Vraag & Antwoord
Trojans gevonden, graag check HijackThisfile
28 antwoorden
- Hoi,
Ik ben bezig deze computer van een kennis weer goedwerkend te krijgen.
Klachten:
- IE geeft steeds aan dat hij niet afgesloten is, bij een herstart vraagt ie om de eerdere sessie te herstarten;
- ATF-cleaner blijft doordraaien en reageert dan niet meer
- Computer is traag
Allereerst met MBAM een scan gedraaid, hij vond het volgende, zie log:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Databaseversie: 5506
Windows 6.1.7600
Internet Explorer 8.0.7600.16385
12-1-2011 15:45:30
mbam-log-2011-01-12 (15-45-30).txt
Scantype: Snelle scan
Objecten gescand: 139193
Verstreken tijd: 3 minuut/minuten, 4 seconde(n)
Geheugenprocessen geïnfecteerd: 0
Geheugenmodulen geïnfecteerd: 0
Registersleutels geïnfecteerd: 5
Registerwaarden geïnfecteerd: 1
Registerdata geïnfecteerd: 0
Mappen geïnfecteerd: 0
Bestanden geïnfecteerd: 3
Geheugenprocessen geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Geheugenmodulen geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Registersleutels geïnfecteerd:
HKEY_CURRENT_USER\SOFTWARE\D9L83679SM (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\JP595IR86O (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\NtWqIVLZEWZU (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Quarantined and deleted successfully.
Registerwaarden geïnfecteerd:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\JP595IR86O (Trojan.FakeAlert) -> Value: JP595IR86O -> Quarantined and deleted successfully.
Registerdata geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Mappen geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Bestanden geïnfecteerd:
c:\Windows\Tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Windows\Tasks\{62c40aa6-4406-467a-a5a5-dfdf1b559b7a}.job (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Windows\Tasks\{bbaeaeaf-1275-40e2-bd6c-bc8f88bd114a}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
Daarna een HijackThislog aangemaakt, zie hieronder:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 16:12:42, on 12-1-2011
Platform: Windows 7 (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal
Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskhost.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Alwil Software\Avast5\AvastUI.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Program Files\Hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Preserve
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [avast5] "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\RunOnce: [AvgUninstallURL] cmd.exe /c start http://www.avg.com/ww.special-uninstallation-feedback-app?lic=OQBBAFYARgBSAEUARQAtAFYAQQBFAEEAWQAtAFQAMwBMAFUARQAtAE4ATAAzAEQAQQAtAEMAQgBVAEsASAAtAEoARgA3AE0AOQA"&"inst=NwA3AC0ANAAxADYANQA2ADEANAAyADUALQBGAEwAKwA5AC0ARgA5AE0ANgArADEALQBYAE8AMwA2ACsAMQAtAEYAOQBNADcAQwArADUA"&"prod=90"&"ver=9.0.872
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O9 - Extra button: Verzenden naar OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: Verz&enden naar OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: Mobiel Apple apparaat (Apple Mobile Device) - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: Bonjour-service (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
–
End of file - 4554 bytes
Graag hulp bij het definitef verwijderen van de rommel op deze computer. - Hallo goudpan, ik zie dat Avast niet met alle optie is geïnstalleerd geworden na de deïnstallatie van AVG.
Klopt dat?
[b:b7d3c62ef4]Te gebruiken programma's[/b:b7d3c62ef4]
[list:b7d3c62ef4][*:b7d3c62ef4]Trend Micro [b:b7d3c62ef4]Hijack This Versie 2.0.4[/b:b7d3c62ef4]
[*:b7d3c62ef4]Microsoft [b:b7d3c62ef4]Malicious Software Removal Tool[/b:b7d3c62ef4]
[*:b7d3c62ef4] Malwarebytes [b:b7d3c62ef4]MBAM[/b:b7d3c62ef4]
[*:b7d3c62ef4][b:b7d3c62ef4]TFC[/b:b7d3c62ef4] (The File Cleaner)[/list:u:b7d3c62ef4]
[b:b7d3c62ef4]Downloaden - maar nog niet installeren - download de setups naar je bureaublad[/b:b7d3c62ef4]:
[list:b7d3c62ef4][*:b7d3c62ef4]Microsoft [b:b7d3c62ef4]Malicious Software Removal Tool[/b:b7d3c62ef4] - download en meer informatie vindt je [b:b7d3c62ef4]hier[/b:b7d3c62ef4]
[*:b7d3c62ef4]Download [b:b7d3c62ef4]TFC[/b:b7d3c62ef4] [b:b7d3c62ef4]hier[/b:b7d3c62ef4][/list:u:b7d3c62ef4]
[b:b7d3c62ef4]Belangrijk[/b:b7d3c62ef4]:
[list:b7d3c62ef4][*:b7d3c62ef4]Vista- en Windows 7 gebruik(st)ers installeren en starten alle gebruikte tools middels rechtsklikken en dan kiezen voor Als Administrator uitvoeren.[/list:u:b7d3c62ef4] - Goed, zoveel mogelijk geprobeerd te doen, even een verslag:
Volgens mij had ik AVG eerst gewoon verwijderd en daaroverheen nog de AVG remover tool gebruikt, vreemd dat het dan niet helemaal verwijderd is.
De Maliscious software removal tool vindt geen schadelijke software. De windows searchqu toolbar staat niet in de lijst van geïnstalleerde software. TFC draaide goed tot bij het legen van de prullenbak, na 6 uur draaien heb ik het programma maar afgesloten.
Op een of andere manier lukt het niet om tijdelijke bestanden te verwijderen, vreemd genoeg. Daarna startte de computer niet meer op en heb ik systeemherstel moeten uitvoeren.
Ik heb nu de volgende logs voor je:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 10:20:07, on 13-1-2011
Platform: Windows 7 (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal
Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Alwil Software\Avast5\AvastUI.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Windows\system32\taskhost.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe
C:\Program Files\Hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [avast5] "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Verzenden naar OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: Verz&enden naar OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: Mobiel Apple apparaat (Apple Mobile Device) - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: Bonjour-service (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
–
End of file - 4186 bytes
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Databaseversie: 5510
Windows 6.1.7600
Internet Explorer 8.0.7600.16385
13-1-2011 10:23:19
mbam-log-2011-01-13 (10-23-19).txt
Scantype: Snelle scan
Objecten gescand: 138911
Verstreken tijd: 2 minuut/minuten, 36 seconde(n)
Geheugenprocessen geïnfecteerd: 0
Geheugenmodulen geïnfecteerd: 0
Registersleutels geïnfecteerd: 0
Registerwaarden geïnfecteerd: 0
Registerdata geïnfecteerd: 0
Mappen geïnfecteerd: 0
Bestanden geïnfecteerd: 0
Geheugenprocessen geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Geheugenmodulen geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Registersleutels geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Registerwaarden geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Registerdata geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Mappen geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Bestanden geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
32 Bit HP CIO Components Installer
Aangifte inkomstenbelasting 2009
Adobe Flash Player 10 ActiveX
Adobe Reader 9.4.1 - Nederlands
Apple Application Support
Apple Mobile Device Support
Apple Software Update
avast! Free Antivirus
BitLord 1.1
Bonjour
DivX Converter
DivX Plus DirectShow Filters
DivX Setup
HP Customer Participation Program 13.0
HP Imaging Device Functions 13.0
HP Officejet Pro 8000 A809 Series
Huur- en zorgtoeslag 2010
Intel(R) Graphics Media Accelerator Driver
Intel(R) TV Wizard
Junk Mail filter update
Malwarebytes' Anti-Malware
Maple 13
Microsoft .NET Framework 4 Client Profile
Microsoft .NET Framework 4 Client Profile
Microsoft .NET Framework 4 Client Profile NLD Language Pack
Microsoft Choice Guard
Microsoft Office 2007 Service Pack 2 (SP2)
Microsoft Office 2007 Service Pack 2 (SP2)
Microsoft Office 2007 Service Pack 2 (SP2)
Microsoft Office 2007 Service Pack 2 (SP2)
Microsoft Office 2007 Service Pack 2 (SP2)
Microsoft Office 2007 Service Pack 2 (SP2)
Microsoft Office Excel MUI (Dutch) 2007
Microsoft Office Home and Student 2007
Microsoft Office Home and Student 2007
Microsoft Office OneNote MUI (Dutch) 2007
Microsoft Office PowerPoint MUI (Dutch) 2007
Microsoft Office Proof (Dutch) 2007
Microsoft Office Proof (English) 2007
Microsoft Office Proof (French) 2007
Microsoft Office Proof (German) 2007
Microsoft Office Proofing (Dutch) 2007
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
Microsoft Office Shared MUI (Dutch) 2007
Microsoft Office Word MUI (Dutch) 2007
Microsoft Silverlight
Microsoft Visual C++ 2005 Redistributable
MSVCRT
myPrintMileage (Officejet Pro 8000 A809)
NTREGOPT 1.1j
OGA Notifier 2.0.0048.0
Picasa 3
QuickTime
RealPlayer
RealUpgrade 1.1
Security Update for 2007 Microsoft Office System (KB2288621)
Security Update for 2007 Microsoft Office System (KB2288931)
Security Update for 2007 Microsoft Office System (KB2289158)
Security Update for 2007 Microsoft Office System (KB2344875)
Security Update for 2007 Microsoft Office System (KB2345043)
Security Update for 2007 Microsoft Office System (KB969559)
Security Update for 2007 Microsoft Office System (KB976321)
Security Update for Microsoft Office Excel 2007 (KB2345035)
Security Update for Microsoft Office InfoPath 2007 (KB979441)
Security Update for Microsoft Office PowerPoint 2007 (KB982158)
Security Update for Microsoft Office PowerPoint Viewer (KB2413381)
Security Update for Microsoft Office system 2007 (972581)
Security Update for Microsoft Office system 2007 (KB974234)
Security Update for Microsoft Office Visio Viewer 2007 (KB973709)
Security Update for Microsoft Office Word 2007 (KB2344993)
SimBoePro
Spelling Dictionaries Support For Adobe Reader 9
Taalpakket voor Microsoft .NET Framework 4 Client Profile - NLD
Update for 2007 Microsoft Office System (KB967642)
Update for Microsoft Office OneNote 2007 (KB980729)
Update voor Microsoft Office Excel 2007 Help (KB963678)
Update voor Microsoft Office Powerpoint 2007 Help (KB963669)
Update voor Microsoft Office Word 2007 Help (KB963665)
VC80CRTRedist - 8.0.50727.4053
VLC media player 1.1.4
Windows Live - Hulpprogramma voor uploaden
Windows Live Call
Windows Live Communications Platform
Windows Live Essentials
Windows Live Essentials
Windows Live Mail
Windows Live Messenger
Xvid 1.2.1 final uninstall - Hoi goudpan, heb jij TFC opgestart met administratorrechten of had het tool gedubbelklikt?
