix mag nu verwijderd worden:
    [list:8f36392fc1][*:8f36392fc1] ga daarvoor naar Start - Uitvoeren
    [*:8f36392fc1] kopieer en plak hierin het volgende: [b:8f36392fc1]Combofix /Uninstall[/b:8f36392fc1]
    [*:8f36392fc1] klik daarna op [b:8f36392fc1]OK[/b:8f36392fc1].
    [*:8f36392fc1] indien het goed is, krijg je vervolgens een melding, dat Combofix verwijderd werd.[/list:u:8f36392fc1]

    Voorbeeld:

    [img:8f36392fc1]http://home.kpn.nl/stefsmeenk/CFUninstall.PNG[/img:8f36392fc1]

    Uitvoeren kan ook gestart worden door de toetsencombinatie [img:8f36392fc1]http://home.kpn.nl/stefsmeenk/W+R.jpg[/img:8f36392fc1]


    [b:8f36392fc1]Welk programma[/b:8f36392fc1]: Malwarebytes MBAM
    [b:8f36392fc1]Waarvoor/waarom[/b:8f36392fc1]: specialistische scanner om Windows snel te onderzoeken op- en te ontdoen van spy- & malware.
    [b:8f36392fc1]Moeilijkheidsgraad[/b:8f36392fc1]: geen.

    [b:8f36392fc1]Malwarebytes MBAM opstarten[/b:8f36392fc1]:
    Windows 2000 en Windows XP: start MBAM middels dubbelklik op de snelkoppeling.
    Windows Vista en Windows 7: start MBAM middels rechtsklik op de snelkoppeling en dan kiezen voor Als Administrator uitvoeren.

    [b:8f36392fc1]Belangrijk: MBAM altijd eerst updaten![/b:8f36392fc1]
    [list:8f36392fc1][*:8f36392fc1]Klik in het hoofdmenu van daarvoor op de tab 'Update' en vervolgens op de knop "Controleer op updates".[/list:u:8f36392fc1]
    [b:8f36392fc1]Scannen[/b:8f36392fc1]:
    [list:8f36392fc1][*:8f36392fc1] Bij het starten van 'MBAM' kies je voor 'Snelle Scan'.
    [*:8f36392fc1]Het scannen kan een tijdje duren, dus wees geduldig. Indien de scan voltooid is, klik dan op de knop 'OK'.
    [*:8f36392fc1]Klik daarna op de knop 'Bekijk Resultaten' om de resultaten te zien.[/list:u:8f36392fc1]
    [b:8f36392fc1]Infecties gevonden[/b:8f36392fc1]:
    [list:8f36392fc1][*:8f36392fc1]Klik nu eerst op OK om de melding weg te klikken
    [*:8f36392fc1]Klik vervolgens rechtsonder op de knop Bekijk resultaten.
    [*:8f36392fc1]Zorg er nu voor dat alle gevonden infecties aangevinkt zijn, en klik linksonder op Verwijder geselecteerde.
    [*:8f36392fc1]Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten.
    [*:8f36392fc1]Indien 'MBAM' moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven –
    dan telkens op 'OK' klikken!
    [*:8f36392fc1]Daarna zal 'MBAM' vragen om de Computer opnieuw op te starten - dus sta toe dat de computer opnieuw opgestart wordt.[/list:u:8f36392fc1]
    [b:8f36392fc1]MBAM-Log[/b:8f36392fc1]:
    [list:8f36392fc1][*:8f36392fc1] Het log wordt automatisch bewaard door 'MBAM
    en dat kan je terugvinden door in het hoofdmenu van MBAM op de tab 'Logbestanden' te klikken'.[/list:u:8f36392fc1]
    [b:8f36392fc1]Post aansluitend de inhoud van het MBAM-log.[/b:8f36392fc1]
  • Goed om te lezen dat de rotzooi er af is, nog wel geeft ie bij het starten van IE de melding dat de vorige sessie niet correct is afgesloten en of ik die wil herstellen. De vorige sessie is uitstekend afgesloten, dus geen idee waar die meldign vandaan komt.

    Hier de gevraagde log van MBMAM, de laatste HJT-log doe ik er ook nog even bij voor alle zekerheid.

    Malwarebytes' Anti-Malware 1.50.1.1100
    www.malwarebytes.org

    Databaseversie: 5518

    Windows 6.1.7600
    Internet Explorer 8.0.7600.16385

    14-1-2011 10:41:43
    mbam-log-2011-01-14 (10-41-43).txt

    Scantype: Snelle scan
    Objecten gescand: 142295
    Verstreken tijd: 3 minuut/minuten, 3 seconde(n)

    Geheugenprocessen geïnfecteerd: 0
    Geheugenmodulen geïnfecteerd: 0
    Registersleutels geïnfecteerd: 0
    Registerwaarden geïnfecteerd: 0
    Registerdata geïnfecteerd: 0
    Mappen geïnfecteerd: 0
    Bestanden geïnfecteerd: 0

    Geheugenprocessen geïnfecteerd:
    (Geen kwaadaardige objecten gedetecteerd)

    Geheugenmodulen geïnfecteerd:
    (Geen kwaadaardige objecten gedetecteerd)

    Registersleutels geïnfecteerd:
    (Geen kwaadaardige objecten gedetecteerd)

    Registerwaarden geïnfecteerd:
    (Geen kwaadaardige objecten gedetecteerd)

    Registerdata geïnfecteerd:
    (Geen kwaadaardige objecten gedetecteerd)

    Mappen geïnfecteerd:
    (Geen kwaadaardige objecten gedetecteerd)

    Bestanden geïnfecteerd:
    (Geen kwaadaardige objecten gedetecteerd)


    En HJT:

    Logfile of Trend Micro HijackThis v2.0.4
    Scan saved at 10:44:12, on 14-1-2011
    Platform: Windows 7 (WinNT 6.00.3504)
    MSIE: Internet Explorer v8.00 (8.00.7600.16385)
    Boot mode: Normal

    Running processes:
    C:\Windows\system32\Dwm.exe
    C:\Windows\Explorer.EXE
    C:\Windows\System32\igfxtray.exe
    C:\Windows\System32\hkcmd.exe
    C:\Windows\System32\igfxpers.exe
    C:\Program Files\Alwil Software\Avast5\AvastUI.exe
    C:\Windows\system32\igfxsrvc.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    C:\Windows\system32\taskhost.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Windows\system32\Macromed\Flash\FlashUtil10l_ActiveX.exe
    C:\Windows\system32\wuauclt.exe
    C:\Windows\system32\NOTEPAD.EXE
    C:\Program Files\Hijackthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
    O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
    O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
    O4 - HKLM\..\Run: [avast5] "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200
    O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: Verzenden naar OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: Verz&enden naar OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
    O23 - Service: Mobiel Apple apparaat (Apple Mobile Device) - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
    O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
    O23 - Service: Bonjour-service (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe


    End of file - 3641 bytes

    Graag nog een laatste kritische blik.
  • Hoi goudpan, ik heb in mijn Vista die locaties bekeken en de mappen mogen in principe alleen maar sytem.ini-files zitten.

    De rest mag je van mij handmatig verwijderen, want het hoort er helemaal niet te zitten!

    En daarna de prullenbak ook weer legen.


    Doe daarna een herstart met de PC en laat weten hoe IE dan werkt.
  • Hoi Abraham,

    Geweldig dat je zo met me meedenkt.
    Het probleem is nu nog als volgt: alleen de eerste keer na het opstarten geeft IE de melding dat de vorige sessie niet goed is afgesloten, daarna start IE normaal op.
    Ook lukt het een programma als ATF-cleaner niet de 'history' van IE te wissen, het programma draait door maar er gebeurt niets.

    Ik kan Firefox installeren, dan is mijn kennis ook van z'n problemen af, maar dat gebruik ik maar als uiterste redmiddel…

    Jij nog een suggestie?
  • Ãls het goed is, staat TFC nog o het bureaublad!

    Met administartorrechten dan nogmaals laten draaien!
  • Hoi goudpan, doe nu eerst het volgende:

    sluit alle openstaande webvensters - behalve dit venster, dat je sluit voor het moment, dat je op de knop [b:24049b4c79]Fix checked[/b:24049b4c79] klikt!


