Vraag & Antwoord
computer besmet, risicovolle operatie, panda ook plat soms
223 antwoorden
- Goed zo.
Heb je nog vragen of opmerkingen? - Hallo beste mensen
ik heb veel problemen met mijn computer lately, op 30 april was het helemaal schrikken. Aanvallen die Panda probeerde te blokken,soms met suc6 maar soms hele pc vast en Panda opnieuw installeren, of de helft van mijn andere programma's was weg.
Na veel zoeken eea gevonden, maar ben een leek, dus heb er uuuuren op gezeten, dit is allemaal nieuw, dus best moeilijk voor mij :S maar ik probeer t toch
MBAM gevonden, op mijn pc gezet en zo'n log gesaved. MBAM heeft 7 infecties gevonden en in quarantaine.
Ook Hijackthis op de pc gezet, dat ging pas na MBAM, daarvoor met geen mogelijkheid. Ook hiervan een 'log' gesaved.
Combifix wel op de pc gezet, maar nog niets mee gedaan omdat er voor gewaarschuwd wordt…
Hellup dus! Ik ben bang voor een Trojan omdat Panda wel uiteindelijk 2 verdachte bestanden in quarantaine had, maar die komen regelmatig terug…?!
Wat nu? Kan iemand me helpen. Ik ga proberen het MBAM-log te posten en ook de Hijackthis-log.
Alvast superbedankt!
[u:1a2786c659][b:1a2786c659]MBAM log:[/b:1a2786c659][/u:1a2786c659]
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Databaseversie: 6493
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
2-5-2011 21:51:06
mbam-log-2011-05-02 (21-51-06).txt
Scantype: Snelle scan
Objecten gescand: 174314
Verstreken tijd: 16 minuut/minuten, 57 seconde(n)
Geheugenprocessen geïnfecteerd: 0
Geheugenmodulen geïnfecteerd: 0
Registersleutels geïnfecteerd: 0
Registerwaarden geïnfecteerd: 2
Registerdata geïnfecteerd: 3
Mappen geïnfecteerd: 0
Bestanden geïnfecteerd: 2
Geheugenprocessen geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Geheugenmodulen geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Registersleutels geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Registerwaarden geïnfecteerd:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{2F8B24EA-C941-5E4B-F223-FDD1FC0AD48E} (Spyware.Passwords.XGen) -> Value: {2F8B24EA-C941-5E4B-F223-FDD1FC0AD48E} -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Antispyware (Rogue.AntiSpyware) -> Value: Antispyware -> Quarantined and deleted successfully.
Registerdata geïnfecteerd:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogoff (PUM.Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Mappen geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Bestanden geïnfecteerd:
c:\documents and settings\user\application data\Omde\gecie.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
c:\WINDOWS\Tasks\antispyware scheduled scan.job (Rogue.AntiSpyware) -> Quarantined and deleted successfully.
[u:1a2786c659][b:1a2786c659]Hijackthis-log[/b:1a2786c659][/u:1a2786c659] :
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 22:32:38, on 2-5-2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Panda Security\Panda Global Protection 2011\TPSrv.exe
C:\PROGRAM FILES\PANDA SECURITY\PANDA GLOBAL PROTECTION 2011\WebProxy.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe
C:\Program Files\HP\QuickPlay\QPService.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe
C:\Program Files\Panda Security\Panda Global Protection 2011\APVXDWIN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ArcCon.ac
C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Program Files\ArcSoft\TotalMedia 3.5\TMMonitor.exe
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Panda Security\Panda Global Protection 2011\PsCtrls.exe
C:\Program Files\Panda Security\Panda Global Protection 2011\PavFnSvr.exe
C:\Program Files\Common Files\Panda Security\PavShld\pavprsrv.exe
C:\WINDOWS\System32\svchost.exe
c:\program files\panda security\panda global protection 2011\firewall\PSHOST.EXE
C:\Program Files\Panda Security\Panda Global Protection 2011\PsImSvc.exe
C:\Program Files\Panda Security\Panda Global Protection 2011\PskSvc.exe
C:\Program Files\Panda Security\Panda Global Protection 2011\pavsrvx86.exe
C:\Program Files\Panda Security\Panda Global Protection 2011\AVENGINE.EXE
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Program Files\Panda Security\Panda Global Protection 2011\SRVLOAD.EXE
C:\Program Files\Panda Security\Panda Global Protection 2011\PavBckPT.exe
C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://login.live.com/login.srf?wa=wsignin1.0&rpsnv=10&ct=1205961512&rver=4.5.2130.0&wp=MBI&wreply=http:%2F%2Fmail.live.com%2Fdefault.aspx&id=64855