Ondanks het systeemherstel, denk ik dat een diepgaande diagnose nodig is!
[[b:682c5c47ac]Welk programma[/b:682c5c47ac]: ComboFix
[b:682c5c47ac]Waarvoor/waarom[/b:682c5c47ac]: Zeer specialistische scanner om Windows diepgaand te onderzoeken en zo mogelijk op te schonen.
[b:682c5c47ac]Moeilijkheidsgraad[/b:682c5c47ac]: Min of meer lastige voorbereidingsfase, dus lees alles eerst goed.
[b:682c5c47ac]Downloadlokatie[/b:682c5c47ac]: Dit programma absoluut naar het bureaublad downloaden!
[b:682c5c47ac]Download ComboFix via één van deze locaties[/b:682c5c47ac]:
[list:682c5c47ac][*:682c5c47ac][b:682c5c47ac]Bleepingcomputer[/b:682c5c47ac]
[*:682c5c47ac][b:682c5c47ac]ForoSpyware[/b:682c5c47ac]
[*:682c5c47ac][b:682c5c47ac]Geekstogo[/b:682c5c47ac][/list:u:682c5c47ac]
[b:682c5c47ac]Hier[/b:682c5c47ac] zie je hoe je ComboFix moet gebruiken.
Antivirusprogramma en actieve malwarescanners dienen al voor de ComboFix start gedeaktiveert zijn!
[b:682c5c47ac]Hier[/b:682c5c47ac] en [url=http://www.techsupportforum.com/forums/f50/how-to-disable-your
-security-applications-490111.html][b:682c5c47ac]hier[/b:682c5c47ac] vindt je gegevens hoe antivirusprogramma's en spywarescanners te deaktiveren.
[b:682c5c47ac]Voor alle duidelijkheid nogmaals[/b:682c5c47ac]: ComboFix dient vanaf het bureaublad gestart te worden.
[b:682c5c47ac]Opmerkingen[/b:682c5c47ac]:
[list:682c5c47ac][*:682c5c47ac] Bij gebruik van Windows XP zal er mogelijk gevraagd worden, om de "Recovery Console" te installeren! Sta dit dan toe (hiervoor is een actieve
internet verbinding vereist).
[*:682c5c47ac]Vista- en Windows 7 gebruikers starten Combofix op via rechtsklik met Administratorrechten.
[*:682c5c47ac]Alle openstaande programma's en webpagina's dienen afgesloten te zijn.[/list:u:682c5c47ac]
[b:682c5c47ac]ComboFix is opgestart[/b:682c5c47ac]:
[list:682c5c47ac][*:682c5c47ac]Niet in het zwarte venster klikken, hierdoor kan ComboFix of zelfs Windows geheel "bevriezen"!
[*:682c5c47ac]Combofix sluit tijdens de scan de internet verbinding – probeer deze tussentijds niet te herstellen!
[*:682c5c47ac]Het kan voorkomen dat de computer meerdere malen opnieuw opgestart moet worden, dit is normaal.
[*:682c5c47ac]Wanneer ComboFix gereed is, zal het het een logbestand voor je maken.
[*:682c5c47ac]Post de inhoud van dit logbestand in je volgende bericht.
[*:682c5c47ac]Indien het log niet opstart, is dit terug tevinden in C:\ComboFix.txt[/list:u:682c5c47ac]
[b:682c5c47ac]Belangrijke opmerking[/b:682c5c47ac]:
[list:682c5c47ac][*:682c5c47ac] - Naar mijn weten had ik TFC opgestart als administrator.
Hieronder de door jou gevraagde Combofixlog:
ComboFix 11-01-12.04 - gebruiker 13-01-2011 18:37:56.1.4 - x86
Microsoft Windows 7 Home Premium 6.1.7600.0.1252.31.1043.18.3574.2627 [GMT 1:00]
Gestart vanuit: c:\users\gebruiker\Desktop\ComboFix.exe
AV: avast! Antivirus *Disabled/Updated* {C37D8F93-0602-E43C-40AA-47DAD597F308}
SP: avast! Antivirus *Disabled/Updated* {781C6E77-2038-EBB2-7A1A-7CA8AE10B9B5}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
(((((((((((((((((((( Bestanden Gemaakt van 2010-12-13 to 2011-01-13 ))))))))))))))))))))))))))))))
.
2011-01-13 17:42 . 2011-01-13 17:42 ——– d—–w- c:\users\Default\AppData\Local\temp
2011-01-13 09:06 . 2010-11-16 11:01 6273872 —-a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{428D1032-D9C4-4D42-88DB-3D74EB423786}\mpengine.dll
2011-01-13 09:05 . 2010-12-20 17:09 38224 —-a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-01-13 09:05 . 2010-12-20 17:08 20952 —-a-w- c:\windows\system32\drivers\mbam.sys
2011-01-12 12:14 . 2010-12-31 20:00 293968 —-a-w- c:\windows\system32\drivers\aswSP.sys
2011-01-12 12:14 . 2010-12-31 19:56 17744 —-a-w- c:\windows\system32\drivers\aswFsBlk.sys
2011-01-12 12:14 . 2010-12-31 19:56 23632 —-a-w- c:\windows\system32\drivers\aswRdr.sys
2011-01-12 12:14 . 2010-12-31 19:59 47440 —-a-w- c:\windows\system32\drivers\aswTdi.sys
2011-01-12 12:14 . 2010-12-31 19:56 51280 —-a-w- c:\windows\system32\drivers\aswMonFlt.sys
2011-01-12 12:13 . 2010-12-31 20:06 38848 —-a-w- c:\windows\avastSS.scr
2011-01-12 12:13 . 2010-12-31 20:06 188216 —-a-w- c:\windows\system32\aswBoot.exe
2011-01-12 12:13 . 2011-01-12 12:13 ——– d—–w- c:\programdata\Alwil Software
2011-01-12 12:13 . 2011-01-12 12:13 ——– d—–w- c:\program files\Alwil Software
2011-01-12 11:39 . 2011-01-12 11:39 ——– d—–w- c:\users\gebruiker\AppData\Roaming\Auslogics
2011-01-12 11:39 . 2011-01-12 11:39 ——– d—–w- c:\program files\Auslogics
2011-01-12 11:37 . 2011-01-12 11:37 ——– d—–w- c:\program files\NT Registry Optimizer
2011-01-05 15:03 . 2011-01-11 23:17 ——– d—–w- c:\users\gebruiker\AppData\Local\Microsoft Games
2010-12-23 08:41 . 2010-12-23 08:41 ——– d—–w- c:\users\gebruiker\AppData\Roaming\Malwarebytes
2010-12-23 08:41 . 2010-12-23 08:41 ——– d—–w- c:\programdata\Malwarebytes
2010-12-23 08:41 . 2011-01-13 09:05 ——– d—–w- c:\program files\Malwarebytes' Anti-Malware
.
((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-02 03:35 . 2010-12-02 03:35 4280320 —-a-w- c:\windows\system32\GPhotos.scr
2010-11-29 16:38 . 2010-11-29 16:38 94208 —-a-w- c:\windows\system32\QuickTimeVR.qtx
2010-11-29 16:38 . 2010-11-29 16:38 69632 —-a-w- c:\windows\system32\QuickTime.qts
2010-11-21 15:20 . 2010-01-22 19:16 499712 —-a-w- c:\windows\system32\msvcp71.dll
2010-11-21 15:20 . 2010-01-22 19:16 348160 —-a-w- c:\windows\system32\msvcr71.dll
2010-10-19 09:41 . 2009-12-30 19:43 222080 ——w- c:\windows\system32\MpSigStub.exe
.
((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-09-23 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-09-23 173592]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-09-23 150552]
"avast5"="c:\program files\Alwil Software\Avast5\avastUI.exe" [2010-12-31 3395600]
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2009-9-23 270336]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
[HKLM\~\startupfolder\C:^Users^gebruiker^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OneNote 2007 Schermopname en Snel starten.lnk]
path=c:\users\gebruiker\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneNote 2007 Schermopname en Snel starten.lnk
backup=c:\windows\pss\OneNote 2007 Schermopname en Snel starten.lnk.Startup
backupExtension=.Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-09-20 21:07 932288 —-a-r- c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-09-23 02:47 35760 —-a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2010-09-01 06:39 1164584 —-a-w- c:\program files\DivX\DivX Update\DivXUpdate.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
2010-11-07 14:04 136176 —-atw- c:\users\gebruiker\AppData\Local\Google\Update\GoogleUpdate.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Malwarebytes' Anti-Malware (reboot)]
2010-12-20 17:08 963976 —-a-w- c:\program files\Malwarebytes' Anti-Malware\mbam.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-11-29 16:38 421888 —-a-w- c:\program files\QuickTime\QTTask.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2010-11-21 15:20 274608 —-a-w- c:\program files\real\realplayer\Update\realsched.exe
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R3 WatAdminSvc;Windows Activation Technologies-service;c:\windows\system32\Wat\WatAdminSvc.exe [2010-06-02 1343400]
S1 aswSP;aswSP; [x]
S2 aswFsBlk;aswFsBlk; [x]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2010-12-31 51280]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [2009-03-01 139776]
S3 RTL8187B;Realtek RTL8187B 802.11b/g 54 Mbps draadloze USB 2.0-netwerkadapter;c:\windows\system32\DRIVERS\RTL8187B.sys [2009-07-13 347136]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
HPService REG_MULTI_SZ HPSLPSVC
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Inhoud van de 'Gedeelde Taken' map
2011-01-10 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2714516515-3284364112-1062224456-1000Core.job
- c:\users\gebruiker\AppData\Local\Google\Update\GoogleUpdate.exe [2010-11-07 14:04]
2011-01-13 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2714516515-3284364112-1062224456-1000UA.job
- c:\users\gebruiker\AppData\Local\Google\Update\GoogleUpdate.exe [2010-11-07 14:04]
.