    Start nu HijackThis middels rechtsklik met Administratorrechten en klik op de knop [b:24049b4c79]Do a Scan only,

    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)[/b:24049b4c79]
    [list:24049b4c79][*:24049b4c79] zet een vinkje voor die regel(s) welke met de bovenstaande regels corresponderen
    [*:24049b4c79] Sluit nu de webbrowser en vervolgens klik je daarna op de knop [b:24049b4c79]Fix checked[/b:24049b4c79]
    [*:24049b4c79] Klik hierna HijackThis op uit.[/list:u:24049b4c79]
    Internet Explorer:

    probeer het volgende: klik in IE op de knop [u:24049b4c79]Extra[/u:24049b4c79] en kies [u:24049b4c79]Internetopties[/u:24049b4c79].


    Klik dan op de tab [u:24049b4c79]Geavanceerd[/u:24049b4c79] en daar klik je op de knop [u:24049b4c79]Opnieuw instellen[/u:24049b4c79].
    Er volgt eerst en waarschuwing en een overzicht van de gevolgen door de actie!
    Daarbij wordt een uitgebreide schoonmaakactie uitgevoerd.
    Ook worden ook invoegtoepassingen (zoals bijv. extra zoekbalken van derden) uitgeschakeld.
    De favorieten blijven behouden.
    Bevestig dan ook de waarschuwing door nogmaals op de knop [u:24049b4c79]Opnieuw instellen[/u:24049b4c79]te klikken.
    Na deze actie is Internet Explorer bijna weer als nieuw.


    Doe ook dit: een test, om te kijken hoe goed je huidige veiligheidssituatie is.

    Download naar je bureaublad [b:24049b4c79][/b:24049b4c79].
    [list:24049b4c79][*:24049b4c79] Klik/dubbelklik op [b:24049b4c79]SecurityCheck.exe[/b:24049b4c79] en let op de instrukties in het zwarte vesnter.
    [*:24049b4c79] Een Kladblok document genaamd [b:24049b4c79]checkup.txt[/b:24049b4c79] dient automatisch open te gaan; sluit dit document via opslaan op het bureaublad.
    [*:24049b4c79] Indien een van je veiligheidstools rapporteert, dat DIG.EXE het internet op wil, sta dit dan toe.[/list:u:24049b4c79]
    Post de inhoud van [b:24049b4c79]checkup.txt [/b:24049b4c79]in je volgende post.
  • Internet Explorer weer op standaard gezet en vervolgens gevraagde logje gemaakt, hier komt ie:

    Results of screen317's Security Check version 0.99.8
    Windows 7 (UAC is enabled)
    Internet Explorer 8
    [b:2a413da8aa]``````````````````````````````
    [u:2a413da8aa]Antivirus/Firewall Check:[/u:2a413da8aa][/b:2a413da8aa]
    avast! Free Antivirus
    [size=1:2a413da8aa]WMI entry may not exist for antivirus; attempting automatic update.[/size:2a413da8aa]
    [b:2a413da8aa]```````````````````````````````
    [u:2a413da8aa]Anti-malware/Other Utilities Check:[/u:2a413da8aa][/b:2a413da8aa]
    Malwarebytes' Anti-Malware
    Adobe Flash Player
    Adobe Reader 9.4.1 - Nederlands
  • Hoi goudpan, het volgende: Adobe heeft al een poosje geleden Adobe Reader X uitgebracht.

    Nu is onlangs ook de Nederlandse versie daarvan uitgebracht.

    Wat is nu de betekenis van deze Reader?
    Welnu - behalve een paar nieuwe\vernieuwde onderdelen is de grootste verbetering het feit, dat de Reader nu in een virtuele sandbox opstart.

    Dus de Reader heeft een grote veiligheidsverbetering ondergaan.

    Deaïnstalleer dus de oude versie en ga voor de nieuwe Adobe Reader X
  • Hoi Abraham, erg bedankt voor je deskundige hulp. De computer loopt in ieder geval weer een stuk beter.
    Het enige probleem waar ik geen vinger achter kan krijgen, is dat IE bij de eerste start van de dag aangeeft dat de vorige sessie niet goed is afgesloten.
  • Hoi goudpan, dank jou voor het compliment.

    Maar, dus wat ik schreef over IE als nieuw te maken, heeft dus niet het gewenste resultaat opgeleverd?


    Probeer dan dit:

    ga naar [b:4002c996f9]Start[/b:4002c996f9] en typ [in de zoekregel B]cmdB]; bovenaan het startmenu zie je nu de betreffende snelkoppeling.
    Klik deze snelkoppeling met rechts aan en kies voor [b:4002c996f9]Als administrator uitvoeren[/b:4002c996f9].

    In het zwarte venster typ je nu [b:4002c996f9]sfc /scannow[/b:4002c996f9] gevolgd door indrukken van de Entertoets.

    Denk wel aan de spatie na 'sfc'.
    In het zwarte venster zie nu de voortgang van de scan.

    Is de scan klaar, typ je [b:4002c996f9]Exit[/b:4002c996f9] gevolgd door indrukken van de Entertoets.


    SFC (SystemFileChecker) houdt in dat systeembestanden gecontroleerd worden op juist funktioneren, zonodig volgt reparatie.


    Let goed op de laatste meldingen in het venster: indien aangegeven wordt, dat herstel afhankelijk is van opnieuw opstarten, doe dit dan.
  • Nee, idd, het weer nieuw maken van IE heeft niet het gewenste resultaat gehad.
    Helaas werkt sfc ook niet, hij geeft dan de volgende foutmelding:
    De aangevraagde bewerking kan niet worden uitgevoerd.
  • Hoi Goudpan - doe dan nu het volgende:

    [b:5409578619]Welk programma[/b:5409578619]: RSIT
    [b:5409578619]Waarvoor/waarom[/b:5409578619]: geeft een zeer uitgebreid overzicht van Windows
    [b:5409578619]Moeilijkheidsgraad[/b:5409578619]: geen
    [b:5409578619]Downloadlokatie[/b:5409578619]: Dit programma absoluut naar het bureaublad downloaden!
    [b:5409578619]Download RSIT[/b:5409578619] [b:5409578619]hier[/b:5409578619]
    [b:5409578619]Het gebruik van RSIT,[/b:5409578619]
    [list:5409578619][*:5409578619]Windows 2000 en Windows XP: start RSIT middels dubbelklik op de snelkoppeling.
    [*:5409578619]Windows Vista en Windows 7: start RSIT middels rechtsklik op de snelkoppeling en kies dan voor "Uitvoeren als administrator".[/list:u:5409578619]
    [b:5409578619]Nadat de scan beëindigd is, zullen twee logs openen.[/b:5409578619]
    [list:5409578619][*:5409578619] Post vervolgens de inhoud van 'log.txt' ('log.txt' zal gemaximaliseerd zijn)
    [*:5409578619] Post ook 'info.txt' ('info.txt' zal eerst geminimaliseerd zijn in de Taakbalk)
    [*:5409578619] Indien je [b:5409578619]info.txt[/b:5409578619] niet vindt, kijk dan in C:\ er naar.[/list:u:5409578619]
  • Hier de twee door jou gevraagde logs:

    Logfile of random's system information tool 1.08 (written by random/random)
    Run by gebruiker at 2011-01-17 09:27:51
    Microsoft Windows 7 Home Premium
    System drive C: has 462 GB (92%) free of 500 GB
    Total RAM: 3574 MB (73% free)

    Logfile of Trend Micro HijackThis v2.0.4
    Scan saved at 9:27:59, on 17-1-2011
    Platform: Windows 7 (WinNT 6.00.3504)
    MSIE: Internet Explorer v8.00 (8.00.7600.16385)
    Boot mode: Normal