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.troner.net/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R3 - URLSearchHook: (no name) - {46cf08e6-2e94-478c-94fd-8b2140c6ff10} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.6.6209.1142\swg.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Copernic Desktop Search 2 - {968631B6-4729-440D-9BF4-251F5593EC9A} - C:\Program Files\Copernic Desktop Search 2\DesktopSearchBand2526.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /nodetect
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\Hewlett-Packard\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [IR_SERVER] C:\Program Files\Realtek\DVB-T USB DEVICE\IR_SERVER.exe
O4 - HKLM\..\Run: [ArcSoft Connection Service] C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Security\Panda Global Protection 2011\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [SCANINICIO] "C:\Program Files\Panda Security\Panda Global Protection 2011\Inicio.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Lokale service')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Netwerkservice')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Snelle start.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Photosmart Premier Snelstart.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: TMMonitor.lnk = C:\Program Files\ArcSoft\TotalMedia 3.5\TMMonitor.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki… - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183CA64F05FDD98.dll/cmsidewiki.html
O9 - Extra button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=NL_NL&c=64&bd=pavilion&pf=laptop
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E77F23EB-E7AB-4502-8F37-247DBAF1A147} (Windows Live Hotmail Photo Upload Tool) - http://gfx1.hotmail.com/mail/w4/pr01/photouploadcontrol/MSNPUpld.cab
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Preloader van browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Cache-daemon voor onderdeelcategorieën - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft Inc. - C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe
O23 - Service: AddFiltr - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\AddFiltr.exe
O23 - Service: Google Updateservice (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Update-service (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Panda Software Controller - Panda Security, S.L. - C:\Program Files\Panda Security\Panda Global Protection 2011\PsCtrls.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Unknown owner - C:\Program Files\Panda Security\Panda Global Protection 2011\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Unknown owner - C:\Program Files\Common Files\Panda Security\PavShld\pavprsrv.exe
O23 - Service: Panda On-Access Anti-Malware Service (PAVSRV) - Panda Security, S.L. - C:\Program Files\Panda Security\Panda Global Protection 2011\pavsrvx86.exe
O23 - Service: Panda Host Service (PSHost) - Unknown owner - c:\program files\panda security\panda global protection 2011\firewall\PSHOST.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Security S.L. - C:\Program Files\Panda Security\Panda Global Protection 2011\PsImSvc.exe
O23 - Service: Panda PSK service (PskSvcRetail) - Panda Security, S.L. - C:\Program Files\Panda Security\Panda Global Protection 2011\PskSvc.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Security, S.L. - C:\Program Files\Panda Security\Panda Global Protection 2011\TPSrv.exe
–
End of file - 12779 bytes
hopelijk heb ik het goed gedaan. De logs zijn van gisteren.
Nogmaals dank! - Deïnstalleer via Configuratiescherm\Software de Ask-Toolbar!
En je mag onderstaande gaan doen:
[b:99c42df3bb]Welk programma[/b:99c42df3bb]: ComboFix
[b:99c42df3bb]Waarvoor/waarom[/b:99c42df3bb]: Zeer specialistische scanner om Windows diepgaand te onderzoeken
en zo mogelijk op te schonen.
[b:99c42df3bb]Moeilijkheidsgraad[/b:99c42df3bb]: Min of meer lastige voorbereidingsfase, dus lees alles eerst goed.
[b:99c42df3bb]Downloadlokatie[/b:99c42df3bb]: Dit programma absoluut naar het bureaublad downloaden!
[b:99c42df3bb]Download ComboFix via één van deze locaties[/b:99c42df3bb]:
[list:99c42df3bb][*:99c42df3bb][b:99c42df3bb]Bleepingcomputer[/b:99c42df3bb]
[*:99c42df3bb][b:99c42df3bb]ForoSpyware[/b:99c42df3bb]
[*:99c42df3bb][b:99c42df3bb]Geekstogo[/b:99c42df3bb][/list:u:99c42df3bb]
[b:99c42df3bb]Hier[/b:99c42df3bb] zie je hoe je ComboFix moet gebruiken.