.
——- Bijkomende Scan ——-
.
uStart Page = hxxp://www.startpagina.nl/
uInternet Settings,ProxyOverride = *.local
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xporteren naar Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
.
.
——————— VERGRENDELDE REGISTER SLEUTELS ———————
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Voltooingstijd: 2011-01-13 18:44:25
ComboFix-quarantined-files.txt 2011-01-13 17:44
Pre-Run: 475.457.568.768 bytes beschikbaar
Post-Run: 475.007.004.672 bytes beschikbaar
- - End Of File - - ECF2309F8D91441061B12FAE23F14481 - Hoi goudpan, het log is schoon.
Ook geen melding aanwezig van AVG!
ComboFix mag nu verwijderd worden:
[list:8f36392fc1][*:8f36392fc1] ga daarvoor naar Start - Uitvoeren
[*:8f36392fc1] kopieer en plak hierin het volgende: [b:8f36392fc1]Combofix /Uninstall[/b:8f36392fc1]
[*:8f36392fc1] klik daarna op [b:8f36392fc1]OK[/b:8f36392fc1].
[*:8f36392fc1] indien het goed is, krijg je vervolgens een melding, dat Combofix verwijderd werd.[/list:u:8f36392fc1]
Voorbeeld:
[img:8f36392fc1]http://home.kpn.nl/stefsmeenk/CFUninstall.PNG[/img:8f36392fc1]
Uitvoeren kan ook gestart worden door de toetsencombinatie [img:8f36392fc1]http://home.kpn.nl/stefsmeenk/W+R.jpg[/img:8f36392fc1]
[b:8f36392fc1]Welk programma[/b:8f36392fc1]: Malwarebytes MBAM
[b:8f36392fc1]Waarvoor/waarom[/b:8f36392fc1]: specialistische scanner om Windows snel te onderzoeken op- en te ontdoen van spy- & malware.
[b:8f36392fc1]Moeilijkheidsgraad[/b:8f36392fc1]: geen.
[b:8f36392fc1]Malwarebytes MBAM opstarten[/b:8f36392fc1]:
Windows 2000 en Windows XP: start MBAM middels dubbelklik op de snelkoppeling.
Windows Vista en Windows 7: start MBAM middels rechtsklik op de snelkoppeling en dan kiezen voor Als Administrator uitvoeren.
[b:8f36392fc1]Belangrijk: MBAM altijd eerst updaten![/b:8f36392fc1]
[list:8f36392fc1][*:8f36392fc1]Klik in het hoofdmenu van daarvoor op de tab 'Update' en vervolgens op de knop "Controleer op updates".[/list:u:8f36392fc1]
[b:8f36392fc1]Scannen[/b:8f36392fc1]:
[list:8f36392fc1][*:8f36392fc1] Bij het starten van 'MBAM' kies je voor 'Snelle Scan'.
[*:8f36392fc1]Het scannen kan een tijdje duren, dus wees geduldig. Indien de scan voltooid is, klik dan op de knop 'OK'.
[*:8f36392fc1]Klik daarna op de knop 'Bekijk Resultaten' om de resultaten te zien.[/list:u:8f36392fc1]
[b:8f36392fc1]Infecties gevonden[/b:8f36392fc1]:
[list:8f36392fc1][*:8f36392fc1]Klik nu eerst op OK om de melding weg te klikken
[*:8f36392fc1]Klik vervolgens rechtsonder op de knop Bekijk resultaten.
[*:8f36392fc1]Zorg er nu voor dat alle gevonden infecties aangevinkt zijn, en klik linksonder op Verwijder geselecteerde.
[*:8f36392fc1]Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten.
[*:8f36392fc1]Indien 'MBAM' moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven –
dan telkens op 'OK' klikken!
[*:8f36392fc1]Daarna zal 'MBAM' vragen om de Computer opnieuw op te starten - dus sta toe dat de computer opnieuw opgestart wordt.[/list:u:8f36392fc1]
[b:8f36392fc1]MBAM-Log[/b:8f36392fc1]:
[list:8f36392fc1][*:8f36392fc1] Het log wordt automatisch bewaard door 'MBAM
en dat kan je terugvinden door in het hoofdmenu van MBAM op de tab 'Logbestanden' te klikken'.[/list:u:8f36392fc1]
[b:8f36392fc1]Post aansluitend de inhoud van het MBAM-log.[/b:8f36392fc1] - Goed om te lezen dat de rotzooi er af is, nog wel geeft ie bij het starten van IE de melding dat de vorige sessie niet correct is afgesloten en of ik die wil herstellen. De vorige sessie is uitstekend afgesloten, dus geen idee waar die meldign vandaan komt.
Hier de gevraagde log van MBMAM, de laatste HJT-log doe ik er ook nog even bij voor alle zekerheid.
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Databaseversie: 5518
Windows 6.1.7600
Internet Explorer 8.0.7600.16385
14-1-2011 10:41:43
mbam-log-2011-01-14 (10-41-43).txt
Scantype: Snelle scan
Objecten gescand: 142295
Verstreken tijd: 3 minuut/minuten, 3 seconde(n)
Geheugenprocessen geïnfecteerd: 0
Geheugenmodulen geïnfecteerd: 0
Registersleutels geïnfecteerd: 0
Registerwaarden geïnfecteerd: 0
Registerdata geïnfecteerd: 0
Mappen geïnfecteerd: 0
Bestanden geïnfecteerd: 0
Geheugenprocessen geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Geheugenmodulen geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Registersleutels geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Registerwaarden geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Registerdata geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Mappen geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Bestanden geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
En HJT:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 10:44:12, on 14-1-2011
Platform: Windows 7 (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal
Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Alwil Software\Avast5\AvastUI.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Windows\system32\taskhost.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\Macromed\Flash\FlashUtil10l_ActiveX.exe
C:\Windows\system32\wuauclt.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Program Files\Hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [avast5] "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Verzenden naar OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: Verz&enden naar OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: Mobiel Apple apparaat (Apple Mobile Device) - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: Bonjour-service (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
–
End of file - 3641 bytes
Graag nog een laatste kritische blik. - Hoi goudpan, ik heb in mijn Vista die locaties bekeken en de mappen mogen in principe alleen maar sytem.ini-files zitten.
De rest mag je van mij handmatig verwijderen, want het hoort er helemaal niet te zitten!
En daarna de prullenbak ook weer legen.
Doe daarna een herstart met de PC en laat weten hoe IE dan werkt. - Hoi Abraham,
Geweldig dat je zo met me meedenkt.
Het probleem is nu nog als volgt: alleen de eerste keer na het opstarten geeft IE de melding dat de vorige sessie niet goed is afgesloten, daarna start IE normaal op.
Ook lukt het een programma als ATF-cleaner niet de 'history' van IE te wissen, het programma draait door maar er gebeurt niets.
Ik kan Firefox installeren, dan is mijn kennis ook van z'n problemen af, maar dat gebruik ik maar als uiterste redmiddel…
Jij nog een suggestie? - Ãls het goed is, staat TFC nog o het bureaublad!
Met administartorrechten dan nogmaals laten draaien! - Hoi goudpan, doe nu eerst het volgende:
sluit alle openstaande webvensters - behalve dit venster, dat je sluit voor het moment, dat je op de knop [b:24049b4c79]Fix checked[/b:24049b4c79] klikt!
Start nu HijackThis middels rechtsklik met Administratorrechten en klik op de knop [b:24049b4c79]Do a Scan only,
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)[/b:24049b4c79]
[list:24049b4c79][*:24049b4c79] zet een vinkje voor die regel(s) welke met de bovenstaande regels corresponderen
[*:24049b4c79] Sluit nu de webbrowser en vervolgens klik je daarna op de knop [b:24049b4c79]Fix checked[/b:24049b4c79]
[*:24049b4c79] Klik hierna HijackThis op uit.[/list:u:24049b4c79]
Internet Explorer:
probeer het volgende: klik in IE op de knop [u:24049b4c79]Extra[/u:24049b4c79] en kies [u:24049b4c79]Internetopties[/u:24049b4c79].
Klik dan op de tab [u:24049b4c79]Geavanceerd[/u:24049b4c79] en daar klik je op de knop [u:24049b4c79]Opnieuw instellen[/u:24049b4c79].
Er volgt eerst en waarschuwing en een overzicht van de gevolgen door de actie!
Daarbij wordt een uitgebreide schoonmaakactie uitgevoerd.
Ook worden ook invoegtoepassingen (zoals bijv. extra zoekbalken van derden) uitgeschakeld.
De favorieten blijven behouden.
Bevestig dan ook de waarschuwing door nogmaals op de knop [u:24049b4c79]Opnieuw instellen[/u:24049b4c79]te klikken.
Na deze actie is Internet Explorer bijna weer als nieuw.
Doe ook dit: een test, om te kijken hoe goed je huidige veiligheidssituatie is.
Download naar je bureaublad [b:24049b4c79][/b:24049b4c79].
[list:24049b4c79][*:24049b4c79] Klik/dubbelklik op [b:24049b4c79]SecurityCheck.exe[/b:24049b4c79] en let op de instrukties in het zwarte vesnter.
[*:24049b4c79] Een Kladblok document genaamd [b:24049b4c79]checkup.txt[/b:24049b4c79] dient automatisch open te gaan; sluit dit document via opslaan op het bureaublad.