    Running processes:
    C:\Windows\system32\Dwm.exe
    C:\Windows\Explorer.EXE
    C:\Windows\System32\igfxtray.exe
    C:\Windows\System32\hkcmd.exe
    C:\Windows\System32\igfxpers.exe
    C:\Program Files\Alwil Software\Avast5\AvastUI.exe
    C:\Windows\system32\igfxsrvc.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    C:\Windows\system32\taskhost.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Users\gebruiker\Desktop\RSIT.exe
    C:\Program Files\trend micro\gebruiker.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Preserve
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
    O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
    O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
    O4 - HKLM\..\Run: [avast5] "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 10.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    O9 - Extra button: Verzenden naar OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: Verz&enden naar OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
    O23 - Service: Mobiel Apple apparaat (Apple Mobile Device) - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
    O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
    O23 - Service: Bonjour-service (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe


    End of file - 3522 bytes

    ======Scheduled tasks folder======

    C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-2714516515-3284364112-1062224456-1000Core.job
    C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-2714516515-3284364112-1062224456-1000UA.job

    ======Registry dump======

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
    Adobe PDF Link Helper - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2010-11-15 62376]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3049C3E9-B461-4BC5-8870-4C09146192CA}]
    RealPlayer Download and Record Plugin for Internet Explorer - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll [2010-11-21 382720]

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    "IgfxTray"=C:\Windows\system32\igfxtray.exe [2009-09-23 141848]
    "HotKeysCmds"=C:\Windows\system32\hkcmd.exe [2009-09-23 173592]
    "Persistence"=C:\Windows\system32\igfxpers.exe [2009-09-23 150552]
    "avast5"=C:\Program Files\Alwil Software\Avast5\avastUI.exe [2010-12-31 3395600]
    "Adobe Reader Speed Launcher"=C:\Program Files\Adobe\Reader 10.0\Reader\Reader_sl.exe [2010-11-15 35736]
    "Adobe ARM"=C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2010-11-15 932288]

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
    C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2010-11-15 932288]

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
    C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe []

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
    C:\Program Files\DivX\DivX Update\DivXUpdate.exe [2010-09-01 1164584]

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
    C:\Users\gebruiker\AppData\Local\Google\Update\GoogleUpdate.exe [2010-11-07 136176]

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Malwarebytes' Anti-Malware (reboot)]
    C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe [2010-12-20 963976]

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
    C:\Program Files\QuickTime\QTTask.exe [2010-11-29 421888]

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
    c:\program files\real\realplayer\Update\realsched.exe [2010-11-21 274608]

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Users^gebruiker^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OneNote 2007 Schermopname en Snel starten.lnk]
    C:\PROGRA~1\MICROS~2\Office12\ONENOTEM.EXE [2009-02-26 97680]

    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
    HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]
    C:\Windows\system32\igfxdev.dll [2009-09-23 218112]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
    WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\Windows\system32\webcheck.dll [2009-07-14 229376]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"= []

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
    "SecurityProviders"=credssp.dll

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\AFD]

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
    "ConsentPromptBehaviorAdmin"=5
    "ConsentPromptBehaviorUser"=3
    "EnableUIADesktopToggle"=0
    "dontdisplaylastusername"=0
    "legalnoticecaption"=
    "legalnoticetext"=
    "shutdownwithoutlogon"=1
    "undockwithoutlogon"=1

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
    "NoDrives"=0

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
    "NoDrives"=0

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

    ======File associations======

    .js - edit - C:\Windows\System32\Notepad.exe %1

    ======List of files/folders created in the last 1 months======

    2011-01-17 09:27:51 —-D—- C:\rsit
    2011-01-17 09:27:51 —-D—- C:\Program Files\trend micro
    2011-01-15 10:46:08 —-D—- C:\Program Files\Common Files\Adobe
    2011-01-13 18:44:25 —-A—- C:\ComboFix.txt
    2011-01-13 18:43:39 —-SHD—- C:\$RECYCLE.BIN
    2011-01-13 18:37:06 —-D—- C:\Windows\ERDNT
    2011-01-13 10:05:35 —-A—- C:\Windows\system32\drivers\mbamswissarmy.sys
    2011-01-13 10:05:31 —-A—- C:\Windows\system32\drivers\mbam.sys
    2011-01-12 16:10:54 —-D—- C:\Program Files\Hijackthis
    2011-01-12 13:14:33 —-A—- C:\Windows\system32\drivers\aswSP.sys
    2011-01-12 13:14:33 —-A—- C:\Windows\system32\drivers\aswFsBlk.sys
    2011-01-12 13:14:31 —-A—- C:\Windows\system32\drivers\aswRdr.sys
    2011-01-12 13:14:27 —-A—- C:\Windows\system32\drivers\aswTdi.sys
    2011-01-12 13:14:21 —-A—- C:\Windows\system32\drivers\aswMonFlt.sys
    2011-01-12 13:13:46 —-A—- C:\Windows\system32\aswBoot.exe
    2011-01-12 13:13:45 —-D—- C:\ProgramData\Alwil Software
    2011-01-12 13:13:45 —-D—- C:\Program Files\Alwil Software
    2011-01-12 12:39:09 —-D—- C:\Users\gebruiker\AppData\Roaming\Auslogics
    2011-01-12 12:39:05 —-D—- C:\Program Files\Auslogics
    2011-01-12 12:37:13 —-D—- C:\Program Files\NT Registry Optimizer
    2010-12-23 11:47:48 —-D—- C:\Windows\pss
    2010-12-23 09:41:39 —-D—- C:\Users\gebruiker\AppData\Roaming\Malwarebytes
    2010-12-23 09:41:28 —-D—- C:\ProgramData\Malwarebytes
    2010-12-23 09:41:26 —-D—- C:\Program Files\Malwarebytes' Anti-Malware

    ======List of files/folders modified in the last 1 months======

    2011-01-17 09:27:59 —-D—- C:\Windows\Temp
    2011-01-17 09:27:51 —-RD—- C:\Program Files
    2011-01-16 10:44:34 —-D—- C:\ProgramData
    2011-01-16 10:44:32 —-D—- C:\Windows\Downloaded Program Files
    2011-01-15 15:27:11 —-D—- C:\Windows\system32\config
    2011-01-15 11:07:11 —-SHD—- C:\System Volume Information
    2011-01-15 10:48:33 —-D—- C:\Windows
    2011-01-15 10:46:24 —-SHD—- C:\Windows\Installer
    2011-01-15 10:46:24 —-D—- C:\Config.Msi
    2011-01-15 10:46:09 —-D—- C:\ProgramData\Adobe
    2011-01-15 10:46:08 —-D—- C:\Program Files\Common Files
    2011-01-15 10:46:08 —-D—- C:\Program Files\Adobe
    2011-01-15 10:46:01 —-D—- C:\Windows\System32
    2011-01-13 18:43:04 —-A—- C:\Windows\system.ini
    2011-01-13 18:40:25 —-D—- C:\Windows\system32\drivers
    2011-01-13 18:40:25 —-D—- C:\Windows\AppPatch
    2011-01-13 10:09:55 —-D—- C:\Windows\Tasks
    2011-01-13 09:57:11 —-D—- C:\Windows\system32\wfp
    2011-01-13 09:57:11 —-D—- C:\Windows\system32\DriverStore
    2011-01-13 09:57:11 —-D—- C:\Windows\system32\drivers\etc
    2011-01-13 09:57:11 —-D—- C:\Windows\system32\catroot2
    2011-01-13 09:57:10 —-D—- C:\Windows\system32\wbem
    2011-01-13 09:57:10 —-D—- C:\Windows\system32\Tasks
    2011-01-13 09:57:10 —-D—- C:\Windows\system32\NDF
    2011-01-13 09:57:10 —-D—- C:\Windows\system32\CodeIntegrity
    2011-01-13 09:57:08 —-D—- C:\Windows\registration
    2011-01-12 15:47:04 —-D—- C:\Windows\tracing
    2011-01-12 12:06:31 —-SD—- C:\Users\gebruiker\AppData\Roaming\Microsoft
    2011-01-12 09:36:52 —-A—- C:\Windows\system32\MRT.exe
    2011-01-11 20:45:22 —-D—- C:\Users\gebruiker\AppData\Roaming\vlc
    2011-01-08 21:48:35 —-D—- C:\Windows\Prefetch
    2011-01-03 10:54:06 —-D—- C:\Program Files\Xvid
    2010-12-28 16:47:10 —-D—- C:\Program Files\Microsoft Silverlight
    2010-12-23 09:48:05 —-D—- C:\Windows\Branding

    ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

    R0 rdyboost;ReadyBoost; C:\Windows\System32\drivers\rdyboost.sys [2009-07-14 173648]
    R1 aswRdr;aswRdr; C:\Windows\system32\drivers\aswRdr.sys [2010-12-31 23632]
    R1 aswSP;aswSP; C:\Windows\system32\drivers\aswSP.sys [2010-12-31 293968]
    R1 aswTdi;avast! Network Shield Support; C:\Windows\system32\drivers\aswTdi.sys [2010-12-31 47440]
    R2 aswFsBlk;aswFsBlk; C:\Windows\system32\drivers\aswFsBlk.sys [2010-12-31 17744]
    R2 aswMonFlt;aswMonFlt; \??\C:\Windows\system32\drivers\aswMonFlt.sys [2010-12-31 51280]
    R3 igfx;igfx; C:\Windows\system32\DRIVERS\igdkmd32.sys [2009-09-23 4808192]
    R3 MTsensor;ATK0110 ACPI UTILITY; C:\Windows\system32\DRIVERS\ASACPI.sys [2004-08-13 5810]
    R3 RTL8167;Realtek 8167 NT Driver; C:\Windows\system32\DRIVERS\Rt86win7.sys [2009-03-01 139776]
    R3 RTL8187B;Realtek RTL8187B 802.11b/g 54 Mbps draadloze USB 2.0-netwerkadapter; C:\Windows\system32\DRIVERS\RTL8187B.sys [2009-07-13 347136]
    S2 Parvdm;Parvdm; C:\Windows\system32\DRIVERS\parvdm.sys [2009-07-14 8704]
    S3 aic78xx;aic78xx; C:\Windows\system32\DRIVERS\djsvs.sys [2009-07-14 70720]
    S3 amdagp;AMD AGP Bus Filter Driver; C:\Windows\system32\DRIVERS\amdagp.sys [2009-07-14 53312]
    S3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0; C:\Windows\system32\DRIVERS\b57nd60x.sys [2009-07-13 229888]
    S3 catchme;catchme; \??\C:\Users\GEBRUI~1\AppData\Local\Temp\catchme.sys []
    S3 Dot4;MS IEEE-1284.4 Driver; C:\Windows\system32\DRIVERS\Dot4.sys [2009-07-14 131072]
    S3 Dot4Print;Print Class Driver for IEEE-1284.4; C:\Windows\system32\DRIVERS\Dot4Prt.sys [2009-07-14 16384]
    S3 dot4usb;MS Dot4USB Filter Dot4USB Filter; C:\Windows\system32\DRIVERS\dot4usb.sys [2009-07-14 36864]
    S3 pciide;pciide; C:\Windows\system32\DRIVERS\pciide.sys [2009-07-14 12368]
    S3 sisagp;SIS AGP Bus Filter; C:\Windows\system32\DRIVERS\sisagp.sys [2009-07-14 52304]
    S3 USBAAPL;Apple Mobile USB Driver; C:\Windows\System32\Drivers\usbaapl.sys [2009-10-16 41472]
    S3 viaagp;VIA AGP Bus Filter; C:\Windows\system32\DRIVERS\viaagp.sys [2009-07-14 53328]
    S3 ViaC7;VIA C7 Processor Driver; C:\Windows\system32\DRIVERS\viac7.sys [2009-07-14 52736]
    S3 WinUsb;WinUsb; C:\Windows\system32\DRIVERS\WinUsb.sys [2009-07-14 34944]

    ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

    R2 Apple Mobile Device;Mobiel Apple apparaat; C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe [2010-03-19 144672]
    R2 avast! Antivirus;avast! Antivirus; C:\Program Files\Alwil Software\Avast5\AvastSvc.exe [2010-12-31 40384]
    R2 Bonjour Service;Bonjour-service; C:\Program Files\Bonjour\mDNSResponder.exe [2010-02-12 345376]
    R2 hpqddsvc;HP CUE DeviceDiscovery-service; C:\Windows\system32\svchost.exe [2009-07-14 20992]
    R2 HPSLPSVC;HP Network Devices Support; C:\Windows\system32\svchost.exe [2009-07-14 20992]
    R2 Net Driver HPZ12;Net Driver HPZ12; C:\Windows\System32\svchost.exe [2009-07-14 20992]
    R2 Pml Driver HPZ12;Pml Driver HPZ12; C:\Windows\System32\svchost.exe [2009-07-14 20992]
    R3 hpqcxs08;hpqcxs08; C:\Windows\system32\svchost.exe [2009-07-14 20992]
    S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86; C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
    S3 gusvc;Google Updater Service; C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe [2010-06-11 136120]
    S3 odserv;Microsoft Office Diagnostics Service; C:\Program Files\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE [2008-11-04 441712]
    S3 ose;Office Source Engine; C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184]
    S3 WatAdminSvc;@%SystemRoot%\system32\Wat\WatUX.exe,-601; C:\Windows\system32\Wat\WatAdminSvc.exe [2010-06-02 1343400]

    —————–EOF—————–



    info.txt logfile of random's system information tool 1.08 2011-01-17 09:28:01

    ======Uninstall list======

    –>C:\ProgramData\DivX\DivX7\DivX Converter\DivXConverterUninstall.exe /CONVERTER
    32 Bit HP CIO Components Installer–>MsiExec.exe /I{92127AF5-FDD8-4ADF-BC40-C356C9EE0B7D}
    Aangifte inkomstenbelasting 2009–>C:\Program Files\Belastingdienst\Aangifte inkomstenbelasting\2009\ib2009u.exe
    Adobe Flash Player 10 ActiveX–>C:\Windows\system32\Macromed\Flash\FlashUtil10l_ActiveX.exe -maintain activex
    Adobe Reader X - Nederlands–>MsiExec.exe /I{AC76BA86-7AD7-1043-7B44-AA0000000001}
    Apple Application Support–>MsiExec.exe /I{EE6097DD-05F4-4178-9719-D3170BF098E8}
    Apple Mobile Device Support–>MsiExec.exe /I{B5C3B892-0849-476C-9F46-B12F84819D57}
    Apple Software Update–>MsiExec.exe /I{C41300B9-185D-475E-BFEC-39EF732F19B1}
    avast! Free Antivirus–>C:\Program Files\Alwil Software\Avast5\aswRunDll.exe "C:\Program Files\Alwil Software\Avast5\Setup\setiface.dll" RunSetup
    BitLord 1.1–>C:\Program Files\BitLord\uninst.exe
    Bonjour–>MsiExec.exe /X{76BC2442-0002-47FA-9617-43BAD82BEF4C}
    DivX Converter–>C:\ProgramData\DivX\DivX7\DivX Converter\DivXConverterUninstall.exe /CONVERTER
    DivX Plus DirectShow Filters–>C:\ProgramData\DivX\DivX7\DivX Plus DirectShow Filters\DivXDSFiltersUninstall.exe /DSFILTERS
    DivX Setup–>C:\ProgramData\DivX\Setup\DivXSetup.exe /uninstall /bundleGroupId divx.com
    HP Customer Participation Program 13.0–>C:\Program Files\HP\Digital Imaging\ExtCapUninstall\hpzscr01.exe -datfile hpqhsc01.dat -forcereboot
    HP Imaging Device Functions 13.0–>C:\Program Files\HP\Digital Imaging\DeviceManagement\hpzscr01.exe -datfile hpqbud01.dat
    HP Officejet Pro 8000 A809 Series–>C:\Program Files\HP\Digital Imaging\{7B69FE75-3AF9-4714-89EE-D3F64CB08F90}\setup\hpzscr01.exe -datfile hpwscr21.dat -onestop -forcereboot
    Huur- en zorgtoeslag 2010–>C:\Users\gebruiker\Documents\2010\hz2010u.exe
    Intel(R) Graphics Media Accelerator Driver–>C:\Windows\system32\igxpun.exe -uninstall
    Intel(R) TV Wizard–>C:\Windows\system32\TVWizudlg.exe -uninstall
    Junk Mail filter update–>MsiExec.exe /I{E2DFE069-083E-4631-9B6C-43C48E991DE5}
    Malwarebytes' Anti-Malware–>"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
    Maple 13–>"C:\Program Files\Maple 13\Uninstall_Maple 13\Uninstall Maple 13.exe"
    Microsoft .NET Framework 4 Client Profile NLD Language Pack–>MsiExec.exe /X{2617FA1F-0C04-3ABB-AF64-7D5B6620C341}
    Microsoft .NET Framework 4 Client Profile–>C:\Windows\Microsoft.NET\Framework\v4.0.30319\SetupCache\Client\Setup.exe /repair /x86 /parameterfolder Client
    Microsoft .NET Framework 4 Client Profile–>MsiExec.exe /X{3C3901C5-3455-3E0A-A214-0B093A5070A6}
    Microsoft Choice Guard–>MsiExec.exe /X{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}
    Microsoft Office 2007 Service Pack 2 (SP2)–>msiexec /package {90120000-0016-0413-0000-0000000FF1CE} /uninstall {DC387AA5-94A6-4920-B004-D59846526D81}
    Microsoft Office 2007 Service Pack 2 (SP2)–>msiexec /package {90120000-0018-0413-0000-0000000FF1CE} /uninstall {DC387AA5-94A6-4920-B004-D59846526D81}
    Microsoft Office 2007 Service Pack 2 (SP2)–>msiexec /package {90120000-001B-0413-0000-0000000FF1CE} /uninstall {DC387AA5-94A6-4920-B004-D59846526D81}
    Microsoft Office 2007 Service Pack 2 (SP2)–>msiexec /package {90120000-006E-0413-0000-0000000FF1CE} /uninstall {89C8E56A-90D8-4598-B0E6-EB28F6270E07}
    Microsoft Office 2007 Service Pack 2 (SP2)–>msiexec /package {90120000-00A1-0413-0000-0000000FF1CE} /uninstall {DC387AA5-94A6-4920-B004-D59846526D81}
    Microsoft Office 2007 Service Pack 2 (SP2)–>msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {0B36C6D6-F5D8-4EAF-BF94-4376A230AD5B}
    Microsoft Office Excel MUI (Dutch) 2007–>MsiExec.exe /X{90120000-0016-0413-0000-0000000FF1CE}
    Microsoft Office Home and Student 2007–>"C:\Program Files\Common Files\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall HOMESTUDENTR /dll OSETUP.DLL
    Microsoft Office Home and Student 2007–>MsiExec.exe /X{91120000-002F-0000-0000-0000000FF1CE}
    Microsoft Office OneNote MUI (Dutch) 2007–>MsiExec.exe /X{90120000-00A1-0413-0000-0000000FF1CE}
    Microsoft Office PowerPoint MUI (Dutch) 2007–>MsiExec.exe /X{90120000-0018-0413-0000-0000000FF1CE}
    Microsoft Office Proof (Dutch) 2007–>MsiExec.exe /X{90120000-001F-0413-0000-0000000FF1CE}
    Microsoft Office Proof (English) 2007–>MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
    Microsoft Office Proof (French) 2007–>MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
    Microsoft Office Proof (German) 2007–>MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
    Microsoft Office Proofing (Dutch) 2007–>MsiExec.exe /X{90120000-002C-0413-0000-0000000FF1CE}
    Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)–>msiexec /package {90120000-001F-0407-0000-0000000FF1CE} /uninstall {A0516415-ED61-419A-981D-93596DA74165}
    Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)–>msiexec /package {90120000-001F-0409-0000-0000000FF1CE} /uninstall {ABDDE972-355B-4AF1-89A8-DA50B7B5C045}
    Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)–>msiexec /package {90120000-001F-040C-0000-0000000FF1CE} /uninstall {F580DDD5-8D37-4998-968E-EBB76BB86787}
    Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)–>msiexec /package {90120000-001F-0413-0000-0000000FF1CE} /uninstall {D66D5A44-E480-4BA4-B4F2-C554F6B30EBB}
    Microsoft Office Shared MUI (Dutch) 2007–>MsiExec.exe /X{90120000-006E-0413-0000-0000000FF1CE}
    Microsoft Office Word MUI (Dutch) 2007–>MsiExec.exe /X{90120000-001B-0413-0000-0000000FF1CE}
    Microsoft Silverlight–>MsiExec.exe /X{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}
    Microsoft Visual C++ 2005 Redistributable–>MsiExec.exe /X{837b34e3-7c30-493c-8f6a-2b0f04e2912c}
    MSVCRT–>MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
    myPrintMileage (Officejet Pro 8000 A809)–>MsiExec.exe /X{B10A30CF-CCFF-4056-9ABC-F8D42BDF141F}
    NTREGOPT 1.1j–>"C:\Program Files\NT Registry Optimizer\unins000.exe"
    OGA Notifier 2.0.0048.0–>MsiExec.exe /I{B2544A03-10D0-4E5E-BA69-0362FFC20D18}
    Picasa 3–>"C:\Program Files\Google\Picasa3\Uninstall.exe"
    QuickTime–>MsiExec.exe /I{57752979-A1C9-4C02-856B-FBB27AC4E02C}
    RealPlayer–>c:\program files\real\realplayer\Update\r1puninst.exe RealNetworks|RealPlayer|12.0
    RealUpgrade 1.1–>MsiExec.exe /I{28C2DED6-325B-4CC7-983A-1777C8F7FBAB}
    Security Update for 2007 Microsoft Office System (KB2288621)–>msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {5C497F0B-2061-4CC9-A61C-6B45B867354D}
    Security Update for 2007 Microsoft Office System (KB2288931)–>msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {CD769337-C8AC-46DB-A7DC-643E50089263}
    Security Update for 2007 Microsoft Office System (KB2289158)–>msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {210B16C0-CEBD-4DE9-B474-04A7E8735E16}
    Security Update for 2007 Microsoft Office System (KB2344875)–>msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {6FC5C4C1-D7AE-44C3-94B7-6424FC3E752F}
    Security Update for 2007 Microsoft Office System (KB2345043)–>msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {536FB502-775F-4494-BACE-C02CC90B7A5B}
    Security Update for 2007 Microsoft Office System (KB969559)–>msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {69F52148-9BF6-4CDC-BF76-103DEAF3DD08}
    Security Update for 2007 Microsoft Office System (KB976321)–>msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {7F207DCA-3399-40CB-A968-6E5991B1421A}
    Security Update for Microsoft Office Excel 2007 (KB2345035)–>msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {B23002DD-34EC-4988-B810-A5E2A0BF04F1}
    Security Update for Microsoft Office InfoPath 2007 (KB979441)–>msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {8CCB781A-CF6B-4FCB-B6D8-59C64DF5C6DB}
    Security Update for Microsoft Office PowerPoint 2007 (KB982158)–>msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {F5B70033-E79C-4569-90BF-BC9B4E4F3F46}
    Security Update for Microsoft Office PowerPoint Viewer (KB2413381)–>msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {3DED0A62-44C8-4E00-A785-5212F297A9D9}
    Security Update for Microsoft Office system 2007 (972581)–>msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {3D019598-7B59-447A-80AE-815B703B84FF}
    Security Update for Microsoft Office system 2007 (KB974234)–>msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {FCD742B9-7A55-44BC-A776-F795F21FEDDC}
    Security Update for Microsoft Office Visio Viewer 2007 (KB973709)–>msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {71127777-8B2C-4F97-AF7A-6CF8CAC8224D}
    Security Update for Microsoft Office Word 2007 (KB2344993)–>msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {7A5B74FA-7A92-4FC9-821A-2DD5D4E73E48}
    SimBoePro–>C:\Program Files\SimBoePro\Uninstal.exe
    Spelling Dictionaries Support For Adobe Reader 9–>MsiExec.exe /I{AC76BA86-7AD7-5464-3428-900000000004}
    Taalpakket voor Microsoft .NET Framework 4 Client Profile - NLD–>C:\Windows\Microsoft.NET\Framework\v4.0.30319\SetupCache\ClientLP\Setup.exe /repair /x86 /lcid 1043 /parameterfolder ClientLP
    Update for 2007 Microsoft Office System (KB967642)–>msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {C444285D-5E4F-48A4-91DD-47AAAA68E92D}
    Update for Microsoft Office OneNote 2007 (KB980729)–>msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {329050A9-EF80-40F9-B633-74508F54C1FF}
    Update voor Microsoft Office Excel 2007 Help (KB963678)–>msiexec /package {90120000-0016-0413-0000-0000000FF1CE} /uninstall {5CF7002F-6F49-4482-9564-5614FBE560FA}
    Update voor Microsoft Office Powerpoint 2007 Help (KB963669)–>msiexec /package {90120000-0018-0413-0000-0000000FF1CE} /uninstall {15D84E79-1ED7-42C5-B2FD-745C3FBDDDC5}
    Update voor Microsoft Office Word 2007 Help (KB963665)–>msiexec /package {90120000-001B-0413-0000-0000000FF1CE} /uninstall {A66AE6A1-8D8C-4102-BC18-38CBDE40F809}
    VC80CRTRedist - 8.0.50727.4053–>MsiExec.exe /I{5EE7D259-D137-4438-9A5F-42F432EC0421}
    VLC media player 1.1.4–>C:\Program Files\VideoLAN\VLC\uninstall.exe
    Windows Live - Hulpprogramma voor uploaden–>MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
    Windows Live Call–>MsiExec.exe /I{2A8F82E8-7B86-4AFD-BFBC-2BA4C2CF52DB}
    Windows Live Communications Platform–>MsiExec.exe /I{ED00D08A-3C5F-488D-93A0-A04F21F23956}
    Windows Live Essentials–>C:\Program Files\Windows Live\Installer\wlarp.exe
    Windows Live Essentials–>MsiExec.exe /I{562B9CA4-6E52-4F87-ACEC-912FC004F1F0}
    Windows Live Mail–>MsiExec.exe /I{2869F5EA-93C3-48E5-80DF-DB696BC84A91}
    Windows Live Messenger–>MsiExec.exe /X{10F5387D-1728-423A-A578-B00982CF2646}
    Xvid 1.2.1 final uninstall–>"C:\Program Files\Xvid\unins000.exe"