[*:24049b4c79] Indien een van je veiligheidstools rapporteert, dat DIG.EXE het internet op wil, sta dit dan toe.[/list:u:24049b4c79]
Post de inhoud van [b:24049b4c79]checkup.txt [/b:24049b4c79]in je volgende post. - Internet Explorer weer op standaard gezet en vervolgens gevraagde logje gemaakt, hier komt ie:
Results of screen317's Security Check version 0.99.8
Windows 7 (UAC is enabled)
Internet Explorer 8
[b:2a413da8aa]``````````````````````````````
[u:2a413da8aa]Antivirus/Firewall Check:[/u:2a413da8aa][/b:2a413da8aa]
avast! Free Antivirus
[size=1:2a413da8aa]WMI entry may not exist for antivirus; attempting automatic update.[/size:2a413da8aa]
[b:2a413da8aa]```````````````````````````````
[u:2a413da8aa]Anti-malware/Other Utilities Check:[/u:2a413da8aa][/b:2a413da8aa]
Malwarebytes' Anti-Malware
Adobe Flash Player
Adobe Reader 9.4.1 - Nederlands - Hoi goudpan, het volgende: Adobe heeft al een poosje geleden Adobe Reader X uitgebracht.
Nu is onlangs ook de Nederlandse versie daarvan uitgebracht.
Wat is nu de betekenis van deze Reader?
Welnu - behalve een paar nieuwe\vernieuwde onderdelen is de grootste verbetering het feit, dat de Reader nu in een virtuele sandbox opstart.
Dus de Reader heeft een grote veiligheidsverbetering ondergaan.
Deaïnstalleer dus de oude versie en ga voor de nieuwe Adobe Reader X - Hoi Abraham, erg bedankt voor je deskundige hulp. De computer loopt in ieder geval weer een stuk beter.
Het enige probleem waar ik geen vinger achter kan krijgen, is dat IE bij de eerste start van de dag aangeeft dat de vorige sessie niet goed is afgesloten. - Hoi goudpan, dank jou voor het compliment.
Maar, dus wat ik schreef over IE als nieuw te maken, heeft dus niet het gewenste resultaat opgeleverd?
Probeer dan dit:
ga naar [b:4002c996f9]Start[/b:4002c996f9] en typ [in de zoekregel B]cmdB]; bovenaan het startmenu zie je nu de betreffende snelkoppeling.
Klik deze snelkoppeling met rechts aan en kies voor [b:4002c996f9]Als administrator uitvoeren[/b:4002c996f9].
In het zwarte venster typ je nu [b:4002c996f9]sfc /scannow[/b:4002c996f9] gevolgd door indrukken van de Entertoets.
Denk wel aan de spatie na 'sfc'.
In het zwarte venster zie nu de voortgang van de scan.
Is de scan klaar, typ je [b:4002c996f9]Exit[/b:4002c996f9] gevolgd door indrukken van de Entertoets.
SFC (SystemFileChecker) houdt in dat systeembestanden gecontroleerd worden op juist funktioneren, zonodig volgt reparatie.
Let goed op de laatste meldingen in het venster: indien aangegeven wordt, dat herstel afhankelijk is van opnieuw opstarten, doe dit dan. - Nee, idd, het weer nieuw maken van IE heeft niet het gewenste resultaat gehad.
Helaas werkt sfc ook niet, hij geeft dan de volgende foutmelding:
De aangevraagde bewerking kan niet worden uitgevoerd. - Hoi Goudpan - doe dan nu het volgende:
[b:5409578619]Welk programma[/b:5409578619]: RSIT
[b:5409578619]Waarvoor/waarom[/b:5409578619]: geeft een zeer uitgebreid overzicht van Windows
[b:5409578619]Moeilijkheidsgraad[/b:5409578619]: geen
[b:5409578619]Downloadlokatie[/b:5409578619]: Dit programma absoluut naar het bureaublad downloaden!
[b:5409578619]Download RSIT[/b:5409578619] [b:5409578619]hier[/b:5409578619]
[b:5409578619]Het gebruik van RSIT,[/b:5409578619]
[list:5409578619][*:5409578619]Windows 2000 en Windows XP: start RSIT middels dubbelklik op de snelkoppeling.
[*:5409578619]Windows Vista en Windows 7: start RSIT middels rechtsklik op de snelkoppeling en kies dan voor "Uitvoeren als administrator".[/list:u:5409578619]
[b:5409578619]Nadat de scan beëindigd is, zullen twee logs openen.[/b:5409578619]
[list:5409578619][*:5409578619] Post vervolgens de inhoud van 'log.txt' ('log.txt' zal gemaximaliseerd zijn)
[*:5409578619] Post ook 'info.txt' ('info.txt' zal eerst geminimaliseerd zijn in de Taakbalk)
[*:5409578619] Indien je [b:5409578619]info.txt[/b:5409578619] niet vindt, kijk dan in C:\ er naar.[/list:u:5409578619] - Hier de twee door jou gevraagde logs:
Logfile of random's system information tool 1.08 (written by random/random)
Run by gebruiker at 2011-01-17 09:27:51
Microsoft Windows 7 Home Premium
System drive C: has 462 GB (92%) free of 500 GB
Total RAM: 3574 MB (73% free)
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 9:27:59, on 17-1-2011
Platform: Windows 7 (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal
Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Alwil Software\Avast5\AvastUI.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Windows\system32\taskhost.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Users\gebruiker\Desktop\RSIT.exe
C:\Program Files\trend micro\gebruiker.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Preserve
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [avast5] "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 10.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O9 - Extra button: Verzenden naar OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: Verz&enden naar OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: Mobiel Apple apparaat (Apple Mobile Device) - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: Bonjour-service (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
–
End of file - 3522 bytes
======Scheduled tasks folder======
C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-2714516515-3284364112-1062224456-1000Core.job
C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-2714516515-3284364112-1062224456-1000UA.job
======Registry dump======
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2010-11-15 62376]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3049C3E9-B461-4BC5-8870-4C09146192CA}]
RealPlayer Download and Record Plugin for Internet Explorer - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll [2010-11-21 382720]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"=C:\Windows\system32\igfxtray.exe [2009-09-23 141848]
"HotKeysCmds"=C:\Windows\system32\hkcmd.exe [2009-09-23 173592]
"Persistence"=C:\Windows\system32\igfxpers.exe [2009-09-23 150552]
"avast5"=C:\Program Files\Alwil Software\Avast5\avastUI.exe [2010-12-31 3395600]
"Adobe Reader Speed Launcher"=C:\Program Files\Adobe\Reader 10.0\Reader\Reader_sl.exe [2010-11-15 35736]
"Adobe ARM"=C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2010-11-15 932288]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2010-11-15 932288]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe []
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
C:\Program Files\DivX\DivX Update\DivXUpdate.exe [2010-09-01 1164584]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
C:\Users\gebruiker\AppData\Local\Google\Update\GoogleUpdate.exe [2010-11-07 136176]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Malwarebytes' Anti-Malware (reboot)]
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe [2010-12-20 963976]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
C:\Program Files\QuickTime\QTTask.exe [2010-11-29 421888]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
c:\program files\real\realplayer\Update\realsched.exe [2010-11-21 274608]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Users^gebruiker^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OneNote 2007 Schermopname en Snel starten.lnk]
C:\PROGRA~1\MICROS~2\Office12\ONENOTEM.EXE [2009-02-26 97680]
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]
C:\Windows\system32\igfxdev.dll [2009-09-23 218112]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\Windows\system32\webcheck.dll [2009-07-14 229376]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"= []
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"=credssp.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\AFD]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"ConsentPromptBehaviorAdmin"=5
"ConsentPromptBehaviorUser"=3
"EnableUIADesktopToggle"=0
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDrives"=0
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDrives"=0
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
======File associations======
.js - edit - C:\Windows\System32\Notepad.exe %1
======List of files/folders created in the last 1 months======
2011-01-17 09:27:51 —-D—- C:\rsit
2011-01-17 09:27:51 —-D—- C:\Program Files\trend micro
2011-01-15 10:46:08 —-D—- C:\Program Files\Common Files\Adobe
2011-01-13 18:44:25 —-A—- C:\ComboFix.txt
2011-01-13 18:43:39 —-SHD—- C:\$RECYCLE.BIN
2011-01-13 18:37:06 —-D—- C:\Windows\ERDNT
2011-01-13 10:05:35 —-A—- C:\Windows\system32\drivers\mbamswissarmy.sys
2011-01-13 10:05:31 —-A—- C:\Windows\system32\drivers\mbam.sys
2011-01-12 16:10:54 —-D—- C:\Program Files\Hijackthis
2011-01-12 13:14:33 —-A—- C:\Windows\system32\drivers\aswSP.sys
2011-01-12 13:14:33 —-A—- C:\Windows\system32\drivers\aswFsBlk.sys
2011-01-12 13:14:31 —-A—- C:\Windows\system32\drivers\aswRdr.sys
2011-01-12 13:14:27 —-A—- C:\Windows\system32\drivers\aswTdi.sys
2011-01-12 13:14:21 —-A—- C:\Windows\system32\drivers\aswMonFlt.sys
2011-01-12 13:13:46 —-A—- C:\Windows\system32\aswBoot.exe
2011-01-12 13:13:45 —-D—- C:\ProgramData\Alwil Software
2011-01-12 13:13:45 —-D—- C:\Program Files\Alwil Software
2011-01-12 12:39:09 —-D—- C:\Users\gebruiker\AppData\Roaming\Auslogics
2011-01-12 12:39:05 —-D—- C:\Program Files\Auslogics
2011-01-12 12:37:13 —-D—- C:\Program Files\NT Registry Optimizer
2010-12-23 11:47:48 —-D—- C:\Windows\pss
2010-12-23 09:41:39 —-D—- C:\Users\gebruiker\AppData\Roaming\Malwarebytes
2010-12-23 09:41:28 —-D—- C:\ProgramData\Malwarebytes
2010-12-23 09:41:26 —-D—- C:\Program Files\Malwarebytes' Anti-Malware
======List of files/folders modified in the last 1 months======
2011-01-17 09:27:59 —-D—- C:\Windows\Temp
2011-01-17 09:27:51 —-RD—- C:\Program Files
2011-01-16 10:44:34 —-D—- C:\ProgramData
2011-01-16 10:44:32 —-D—- C:\Windows\Downloaded Program Files
2011-01-15 15:27:11 —-D—- C:\Windows\system32\config
2011-01-15 11:07:11 —-SHD—- C:\System Volume Information
2011-01-15 10:48:33 —-D—- C:\Windows
2011-01-15 10:46:24 —-SHD—- C:\Windows\Installer
2011-01-15 10:46:24 —-D—- C:\Config.Msi
2011-01-15 10:46:09 —-D—- C:\ProgramData\Adobe
2011-01-15 10:46:08 —-D—- C:\Program Files\Common Files
2011-01-15 10:46:08 —-D—- C:\Program Files\Adobe
2011-01-15 10:46:01 —-D—- C:\Windows\System32
2011-01-13 18:43:04 —-A—- C:\Windows\system.ini
2011-01-13 18:40:25 —-D—- C:\Windows\system32\drivers
2011-01-13 18:40:25 —-D—- C:\Windows\AppPatch
2011-01-13 10:09:55 —-D—- C:\Windows\Tasks
2011-01-13 09:57:11 —-D—- C:\Windows\system32\wfp
2011-01-13 09:57:11 —-D—- C:\Windows\system32\DriverStore
2011-01-13 09:57:11 —-D—- C:\Windows\system32\drivers\etc
2011-01-13 09:57:11 —-D—- C:\Windows\system32\catroot2
2011-01-13 09:57:10 —-D—- C:\Windows\system32\wbem
2011-01-13 09:57:10 —-D—- C:\Windows\system32\Tasks
2011-01-13 09:57:10 —-D—- C:\Windows\system32\NDF
2011-01-13 09:57:10 —-D—- C:\Windows\system32\CodeIntegrity
2011-01-13 09:57:08 —-D—- C:\Windows\registration
2011-01-12 15:47:04 —-D—- C:\Windows\tracing
2011-01-12 12:06:31 —-SD—- C:\Users\gebruiker\AppData\Roaming\Microsoft
2011-01-12 09:36:52 —-A—- C:\Windows\system32\MRT.exe
2011-01-11 20:45:22 —-D—- C:\Users\gebruiker\AppData\Roaming\vlc
2011-01-08 21:48:35 —-D—- C:\Windows\Prefetch
2011-01-03 10:54:06 —-D—- C:\Program Files\Xvid
2010-12-28 16:47:10 —-D—- C:\Program Files\Microsoft Silverlight
2010-12-23 09:48:05 —-D—- C:\Windows\Branding
======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
R0 rdyboost;ReadyBoost; C:\Windows\System32\drivers\rdyboost.sys [2009-07-14 173648]
R1 aswRdr;aswRdr; C:\Windows\system32\drivers\aswRdr.sys [2010-12-31 23632]
R1 aswSP;aswSP; C:\Windows\system32\drivers\aswSP.sys [2010-12-31 293968]
R1 aswTdi;avast! Network Shield Support; C:\Windows\system32\drivers\aswTdi.sys [2010-12-31 47440]
R2 aswFsBlk;aswFsBlk; C:\Windows\system32\drivers\aswFsBlk.sys [2010-12-31 17744]
R2 aswMonFlt;aswMonFlt; \??\C:\Windows\system32\drivers\aswMonFlt.sys [2010-12-31 51280]
R3 igfx;igfx; C:\Windows\system32\DRIVERS\igdkmd32.sys [2009-09-23 4808192]
R3 MTsensor;ATK0110 ACPI UTILITY; C:\Windows\system32\DRIVERS\ASACPI.sys [2004-08-13 5810]
R3 RTL8167;Realtek 8167 NT Driver; C:\Windows\system32\DRIVERS\Rt86win7.sys [2009-03-01 139776]
R3 RTL8187B;Realtek RTL8187B 802.11b/g 54 Mbps draadloze USB 2.0-netwerkadapter; C:\Windows\system32\DRIVERS\RTL8187B.sys [2009-07-13 347136]
S2 Parvdm;Parvdm; C:\Windows\system32\DRIVERS\parvdm.sys [2009-07-14 8704]
S3 aic78xx;aic78xx; C:\Windows\system32\DRIVERS\djsvs.sys [2009-07-14 70720]
S3 amdagp;AMD AGP Bus Filter Driver; C:\Windows\system32\DRIVERS\amdagp.sys [2009-07-14 53312]
S3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0; C:\Windows\system32\DRIVERS\b57nd60x.sys [2009-07-13 229888]
S3 catchme;catchme; \??\C:\Users\GEBRUI~1\AppData\Local\Temp\catchme.sys []
S3 Dot4;MS IEEE-1284.4 Driver; C:\Windows\system32\DRIVERS\Dot4.sys [2009-07-14 131072]
S3 Dot4Print;Print Class Driver for IEEE-1284.4; C:\Windows\system32\DRIVERS\Dot4Prt.sys [2009-07-14 16384]
S3 dot4usb;MS Dot4USB Filter Dot4USB Filter; C:\Windows\system32\DRIVERS\dot4usb.sys [2009-07-14 36864]
S3 pciide;pciide; C:\Windows\system32\DRIVERS\pciide.sys [2009-07-14 12368]
S3 sisagp;SIS AGP Bus Filter; C:\Windows\system32\DRIVERS\sisagp.sys [2009-07-14 52304]
S3 USBAAPL;Apple Mobile USB Driver; C:\Windows\System32\Drivers\usbaapl.sys [2009-10-16 41472]
S3 viaagp;VIA AGP Bus Filter; C:\Windows\system32\DRIVERS\viaagp.sys [2009-07-14 53328]
S3 ViaC7;VIA C7 Processor Driver; C:\Windows\system32\DRIVERS\viac7.sys [2009-07-14 52736]
S3 WinUsb;WinUsb; C:\Windows\system32\DRIVERS\WinUsb.sys [2009-07-14 34944]
======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
R2 Apple Mobile Device;Mobiel Apple apparaat; C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe [2010-03-19 144672]
R2 avast! Antivirus;avast! Antivirus; C:\Program Files\Alwil Software\Avast5\AvastSvc.exe [2010-12-31 40384]
R2 Bonjour Service;Bonjour-service; C:\Program Files\Bonjour\mDNSResponder.exe [2010-02-12 345376]
R2 hpqddsvc;HP CUE DeviceDiscovery-service; C:\Windows\system32\svchost.exe [2009-07-14 20992]
R2 HPSLPSVC;HP Network Devices Support; C:\Windows\system32\svchost.exe [2009-07-14 20992]
R2 Net Driver HPZ12;Net Driver HPZ12; C:\Windows\System32\svchost.exe [2009-07-14 20992]
R2 Pml Driver HPZ12;Pml Driver HPZ12; C:\Windows\System32\svchost.exe [2009-07-14 20992]
R3 hpqcxs08;hpqcxs08; C:\Windows\system32\svchost.exe [2009-07-14 20992]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86; C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
S3 gusvc;Google Updater Service; C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe [2010-06-11 136120]
S3 odserv;Microsoft Office Diagnostics Service; C:\Program Files\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE [2008-11-04 441712]
S3 ose;Office Source Engine; C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184]
S3 WatAdminSvc;@%SystemRoot%\system32\Wat\WatUX.exe,-601; C:\Windows\system32\Wat\WatAdminSvc.exe [2010-06-02 1343400]
—————–EOF—————–
info.txt logfile of random's system information tool 1.08 2011-01-17 09:28:01
======Uninstall list======
–>C:\ProgramData\DivX\DivX7\DivX Converter\DivXConverterUninstall.exe /CONVERTER
32 Bit HP CIO Components Installer–>MsiExec.exe /I{92127AF5-FDD8-4ADF-BC40-C356C9EE0B7D}
Aangifte inkomstenbelasting 2009–>C:\Program Files\Belastingdienst\Aangifte inkomstenbelasting\2009\ib2009u.exe
Adobe Flash Player 10 ActiveX–>C:\Windows\system32\Macromed\Flash\FlashUtil10l_ActiveX.exe -maintain activex
Adobe Reader X - Nederlands–>MsiExec.exe /I{AC76BA86-7AD7-1043-7B44-AA0000000001}
Apple Application Support–>MsiExec.exe /I{EE6097DD-05F4-4178-9719-D3170BF098E8}
Apple Mobile Device Support–>MsiExec.exe /I{B5C3B892-0849-476C-9F46-B12F84819D57}
Apple Software Update–>MsiExec.exe /I{C41300B9-185D-475E-BFEC-39EF732F19B1}
avast! Free Antivirus–>C:\Program Files\Alwil Software\Avast5\aswRunDll.exe "C:\Program Files\Alwil Software\Avast5\Setup\setiface.dll" RunSetup
BitLord 1.1–>C:\Program Files\BitLord\uninst.exe
Bonjour–>MsiExec.exe /X{76BC2442-0002-47FA-9617-43BAD82BEF4C}
DivX Converter–>C:\ProgramData\DivX\DivX7\DivX Converter\DivXConverterUninstall.exe /CONVERTER
DivX Plus DirectShow Filters–>C:\ProgramData\DivX\DivX7\DivX Plus DirectShow Filters\DivXDSFiltersUninstall.exe /DSFILTERS
DivX Setup–>C:\ProgramData\DivX\Setup\DivXSetup.exe /uninstall /bundleGroupId divx.com
HP Customer Participation Program 13.0–>C:\Program Files\HP\Digital Imaging\ExtCapUninstall\hpzscr01.exe -datfile hpqhsc01.dat -forcereboot
HP Imaging Device Functions 13.0–>C:\Program Files\HP\Digital Imaging\DeviceManagement\hpzscr01.exe -datfile hpqbud01.dat
HP Officejet Pro 8000 A809 Series–>C:\Program Files\HP\Digital Imaging\{7B69FE75-3AF9-4714-89EE-D3F64CB08F90}\setup\hpzscr01.exe -datfile hpwscr21.dat -onestop -forcereboot
Huur- en zorgtoeslag 2010–>C:\Users\gebruiker\Documents\2010\hz2010u.exe
Intel(R) Graphics Media Accelerator Driver–>C:\Windows\system32\igxpun.exe -uninstall
Intel(R) TV Wizard–>C:\Windows\system32\TVWizudlg.exe -uninstall
Junk Mail filter update–>MsiExec.exe /I{E2DFE069-083E-4631-9B6C-43C48E991DE5}