    ======System event log======

    Computer Name: gebruiker-PC
    Event Code: 7036
    Message: De Microsoft .NET Framework NGEN v4.0.30319_X86-service heeft nu de status wordt uitgevoerd.
    Record Number: 115970
    Source Name: Service Control Manager
    Time Written: 20101017183407.162267-000
    Event Type: Informatie
    User:

    Computer Name: gebruiker-PC
    Event Code: 7036
    Message: De SSDP Discovery-service heeft nu de status wordt uitgevoerd.
    Record Number: 115969
    Source Name: Service Control Manager
    Time Written: 20101017183209.830859-000
    Event Type: Informatie
    User:

    Computer Name: gebruiker-PC
    Event Code: 7036
    Message: De Windows Media Player Network Sharing Service-service heeft nu de status wordt uitgevoerd.
    Record Number: 115968
    Source Name: Service Control Manager
    Time Written: 20101017183208.930858-000
    Event Type: Informatie
    User:

    Computer Name: gebruiker-PC
    Event Code: 7036
    Message: De Network Connections-service heeft nu de status wordt uitgevoerd.
    Record Number: 115967
    Source Name: Service Control Manager
    Time Written: 20101017183208.800858-000
    Event Type: Informatie
    User:

    Computer Name: gebruiker-PC
    Event Code: 7036
    Message: De HP Network Devices Support-service heeft nu de status wordt uitgevoerd.
    Record Number: 115966
    Source Name: Service Control Manager
    Time Written: 20101017183208.200857-000
    Event Type: Informatie
    User:

    =====Application event log=====

    Computer Name: gebruiker-PC
    Event Code: 1001
    Message: Foutbucket 1218414008, type 5
    Naam van gebeurtenis: WindowsWcpOtherFailure3
    Antwoord: Niet beschikbaar
    Id van CAB-bestand: 0

    Handtekening van probleem:
    P1: 6.1.7600
    P2: base\wcp\sil\merged\ntu\ntsystem.cpp
    P3: Windows::Rtl::SystemImplementation::DirectRegistryProvider::SysOpenKey
    P4: 3676
    P5: c0000034
    P6: 0xf781db3c
    P7:
    P8:
    P9:
    P10:

    Bijgevoegde bestanden:

    Deze bestanden zijn mogelijk hier beschikbaar:
    C:\ProgramData\Microsoft\Windows\WER\ReportArchive\Critical_6.1.7600_b9284a3fe3f8b2a616aff9e3f51acb727349bbd_0e8fa6d9

    Analysesymbool:
    Opnieuw zoeken naar oplossing: 0nRapport-id: a026cef2-1fc2-11e0-b29c-002618e0d11a
    Rapportstatus: 0
    Record Number: 935223
    Source Name: Windows Error Reporting
    Time Written: 20110114094247.000000-000
    Event Type: Informatie
    User:

    Computer Name: gebruiker-PC
    Event Code: 1001
    Message: Foutbucket , type 0
    Naam van gebeurtenis: WindowsWcpOtherFailure3
    Antwoord: Niet beschikbaar
    Id van CAB-bestand: 0

    Handtekening van probleem:
    P1: 6.1.7600
    P2: base\wcp\sil\merged\ntu\ntsystem.cpp
    P3: Windows::Rtl::SystemImplementation::DirectRegistryProvider::SysOpenKey
    P4: 3676
    P5: c0000034
    P6: 0xa3264c81
    P7:
    P8:
    P9:
    P10:

    Bijgevoegde bestanden:
    C:\Windows\Logs\CBS\CbsPersist_20101223105004.cab
    C:\Windows\Logs\CBS\CbsPersist_20110101225137.cab
    C:\Windows\Logs\CBS\CbsPersist_20110105221840.cab
    C:\Windows\Logs\CBS\CbsPersist_20110109190958.cab
    C:\Windows\Logs\CBS\CbsPersist_20110113173047.cab
    C:\Windows\Logs\CBS\CBS.log
    C:\Windows\servicing\Sessions\Sessions.xml
    C:\Windows\winsxs\poqexec.log
    C:\Windows\System32\LogFiles\Scm\SCM.EVM
    C:\Windows\Logs\CBS\FilterList.log

    Deze bestanden zijn mogelijk hier beschikbaar:


    Analysesymbool:
    Opnieuw zoeken naar oplossing: 0nRapport-id: a026cefd-1fc2-11e0-b29c-002618e0d11a
    Rapportstatus: 0
    Record Number: 935222
    Source Name: Windows Error Reporting
    Time Written: 20110114094247.000000-000
    Event Type: Informatie
    User:

    Computer Name: gebruiker-PC
    Event Code: 1001
    Message: Foutbucket , type 0
    Naam van gebeurtenis: WindowsWcpOtherFailure3
    Antwoord: Niet beschikbaar
    Id van CAB-bestand: 0

    Handtekening van probleem:
    P1: 6.1.7600
    P2: base\wcp\sil\merged\ntu\ntsystem.cpp
    P3: Windows::Rtl::SystemImplementation::DirectRegistryProvider::SysOpenKey
    P4: 3676
    P5: c0000034
    P6: 0xa3264c81
    P7:
    P8:
    P9:
    P10:

    Bijgevoegde bestanden:

    Deze bestanden zijn mogelijk hier beschikbaar:
    C:\ProgramData\Microsoft\Windows\WER\ReportQueue\Critical_6.1.7600_5aaf9b9fa7c9b0654b9dcd990f3bcc4dcc3e019_143ba63d

    Analysesymbool:
    Opnieuw zoeken naar oplossing: 0nRapport-id: a026cefd-1fc2-11e0-b29c-002618e0d11a
    Rapportstatus: 4
    Record Number: 935221
    Source Name: Windows Error Reporting
    Time Written: 20110114094247.000000-000
    Event Type: Informatie
    User:

    Computer Name: gebruiker-PC
    Event Code: 1001
    Message: Foutbucket 1218414012, type 5
    Naam van gebeurtenis: WindowsWcpOtherFailure3
    Antwoord: Niet beschikbaar
    Id van CAB-bestand: 0

    Handtekening van probleem:
    P1: 6.1.7600
    P2: base\wcp\sil\merged\ntu\ntsystem.cpp
    P3: Windows::Rtl::SystemImplementation::DirectRegistryProvider::SysOpenKey
    P4: 3676
    P5: c0000034
    P6: 0xa3264c81
    P7:
    P8:
    P9:
    P10:

    Bijgevoegde bestanden:

    Deze bestanden zijn mogelijk hier beschikbaar:
    C:\ProgramData\Microsoft\Windows\WER\ReportArchive\Critical_6.1.7600_5aaf9b9fa7c9b0654b9dcd990f3bcc4dcc3e019_17eba60e

    Analysesymbool:
    Opnieuw zoeken naar oplossing: 0nRapport-id: a026cef1-1fc2-11e0-b29c-002618e0d11a
    Rapportstatus: 0
    Record Number: 935220
    Source Name: Windows Error Reporting
    Time Written: 20110114094247.000000-000
    Event Type: Informatie
    User:

    Computer Name: gebruiker-PC
    Event Code: 1001
    Message: Foutbucket , type 0
    Naam van gebeurtenis: WindowsWcpOtherFailure3
    Antwoord: Niet beschikbaar
    Id van CAB-bestand: 0

    Handtekening van probleem:
    P1: 6.1.7600
    P2: base\wcp\sil\merged\ntu\ntsystem.cpp
    P3: Windows::Rtl::SystemImplementation::DirectRegistryProvider::SysOpenKey
    P4: 3676
    P5: c0000034
    P6: 0xf781db3c
    P7:
    P8:
    P9:
    P10:

    Bijgevoegde bestanden:
    C:\Windows\Logs\CBS\CbsPersist_20101223105004.cab
    C:\Windows\Logs\CBS\CbsPersist_20110101225137.cab
    C:\Windows\Logs\CBS\CbsPersist_20110105221840.cab
    C:\Windows\Logs\CBS\CbsPersist_20110109190958.cab
    C:\Windows\Logs\CBS\CbsPersist_20110113173047.cab
    C:\Windows\Logs\CBS\CBS.log
    C:\Windows\servicing\Sessions\Sessions.xml
    C:\Windows\winsxs\poqexec.log
    C:\Windows\System32\LogFiles\Scm\SCM.EVM
    C:\Windows\Logs\CBS\FilterList.log

    Deze bestanden zijn mogelijk hier beschikbaar:


    Analysesymbool:
    Opnieuw zoeken naar oplossing: 0nRapport-id: a026cefc-1fc2-11e0-b29c-002618e0d11a
    Rapportstatus: 0
    Record Number: 935219
    Source Name: Windows Error Reporting
    Time Written: 20110114094247.000000-000
    Event Type: Informatie
    User:

    =====Security event log=====

    Computer Name: gebruiker-PC
    Event Code: 4624
    Message: Er is een account aangemeld.

    Onderwerp:
    Beveiligings-id: S-1-5-18
    Accountnaam: GEBRUIKER-PC$
    Accountdomein: WORKGROUP
    Aanmeldings-id: 0x3e7

    Aanmeldingstype: 5

    Nieuwe aanmelding:
    Beveiligings-id: S-1-5-18
    Accountnaam: SYSTEM
    Accountdomein: NT AUTHORITY
    Aanmeldings-id: 0x3e7
    Aanmeldings-GUID: {00000000-0000-0000-0000-000000000000}

    Procesgegevens:
    Proces-id: 0x28c
    Naam proces: C:\Windows\System32\services.exe

    Netwerkgegevens:
    Naam van werkstation:
    Netwerkadres van bron: -
    Poort van bron: -

    Gedetailleerde verificatiegegevens:
    Aanmeldingsproces: Advapi
    Verificatiepakket: Negotiate
    Doorgezette services: -
    Pakketnaam (alleen NTLM): -
    Sleutellengte: 0

    Deze gebeurtenis wordt gegenereerd wanneer een aanmeldingssessie wordt gemaakt. De gebeurtenis wordt gegenereerd op de computer waartoe toegang wordt verkregen.

    De velden Onderwerp bevatten de account op het lokale systeem waardoor de aanmelding is aangevraagd. Dit is meestal een service zoals de Server-service, of een lokaal proces zoals Winlogon.exe of Services.exe.

    In het veld Aanmeldingstype ziet u het type aanmelding. De meest algemene typen zijn 2 (interactief) en 3 (netwerk).

    Het veld Nieuwe aanmelding bevat de account waarvoor de nieuwe aanmelding is gemaakt. Dit is de account waarmee is aangemeld.

    In de netwerkvelden ziet u de bron van een externe aanmeldingsaanvraag. Naam van werkstation is niet altijd beschikbaar en kan in sommige gevallen leeg zijn.

    De velden met verificatiegegevens bevatten gedetailleerde informatie over deze aanmeldingsaanvraag.
    - Aanmeldings-GUID is een unieke id die kan worden gebruikt om deze gebeurtenis af te stemmen met een KDC-gebeurtenis.
    - In Doorgezette services ziet u welke tussentijdse services voor deze aanmeldingsaanvraag zijn gebruikt.
    - Pakketnaam geeft aan welk subprotocol van de NTLM-protocollen is gebruikt.
    - Sleutellengte geeft de lengte van de gegenereerde sessiesleutel aan. Dit veld is 0 als er geen sessiesleutel is aangevraagd.
    Record Number: 12915
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20100429180950.059265-000
    Event Type: Controle geslaagd
    User:

    Computer Name: gebruiker-PC
    Event Code: 4672
    Message: Speciale bevoegdheden toegewezen aan nieuwe aanmelding.

    Onderwerp:
    Beveiligings-id: S-1-5-18
    Accountnaam: SYSTEM
    Accountdomein: NT AUTHORITY
    Aanmeldings-id: 0x3e7

    Bevoegdheden: SeAssignPrimaryTokenPrivilege
    SeTcbPrivilege
    SeSecurityPrivilege
    SeTakeOwnershipPrivilege
    SeLoadDriverPrivilege
    SeBackupPrivilege
    SeRestorePrivilege
    SeDebugPrivilege
    SeAuditPrivilege
    SeSystemEnvironmentPrivilege
    SeImpersonatePrivilege
    Record Number: 12914
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20100429180943.044853-000
    Event Type: Controle geslaagd
    User:

    Computer Name: gebruiker-PC
    Event Code: 4624
    Message: Er is een account aangemeld.

    Onderwerp:
    Beveiligings-id: S-1-5-18
    Accountnaam: GEBRUIKER-PC$
    Accountdomein: WORKGROUP
    Aanmeldings-id: 0x3e7

    Aanmeldingstype: 5

    Nieuwe aanmelding:
    Beveiligings-id: S-1-5-18
    Accountnaam: SYSTEM
    Accountdomein: NT AUTHORITY
    Aanmeldings-id: 0x3e7
    Aanmeldings-GUID: {00000000-0000-0000-0000-000000000000}

    Procesgegevens:
    Proces-id: 0x28c
    Naam proces: C:\Windows\System32\services.exe

    Netwerkgegevens:
    Naam van werkstation:
    Netwerkadres van bron: -
    Poort van bron: -

    Gedetailleerde verificatiegegevens:
    Aanmeldingsproces: Advapi
    Verificatiepakket: Negotiate
    Doorgezette services: -
    Pakketnaam (alleen NTLM): -
    Sleutellengte: 0

    Deze gebeurtenis wordt gegenereerd wanneer een aanmeldingssessie wordt gemaakt. De gebeurtenis wordt gegenereerd op de computer waartoe toegang wordt verkregen.

    De velden Onderwerp bevatten de account op het lokale systeem waardoor de aanmelding is aangevraagd. Dit is meestal een service zoals de Server-service, of een lokaal proces zoals Winlogon.exe of Services.exe.