Malwarebytes' Anti-Malware–>"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Maple 13–>"C:\Program Files\Maple 13\Uninstall_Maple 13\Uninstall Maple 13.exe"
Microsoft .NET Framework 4 Client Profile NLD Language Pack–>MsiExec.exe /X{2617FA1F-0C04-3ABB-AF64-7D5B6620C341}
Microsoft .NET Framework 4 Client Profile–>C:\Windows\Microsoft.NET\Framework\v4.0.30319\SetupCache\Client\Setup.exe /repair /x86 /parameterfolder Client
Microsoft .NET Framework 4 Client Profile–>MsiExec.exe /X{3C3901C5-3455-3E0A-A214-0B093A5070A6}
Microsoft Choice Guard–>MsiExec.exe /X{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}
Microsoft Office 2007 Service Pack 2 (SP2)–>msiexec /package {90120000-0016-0413-0000-0000000FF1CE} /uninstall {DC387AA5-94A6-4920-B004-D59846526D81}
Microsoft Office 2007 Service Pack 2 (SP2)–>msiexec /package {90120000-0018-0413-0000-0000000FF1CE} /uninstall {DC387AA5-94A6-4920-B004-D59846526D81}
Microsoft Office 2007 Service Pack 2 (SP2)–>msiexec /package {90120000-001B-0413-0000-0000000FF1CE} /uninstall {DC387AA5-94A6-4920-B004-D59846526D81}
Microsoft Office 2007 Service Pack 2 (SP2)–>msiexec /package {90120000-006E-0413-0000-0000000FF1CE} /uninstall {89C8E56A-90D8-4598-B0E6-EB28F6270E07}
Microsoft Office 2007 Service Pack 2 (SP2)–>msiexec /package {90120000-00A1-0413-0000-0000000FF1CE} /uninstall {DC387AA5-94A6-4920-B004-D59846526D81}
Microsoft Office 2007 Service Pack 2 (SP2)–>msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {0B36C6D6-F5D8-4EAF-BF94-4376A230AD5B}
Microsoft Office Excel MUI (Dutch) 2007–>MsiExec.exe /X{90120000-0016-0413-0000-0000000FF1CE}
Microsoft Office Home and Student 2007–>"C:\Program Files\Common Files\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall HOMESTUDENTR /dll OSETUP.DLL
Microsoft Office Home and Student 2007–>MsiExec.exe /X{91120000-002F-0000-0000-0000000FF1CE}
Microsoft Office OneNote MUI (Dutch) 2007–>MsiExec.exe /X{90120000-00A1-0413-0000-0000000FF1CE}
Microsoft Office PowerPoint MUI (Dutch) 2007–>MsiExec.exe /X{90120000-0018-0413-0000-0000000FF1CE}
Microsoft Office Proof (Dutch) 2007–>MsiExec.exe /X{90120000-001F-0413-0000-0000000FF1CE}
Microsoft Office Proof (English) 2007–>MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (French) 2007–>MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
Microsoft Office Proof (German) 2007–>MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
Microsoft Office Proofing (Dutch) 2007–>MsiExec.exe /X{90120000-002C-0413-0000-0000000FF1CE}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)–>msiexec /package {90120000-001F-0407-0000-0000000FF1CE} /uninstall {A0516415-ED61-419A-981D-93596DA74165}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)–>msiexec /package {90120000-001F-0409-0000-0000000FF1CE} /uninstall {ABDDE972-355B-4AF1-89A8-DA50B7B5C045}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)–>msiexec /package {90120000-001F-040C-0000-0000000FF1CE} /uninstall {F580DDD5-8D37-4998-968E-EBB76BB86787}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)–>msiexec /package {90120000-001F-0413-0000-0000000FF1CE} /uninstall {D66D5A44-E480-4BA4-B4F2-C554F6B30EBB}
Microsoft Office Shared MUI (Dutch) 2007–>MsiExec.exe /X{90120000-006E-0413-0000-0000000FF1CE}
Microsoft Office Word MUI (Dutch) 2007–>MsiExec.exe /X{90120000-001B-0413-0000-0000000FF1CE}
Microsoft Silverlight–>MsiExec.exe /X{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}
Microsoft Visual C++ 2005 Redistributable–>MsiExec.exe /X{837b34e3-7c30-493c-8f6a-2b0f04e2912c}
MSVCRT–>MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
myPrintMileage (Officejet Pro 8000 A809)–>MsiExec.exe /X{B10A30CF-CCFF-4056-9ABC-F8D42BDF141F}
NTREGOPT 1.1j–>"C:\Program Files\NT Registry Optimizer\unins000.exe"
OGA Notifier 2.0.0048.0–>MsiExec.exe /I{B2544A03-10D0-4E5E-BA69-0362FFC20D18}
Picasa 3–>"C:\Program Files\Google\Picasa3\Uninstall.exe"
QuickTime–>MsiExec.exe /I{57752979-A1C9-4C02-856B-FBB27AC4E02C}
RealPlayer–>c:\program files\real\realplayer\Update\r1puninst.exe RealNetworks|RealPlayer|12.0
RealUpgrade 1.1–>MsiExec.exe /I{28C2DED6-325B-4CC7-983A-1777C8F7FBAB}
Security Update for 2007 Microsoft Office System (KB2288621)–>msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {5C497F0B-2061-4CC9-A61C-6B45B867354D}
Security Update for 2007 Microsoft Office System (KB2288931)–>msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {CD769337-C8AC-46DB-A7DC-643E50089263}
Security Update for 2007 Microsoft Office System (KB2289158)–>msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {210B16C0-CEBD-4DE9-B474-04A7E8735E16}
Security Update for 2007 Microsoft Office System (KB2344875)–>msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {6FC5C4C1-D7AE-44C3-94B7-6424FC3E752F}
Security Update for 2007 Microsoft Office System (KB2345043)–>msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {536FB502-775F-4494-BACE-C02CC90B7A5B}
Security Update for 2007 Microsoft Office System (KB969559)–>msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {69F52148-9BF6-4CDC-BF76-103DEAF3DD08}
Security Update for 2007 Microsoft Office System (KB976321)–>msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {7F207DCA-3399-40CB-A968-6E5991B1421A}
Security Update for Microsoft Office Excel 2007 (KB2345035)–>msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {B23002DD-34EC-4988-B810-A5E2A0BF04F1}
Security Update for Microsoft Office InfoPath 2007 (KB979441)–>msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {8CCB781A-CF6B-4FCB-B6D8-59C64DF5C6DB}
Security Update for Microsoft Office PowerPoint 2007 (KB982158)–>msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {F5B70033-E79C-4569-90BF-BC9B4E4F3F46}
Security Update for Microsoft Office PowerPoint Viewer (KB2413381)–>msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {3DED0A62-44C8-4E00-A785-5212F297A9D9}
Security Update for Microsoft Office system 2007 (972581)–>msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {3D019598-7B59-447A-80AE-815B703B84FF}
Security Update for Microsoft Office system 2007 (KB974234)–>msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {FCD742B9-7A55-44BC-A776-F795F21FEDDC}
Security Update for Microsoft Office Visio Viewer 2007 (KB973709)–>msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {71127777-8B2C-4F97-AF7A-6CF8CAC8224D}
Security Update for Microsoft Office Word 2007 (KB2344993)–>msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {7A5B74FA-7A92-4FC9-821A-2DD5D4E73E48}
SimBoePro–>C:\Program Files\SimBoePro\Uninstal.exe
Spelling Dictionaries Support For Adobe Reader 9–>MsiExec.exe /I{AC76BA86-7AD7-5464-3428-900000000004}
Taalpakket voor Microsoft .NET Framework 4 Client Profile - NLD–>C:\Windows\Microsoft.NET\Framework\v4.0.30319\SetupCache\ClientLP\Setup.exe /repair /x86 /lcid 1043 /parameterfolder ClientLP
Update for 2007 Microsoft Office System (KB967642)–>msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {C444285D-5E4F-48A4-91DD-47AAAA68E92D}
Update for Microsoft Office OneNote 2007 (KB980729)–>msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {329050A9-EF80-40F9-B633-74508F54C1FF}
Update voor Microsoft Office Excel 2007 Help (KB963678)–>msiexec /package {90120000-0016-0413-0000-0000000FF1CE} /uninstall {5CF7002F-6F49-4482-9564-5614FBE560FA}
Update voor Microsoft Office Powerpoint 2007 Help (KB963669)–>msiexec /package {90120000-0018-0413-0000-0000000FF1CE} /uninstall {15D84E79-1ED7-42C5-B2FD-745C3FBDDDC5}
Update voor Microsoft Office Word 2007 Help (KB963665)–>msiexec /package {90120000-001B-0413-0000-0000000FF1CE} /uninstall {A66AE6A1-8D8C-4102-BC18-38CBDE40F809}
VC80CRTRedist - 8.0.50727.4053–>MsiExec.exe /I{5EE7D259-D137-4438-9A5F-42F432EC0421}
VLC media player 1.1.4–>C:\Program Files\VideoLAN\VLC\uninstall.exe
Windows Live - Hulpprogramma voor uploaden–>MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
Windows Live Call–>MsiExec.exe /I{2A8F82E8-7B86-4AFD-BFBC-2BA4C2CF52DB}
Windows Live Communications Platform–>MsiExec.exe /I{ED00D08A-3C5F-488D-93A0-A04F21F23956}
Windows Live Essentials–>C:\Program Files\Windows Live\Installer\wlarp.exe
Windows Live Essentials–>MsiExec.exe /I{562B9CA4-6E52-4F87-ACEC-912FC004F1F0}
Windows Live Mail–>MsiExec.exe /I{2869F5EA-93C3-48E5-80DF-DB696BC84A91}
Windows Live Messenger–>MsiExec.exe /X{10F5387D-1728-423A-A578-B00982CF2646}
Xvid 1.2.1 final uninstall–>"C:\Program Files\Xvid\unins000.exe"
======System event log======
Computer Name: gebruiker-PC
Event Code: 7036
Message: De Microsoft .NET Framework NGEN v4.0.30319_X86-service heeft nu de status wordt uitgevoerd.