    In het veld Aanmeldingstype ziet u het type aanmelding. De meest algemene typen zijn 2 (interactief) en 3 (netwerk).

    Het veld Nieuwe aanmelding bevat de account waarvoor de nieuwe aanmelding is gemaakt. Dit is de account waarmee is aangemeld.

    In de netwerkvelden ziet u de bron van een externe aanmeldingsaanvraag. Naam van werkstation is niet altijd beschikbaar en kan in sommige gevallen leeg zijn.

    De velden met verificatiegegevens bevatten gedetailleerde informatie over deze aanmeldingsaanvraag.
    - Aanmeldings-GUID is een unieke id die kan worden gebruikt om deze gebeurtenis af te stemmen met een KDC-gebeurtenis.
    - In Doorgezette services ziet u welke tussentijdse services voor deze aanmeldingsaanvraag zijn gebruikt.
    - Pakketnaam geeft aan welk subprotocol van de NTLM-protocollen is gebruikt.
    - Sleutellengte geeft de lengte van de gegenereerde sessiesleutel aan. Dit veld is 0 als er geen sessiesleutel is aangevraagd.
    Record Number: 12913
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20100429180943.044853-000
    Event Type: Controle geslaagd
    User:

    Computer Name: gebruiker-PC
    Event Code: 4624
    Message: Er is een account aangemeld.

    Onderwerp:
    Beveiligings-id: S-1-0-0
    Accountnaam: -
    Accountdomein: -
    Aanmeldings-id: 0x0

    Aanmeldingstype: 3

    Nieuwe aanmelding:
    Beveiligings-id: S-1-5-7
    Accountnaam: ANONIEME LOGON
    Accountdomein: NT AUTHORITY
    Aanmeldings-id: 0x1b38a
    Aanmeldings-GUID: {00000000-0000-0000-0000-000000000000}

    Procesgegevens:
    Proces-id: 0x0
    Naam proces: -

    Netwerkgegevens:
    Naam van werkstation:
    Netwerkadres van bron: -
    Poort van bron: -

    Gedetailleerde verificatiegegevens:
    Aanmeldingsproces: NtLmSsp
    Verificatiepakket: NTLM
    Doorgezette services: -
    Pakketnaam (alleen NTLM): NTLM V1
    Sleutellengte: 0

    Deze gebeurtenis wordt gegenereerd wanneer een aanmeldingssessie wordt gemaakt. De gebeurtenis wordt gegenereerd op de computer waartoe toegang wordt verkregen.

    De velden Onderwerp bevatten de account op het lokale systeem waardoor de aanmelding is aangevraagd. Dit is meestal een service zoals de Server-service, of een lokaal proces zoals Winlogon.exe of Services.exe.

    In het veld Aanmeldingstype ziet u het type aanmelding. De meest algemene typen zijn 2 (interactief) en 3 (netwerk).

    Het veld Nieuwe aanmelding bevat de account waarvoor de nieuwe aanmelding is gemaakt. Dit is de account waarmee is aangemeld.

    In de netwerkvelden ziet u de bron van een externe aanmeldingsaanvraag. Naam van werkstation is niet altijd beschikbaar en kan in sommige gevallen leeg zijn.

    De velden met verificatiegegevens bevatten gedetailleerde informatie over deze aanmeldingsaanvraag.
    - Aanmeldings-GUID is een unieke id die kan worden gebruikt om deze gebeurtenis af te stemmen met een KDC-gebeurtenis.
    - In Doorgezette services ziet u welke tussentijdse services voor deze aanmeldingsaanvraag zijn gebruikt.
    - Pakketnaam geeft aan welk subprotocol van de NTLM-protocollen is gebruikt.
    - Sleutellengte geeft de lengte van de gegenereerde sessiesleutel aan. Dit veld is 0 als er geen sessiesleutel is aangevraagd.
    Record Number: 12912
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20100429180938.255645-000
    Event Type: Controle geslaagd
    User:

    Computer Name: gebruiker-PC
    Event Code: 4672
    Message: Speciale bevoegdheden toegewezen aan nieuwe aanmelding.

    Onderwerp:
    Beveiligings-id: S-1-5-21-2714516515-3284364112-1062224456-1000
    Accountnaam: gebruiker
    Accountdomein: gebruiker-PC
    Aanmeldings-id: 0x15fc0

    Bevoegdheden: SeSecurityPrivilege
    SeTakeOwnershipPrivilege
    SeLoadDriverPrivilege
    SeBackupPrivilege
    SeRestorePrivilege
    SeDebugPrivilege
    SeSystemEnvironmentPrivilege
    SeImpersonatePrivilege
    Record Number: 12911
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20100429180934.137238-000
    Event Type: Controle geslaagd
    User:

    ======Environment variables======

    "ComSpec"=%SystemRoot%\system32\cmd.exe
    "FP_NO_HOST_CHECK"=NO
    "OS"=Windows_NT
    "Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\system32\wbem;C:\watcom-1.3\binnt;C:\watcom-1.3\binw;%SYSTEMROOT%\System32\WindowsPowerShell\v1.0;C:\Program Files\Common Files\DivX Shared;C:\Program Files\QuickTime\QTSystem
    "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
    "PROCESSOR_ARCHITECTURE"=x86
    "TEMP"=%SystemRoot%\TEMP
    "TMP"=%SystemRoot%\TEMP
    "USERNAME"=SYSTEM
    "windir"=%SystemRoot%
    "PSModulePath"=%SystemRoot%\system32\WindowsPowerShell\v1.0\Modules\
    "NUMBER_OF_PROCESSORS"=4
    "PROCESSOR_LEVEL"=6
    "PROCESSOR_IDENTIFIER"=x86 Family 6 Model 23 Stepping 10, GenuineIntel
    "PROCESSOR_REVISION"=170a
    "asl.log"=Destination=file;OnFirstLog=command,environment
    "KMP_DUPLICATE_LIB_OK"=TRUE
    "WATCOM"=C:\watcom-1.3
    "CLASSPATH"=.;C:\Program Files\QuickTime\QTSystem\QTJava.zip
    "QTJAVA"=C:\Program Files\QuickTime\QTSystem\QTJava.zip

    —————–EOF—————–
  • TFC nu wel als administator gedraaid, helaas zonder positief resultaat voor IE…
  • Hoi Goudpan, wat Windows betreft is er geen malware te bespeuren, maar dat de analyse van het opstarten vier aanmeldingen vermeld, vind ik verdacht!


    [b:75d66a6c15]Welk programma[/b:75d66a6c15]: Kaspersky [b:75d66a6c15]TDSSKiller[/b:75d66a6c15]
    [b:75d66a6c15]Waarvoor/waarom[/b:75d66a6c15]: Rootkitscanner
    [b:75d66a6c15]Moeilijkheidsgraad[/b:75d66a6c15]: geen
    [b:75d66a6c15]Downloadlokatie[/b:75d66a6c15]: Dit programma absoluut naar het bureaublad downloaden!
    [b:75d66a6c15]Download[/b:75d66a6c15] [b:75d66a6c15]TDSSKiller[/b:75d66a6c15] [b:75d66a6c15]hier[/b:75d66a6c15].

    [b:75d66a6c15]Installatie[/b:75d66a6c15]:
    [list:75d66a6c15][*:75d66a6c15] pak het bestand uit op je bureaublad.[/list:u:75d66a6c15]

    [b:75d66a6c15]TDSSKiller gebruiken[/b:75d66a6c15]:
    [list:75d66a6c15][*:75d66a6c15]Windows 2000 en Windows XP: start TDSSKiller middels dubbelklik op TDSSKiller.exe.
    [*:75d66a6c15]Windows Vista en Windows 7: start TDSSKiller middels rechtsklik op TDSSKiller.exe en dan kiezen voor [b:75d66a6c15]Als Administrator uitvoeren[/b:75d66a6c15].
    [*:75d66a6c15] Nadat de scan klaar is, vindt je het log in de C:\ partitie
    [*:75d66a6c15] Post de inhoud van dat log[/list:u:75d66a6c15]

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.