Record Number: 115970
Source Name: Service Control Manager
Time Written: 20101017183407.162267-000
Event Type: Informatie
User:
Computer Name: gebruiker-PC
Event Code: 7036
Message: De SSDP Discovery-service heeft nu de status wordt uitgevoerd.
Record Number: 115969
Source Name: Service Control Manager
Time Written: 20101017183209.830859-000
Event Type: Informatie
User:
Computer Name: gebruiker-PC
Event Code: 7036
Message: De Windows Media Player Network Sharing Service-service heeft nu de status wordt uitgevoerd.
Record Number: 115968
Source Name: Service Control Manager
Time Written: 20101017183208.930858-000
Event Type: Informatie
User:
Computer Name: gebruiker-PC
Event Code: 7036
Message: De Network Connections-service heeft nu de status wordt uitgevoerd.
Record Number: 115967
Source Name: Service Control Manager
Time Written: 20101017183208.800858-000
Event Type: Informatie
User:
Computer Name: gebruiker-PC
Event Code: 7036
Message: De HP Network Devices Support-service heeft nu de status wordt uitgevoerd.
Record Number: 115966
Source Name: Service Control Manager
Time Written: 20101017183208.200857-000
Event Type: Informatie
User:
=====Application event log=====
Computer Name: gebruiker-PC
Event Code: 1001
Message: Foutbucket 1218414008, type 5
Naam van gebeurtenis: WindowsWcpOtherFailure3
Antwoord: Niet beschikbaar
Id van CAB-bestand: 0
Handtekening van probleem:
P1: 6.1.7600
P2: base\wcp\sil\merged\ntu\ntsystem.cpp
P3: Windows::Rtl::SystemImplementation:irectRegistryProvider::SysOpenKey
P4: 3676
P5: c0000034
P6: 0xf781db3c
P7:
P8:
P9:
P10:
Bijgevoegde bestanden:
Deze bestanden zijn mogelijk hier beschikbaar:
C:\ProgramData\Microsoft\Windows\WER\ReportArchive\Critical_6.1.7600_b9284a3fe3f8b2a616aff9e3f51acb727349bbd_0e8fa6d9
Analysesymbool:
Opnieuw zoeken naar oplossing: 0nRapport-id: a026cef2-1fc2-11e0-b29c-002618e0d11a
Rapportstatus: 0
Record Number: 935223
Source Name: Windows Error Reporting
Time Written: 20110114094247.000000-000
Event Type: Informatie
User:
Computer Name: gebruiker-PC
Event Code: 1001
Message: Foutbucket , type 0
Naam van gebeurtenis: WindowsWcpOtherFailure3
Antwoord: Niet beschikbaar
Id van CAB-bestand: 0
Handtekening van probleem:
P1: 6.1.7600
P2: base\wcp\sil\merged\ntu\ntsystem.cpp
P3: Windows::Rtl::SystemImplementation:irectRegistryProvider::SysOpenKey
P4: 3676
P5: c0000034
P6: 0xa3264c81
P7:
P8:
P9:
P10:
Bijgevoegde bestanden:
C:\Windows\Logs\CBS\CbsPersist_20101223105004.cab
C:\Windows\Logs\CBS\CbsPersist_20110101225137.cab
C:\Windows\Logs\CBS\CbsPersist_20110105221840.cab
C:\Windows\Logs\CBS\CbsPersist_20110109190958.cab
C:\Windows\Logs\CBS\CbsPersist_20110113173047.cab
C:\Windows\Logs\CBS\CBS.log
C:\Windows\servicing\Sessions\Sessions.xml
C:\Windows\winsxs\poqexec.log
C:\Windows\System32\LogFiles\Scm\SCM.EVM
C:\Windows\Logs\CBS\FilterList.log
Deze bestanden zijn mogelijk hier beschikbaar:
Analysesymbool:
Opnieuw zoeken naar oplossing: 0nRapport-id: a026cefd-1fc2-11e0-b29c-002618e0d11a
Rapportstatus: 0
Record Number: 935222
Source Name: Windows Error Reporting
Time Written: 20110114094247.000000-000
Event Type: Informatie
User:
Computer Name: gebruiker-PC
Event Code: 1001
Message: Foutbucket , type 0
Naam van gebeurtenis: WindowsWcpOtherFailure3
Antwoord: Niet beschikbaar
Id van CAB-bestand: 0
Handtekening van probleem:
P1: 6.1.7600
P2: base\wcp\sil\merged\ntu\ntsystem.cpp
P3: Windows::Rtl::SystemImplementation:irectRegistryProvider::SysOpenKey
P4: 3676
P5: c0000034
P6: 0xa3264c81
P7:
P8:
P9:
P10:
Bijgevoegde bestanden:
Deze bestanden zijn mogelijk hier beschikbaar:
C:\ProgramData\Microsoft\Windows\WER\ReportQueue\Critical_6.1.7600_5aaf9b9fa7c9b0654b9dcd990f3bcc4dcc3e019_143ba63d
Analysesymbool:
Opnieuw zoeken naar oplossing: 0nRapport-id: a026cefd-1fc2-11e0-b29c-002618e0d11a
Rapportstatus: 4
Record Number: 935221
Source Name: Windows Error Reporting
Time Written: 20110114094247.000000-000
Event Type: Informatie
User:
Computer Name: gebruiker-PC
Event Code: 1001
Message: Foutbucket 1218414012, type 5
Naam van gebeurtenis: WindowsWcpOtherFailure3
Antwoord: Niet beschikbaar
Id van CAB-bestand: 0
Handtekening van probleem:
P1: 6.1.7600
P2: base\wcp\sil\merged\ntu\ntsystem.cpp
P3: Windows::Rtl::SystemImplementation:irectRegistryProvider::SysOpenKey
P4: 3676
P5: c0000034
P6: 0xa3264c81
P7:
P8:
P9:
P10:
Bijgevoegde bestanden:
Deze bestanden zijn mogelijk hier beschikbaar:
C:\ProgramData\Microsoft\Windows\WER\ReportArchive\Critical_6.1.7600_5aaf9b9fa7c9b0654b9dcd990f3bcc4dcc3e019_17eba60e
Analysesymbool:
Opnieuw zoeken naar oplossing: 0nRapport-id: a026cef1-1fc2-11e0-b29c-002618e0d11a
Rapportstatus: 0
Record Number: 935220
Source Name: Windows Error Reporting
Time Written: 20110114094247.000000-000
Event Type: Informatie
User:
Computer Name: gebruiker-PC
Event Code: 1001
Message: Foutbucket , type 0
Naam van gebeurtenis: WindowsWcpOtherFailure3
Antwoord: Niet beschikbaar
Id van CAB-bestand: 0
Handtekening van probleem:
P1: 6.1.7600
P2: base\wcp\sil\merged\ntu\ntsystem.cpp
P3: Windows::Rtl::SystemImplementation:irectRegistryProvider::SysOpenKey
P4: 3676
P5: c0000034
P6: 0xf781db3c
P7:
P8:
P9:
P10:
Bijgevoegde bestanden:
C:\Windows\Logs\CBS\CbsPersist_20101223105004.cab
C:\Windows\Logs\CBS\CbsPersist_20110101225137.cab
C:\Windows\Logs\CBS\CbsPersist_20110105221840.cab
C:\Windows\Logs\CBS\CbsPersist_20110109190958.cab
C:\Windows\Logs\CBS\CbsPersist_20110113173047.cab
C:\Windows\Logs\CBS\CBS.log
C:\Windows\servicing\Sessions\Sessions.xml
C:\Windows\winsxs\poqexec.log
C:\Windows\System32\LogFiles\Scm\SCM.EVM
C:\Windows\Logs\CBS\FilterList.log
Deze bestanden zijn mogelijk hier beschikbaar:
Analysesymbool:
Opnieuw zoeken naar oplossing: 0nRapport-id: a026cefc-1fc2-11e0-b29c-002618e0d11a
Rapportstatus: 0
Record Number: 935219
Source Name: Windows Error Reporting
Time Written: 20110114094247.000000-000
Event Type: Informatie
User:
=====Security event log=====
Computer Name: gebruiker-PC
Event Code: 4624
Message: Er is een account aangemeld.
Onderwerp:
Beveiligings-id: S-1-5-18
Accountnaam: GEBRUIKER-PC$
Accountdomein: WORKGROUP
Aanmeldings-id: 0x3e7
Aanmeldingstype: 5
Nieuwe aanmelding:
Beveiligings-id: S-1-5-18
Accountnaam: SYSTEM
Accountdomein: NT AUTHORITY
Aanmeldings-id: 0x3e7
Aanmeldings-GUID: {00000000-0000-0000-0000-000000000000}
Procesgegevens:
Proces-id: 0x28c
Naam proces: C:\Windows\System32\services.exe
Netwerkgegevens:
Naam van werkstation:
Netwerkadres van bron: -
Poort van bron: -
Gedetailleerde verificatiegegevens:
Aanmeldingsproces: Advapi
Verificatiepakket: Negotiate
Doorgezette services: -
Pakketnaam (alleen NTLM): -
Sleutellengte: 0
Deze gebeurtenis wordt gegenereerd wanneer een aanmeldingssessie wordt gemaakt. De gebeurtenis wordt gegenereerd op de computer waartoe toegang wordt verkregen.
De velden Onderwerp bevatten de account op het lokale systeem waardoor de aanmelding is aangevraagd. Dit is meestal een service zoals de Server-service, of een lokaal proces zoals Winlogon.exe of Services.exe.
In het veld Aanmeldingstype ziet u het type aanmelding. De meest algemene typen zijn 2 (interactief) en 3 (netwerk).
Het veld Nieuwe aanmelding bevat de account waarvoor de nieuwe aanmelding is gemaakt. Dit is de account waarmee is aangemeld.
In de netwerkvelden ziet u de bron van een externe aanmeldingsaanvraag. Naam van werkstation is niet altijd beschikbaar en kan in sommige gevallen leeg zijn.
De velden met verificatiegegevens bevatten gedetailleerde informatie over deze aanmeldingsaanvraag.
- Aanmeldings-GUID is een unieke id die kan worden gebruikt om deze gebeurtenis af te stemmen met een KDC-gebeurtenis.
- In Doorgezette services ziet u welke tussentijdse services voor deze aanmeldingsaanvraag zijn gebruikt.
- Pakketnaam geeft aan welk subprotocol van de NTLM-protocollen is gebruikt.
- Sleutellengte geeft de lengte van de gegenereerde sessiesleutel aan. Dit veld is 0 als er geen sessiesleutel is aangevraagd.
Record Number: 12915
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20100429180950.059265-000
Event Type: Controle geslaagd
User:
Computer Name: gebruiker-PC
Event Code: 4672
Message: Speciale bevoegdheden toegewezen aan nieuwe aanmelding.
Onderwerp:
Beveiligings-id: S-1-5-18
Accountnaam: SYSTEM
Accountdomein: NT AUTHORITY
Aanmeldings-id: 0x3e7
Bevoegdheden: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
Record Number: 12914
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20100429180943.044853-000
Event Type: Controle geslaagd
User:
Computer Name: gebruiker-PC
Event Code: 4624
Message: Er is een account aangemeld.
Onderwerp:
Beveiligings-id: S-1-5-18
Accountnaam: GEBRUIKER-PC$
Accountdomein: WORKGROUP
Aanmeldings-id: 0x3e7
Aanmeldingstype: 5
Nieuwe aanmelding:
Beveiligings-id: S-1-5-18
Accountnaam: SYSTEM
Accountdomein: NT AUTHORITY
Aanmeldings-id: 0x3e7
Aanmeldings-GUID: {00000000-0000-0000-0000-000000000000}
Procesgegevens:
Proces-id: 0x28c
Naam proces: C:\Windows\System32\services.exe
Netwerkgegevens:
Naam van werkstation:
Netwerkadres van bron: -
Poort van bron: -
Gedetailleerde verificatiegegevens:
Aanmeldingsproces: Advapi
Verificatiepakket: Negotiate
Doorgezette services: -
Pakketnaam (alleen NTLM): -
Sleutellengte: 0
Deze gebeurtenis wordt gegenereerd wanneer een aanmeldingssessie wordt gemaakt. De gebeurtenis wordt gegenereerd op de computer waartoe toegang wordt verkregen.
De velden Onderwerp bevatten de account op het lokale systeem waardoor de aanmelding is aangevraagd. Dit is meestal een service zoals de Server-service, of een lokaal proces zoals Winlogon.exe of Services.exe.
In het veld Aanmeldingstype ziet u het type aanmelding. De meest algemene typen zijn 2 (interactief) en 3 (netwerk).
Het veld Nieuwe aanmelding bevat de account waarvoor de nieuwe aanmelding is gemaakt. Dit is de account waarmee is aangemeld.
In de netwerkvelden ziet u de bron van een externe aanmeldingsaanvraag. Naam van werkstation is niet altijd beschikbaar en kan in sommige gevallen leeg zijn.
De velden met verificatiegegevens bevatten gedetailleerde informatie over deze aanmeldingsaanvraag.
- Aanmeldings-GUID is een unieke id die kan worden gebruikt om deze gebeurtenis af te stemmen met een KDC-gebeurtenis.
- In Doorgezette services ziet u welke tussentijdse services voor deze aanmeldingsaanvraag zijn gebruikt.
- Pakketnaam geeft aan welk subprotocol van de NTLM-protocollen is gebruikt.
- Sleutellengte geeft de lengte van de gegenereerde sessiesleutel aan. Dit veld is 0 als er geen sessiesleutel is aangevraagd.
Record Number: 12913
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20100429180943.044853-000
Event Type: Controle geslaagd
User:
Computer Name: gebruiker-PC
Event Code: 4624
Message: Er is een account aangemeld.
Onderwerp:
Beveiligings-id: S-1-0-0
Accountnaam: -
Accountdomein: -
Aanmeldings-id: 0x0
Aanmeldingstype: 3
Nieuwe aanmelding:
Beveiligings-id: S-1-5-7
Accountnaam: ANONIEME LOGON
Accountdomein: NT AUTHORITY
Aanmeldings-id: 0x1b38a
Aanmeldings-GUID: {00000000-0000-0000-0000-000000000000}
Procesgegevens:
Proces-id: 0x0
Naam proces: -
Netwerkgegevens:
Naam van werkstation:
Netwerkadres van bron: -
Poort van bron: -
Gedetailleerde verificatiegegevens:
Aanmeldingsproces: NtLmSsp
Verificatiepakket: NTLM
Doorgezette services: -
Pakketnaam (alleen NTLM): NTLM V1
Sleutellengte: 0
Deze gebeurtenis wordt gegenereerd wanneer een aanmeldingssessie wordt gemaakt. De gebeurtenis wordt gegenereerd op de computer waartoe toegang wordt verkregen.
De velden Onderwerp bevatten de account op het lokale systeem waardoor de aanmelding is aangevraagd. Dit is meestal een service zoals de Server-service, of een lokaal proces zoals Winlogon.exe of Services.exe.
In het veld Aanmeldingstype ziet u het type aanmelding. De meest algemene typen zijn 2 (interactief) en 3 (netwerk).
Het veld Nieuwe aanmelding bevat de account waarvoor de nieuwe aanmelding is gemaakt. Dit is de account waarmee is aangemeld.
In de netwerkvelden ziet u de bron van een externe aanmeldingsaanvraag. Naam van werkstation is niet altijd beschikbaar en kan in sommige gevallen leeg zijn.
De velden met verificatiegegevens bevatten gedetailleerde informatie over deze aanmeldingsaanvraag.
- Aanmeldings-GUID is een unieke id die kan worden gebruikt om deze gebeurtenis af te stemmen met een KDC-gebeurtenis.
- In Doorgezette services ziet u welke tussentijdse services voor deze aanmeldingsaanvraag zijn gebruikt.
- Pakketnaam geeft aan welk subprotocol van de NTLM-protocollen is gebruikt.
- Sleutellengte geeft de lengte van de gegenereerde sessiesleutel aan. Dit veld is 0 als er geen sessiesleutel is aangevraagd.
Record Number: 12912
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20100429180938.255645-000
Event Type: Controle geslaagd
User:
Computer Name: gebruiker-PC
Event Code: 4672
Message: Speciale bevoegdheden toegewezen aan nieuwe aanmelding.
Onderwerp:
Beveiligings-id: S-1-5-21-2714516515-3284364112-1062224456-1000
Accountnaam: gebruiker
Accountdomein: gebruiker-PC
Aanmeldings-id: 0x15fc0
Bevoegdheden: SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
Record Number: 12911
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20100429180934.137238-000
Event Type: Controle geslaagd
User:
======Environment variables======
"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\system32\wbem;C:\watcom-1.3\binnt;C:\watcom-1.3\binw;%SYSTEMROOT%\System32\WindowsPowerShell\v1.0;C:\Program Files\Common Files\DivX Shared;C:\Program Files\QuickTime\QTSystem
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PSModulePath"=%SystemRoot%\system32\WindowsPowerShell\v1.0\Modules\
"NUMBER_OF_PROCESSORS"=4
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 23 Stepping 10, GenuineIntel
"PROCESSOR_REVISION"=170a
"asl.log"=Destination=file;OnFirstLog=command,environment
"KMP_DUPLICATE_LIB_OK"=TRUE
"WATCOM"=C:\watcom-1.3
"CLASSPATH"=.;C:\Program Files\QuickTime\QTSystem\QTJava.zip
"QTJAVA"=C:\Program Files\QuickTime\QTSystem\QTJava.zip
—————–EOF—————– - TFC nu wel als administator gedraaid, helaas zonder positief resultaat voor IE…
- Hoi Goudpan, wat Windows betreft is er geen malware te bespeuren, maar dat de analyse van het opstarten vier aanmeldingen vermeld, vind ik verdacht!
[b:75d66a6c15]Welk programma[/b:75d66a6c15]: Kaspersky [b:75d66a6c15]TDSSKiller[/b:75d66a6c15]
[b:75d66a6c15]Waarvoor/waarom[/b:75d66a6c15]: Rootkitscanner
[b:75d66a6c15]Moeilijkheidsgraad[/b:75d66a6c15]: geen
[b:75d66a6c15]Downloadlokatie[/b:75d66a6c15]: Dit programma absoluut naar het bureaublad downloaden!
[b:75d66a6c15]Download[/b:75d66a6c15] [b:75d66a6c15]TDSSKiller[/b:75d66a6c15] [b:75d66a6c15]hier[/b:75d66a6c15].
[b:75d66a6c15]Installatie[/b:75d66a6c15]:
[list:75d66a6c15][*:75d66a6c15] pak het bestand uit op je bureaublad.[/list:u:75d66a6c15]
[b:75d66a6c15]TDSSKiller gebruiken[/b:75d66a6c15]:
[list:75d66a6c15][*:75d66a6c15]Windows 2000 en Windows XP: start TDSSKiller middels dubbelklik op TDSSKiller.exe.
[*:75d66a6c15]Windows Vista en Windows 7: start TDSSKiller middels rechtsklik op TDSSKiller.exe en dan kiezen voor [b:75d66a6c15]Als Administrator uitvoeren[/b:75d66a6c15].
[*:75d66a6c15] Nadat de scan klaar is, vindt je het log in de C:\ partitie
[*:75d66a6c15] Post de inhoud van dat log[/list:u:75d66a6c15]
Beantwoord deze vraag
Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.