Antivirusprogramma en actieve malwarescanners dienen al voor de ComboFix start gedeaktiveert zijn!
[b:99c42df3bb]Hier[/b:99c42df3bb] en [b:99c42df3bb]hier[/b:99c42df3bb] vindt je gegevens hoe antivirusprogramma's en spywarescanners te deaktiveren.
[b:99c42df3bb]Voor alle duidelijkheid nogmaals[/b:99c42df3bb]: ComboFix dient vanaf het bureaublad gestart te worden.
[b:99c42df3bb]Opmerkingen[/b:99c42df3bb]:
[list:99c42df3bb][*:99c42df3bb] Bij gebruik van Windows XP zal er mogelijk gevraagd worden, om de "Recovery Console" te installeren! Sta dit dan toe (hiervoor is een actieve internet verbinding vereist).
[*:99c42df3bb]Vista- en Windows 7 gebruikers starten Combofix op via rechtsklik met Administratorrechten.
[*:99c42df3bb]Alle openstaande programma's en webpagina's dienen afgesloten te zijn.[/list:u:99c42df3bb]
[b:99c42df3bb]ComboFix is opgestart[/b:99c42df3bb]:
[list:99c42df3bb][*:99c42df3bb]Niet in het zwarte venster klikken, hierdoor kan ComboFix of zelfs Windows geheel "bevriezen"!
[*:99c42df3bb]Combofix sluit tijdens de scan de internet verbinding – probeer deze tussentijds niet te herstellen!
[*:99c42df3bb]Het kan voorkomen dat de computer meerdere malen opnieuw opgestart moet worden, dit is normaal.
[*:99c42df3bb]Wanneer ComboFix gereed is, zal het het een logbestand voor je maken.
[*:99c42df3bb]Post de inhoud van dit logbestand in je volgende bericht.
[*:99c42df3bb]Indien het log niet opstart, is dit terug tevinden in C:\ComboFix.txt[/list:u:99c42df3bb]
[b:99c42df3bb]Belangrijke opmerking[/b:99c42df3bb]:
[list:99c42df3bb][*:99c42df3bb][b:99c42df3bb] - de Asktoolbar verwijderen ging goed
het Combifix-ding niet…tot aan disclaimer [ja] en de update en weer de disclaimer…en dat was t, ruim uur gewacht, nix startte op, uiteindelijk toch gedurfd om nogmaals te klikken op combifix op mijn desktop…paar groene blokjes en daarna weer 1.5uur gewacht, ik krijg geen scherm, internetverbinding wordt ook niet afgesloten…?
had ik langer moeten wachten of doet ie t niet? ik krijg geen scherm van scannen ofzo, krijg helemaal gEEn scherm of iets…
help!
bvd! - Heb je de nodige onderdelen van Panda wel gedeaktiveerd?
Zoniet, dat doen en ComboFix dien je ook opnieuw te downloaden! - ja, Panda had ik gedeactiveerd (zoals in t topic op de hulpsite weergegeven) en alles afgesloten verder…
ik ga een nieuwe poging doen, opnieuw Combofix downloaden en runnen.
be back soon i hope, met een Combofixlog
keep fingers crossed4me
thnx - OMG, ben gelijk na mijn laatste antwoord begonnen, nieuwe download, alles uit&afgesloten wederom, gestart….
er kwam een melding +/- 10min, als ernstig besmet :evil: zal t 2x zolang duren….2x zolang als die 10 min of waren ze een nul ofzo erachter vergeten? :oops: ben ik (mijn pc) nog te redden? :cry:
al met al: na ruim 3uur durende scan!!! (nouja, zit er de hele dag al op te zweten eigenlijk) hier is t begeerde Combofixlog :wink: :
ComboFix 11-05-02.04 - user 03-05-2011 20:05:35.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.31.1043.18.1983.1284 [GMT 2:00]
Gestart vanuit: c:\documents and settings\user\Bureaublad\ComboFix2.exe
AV: Panda Global Protection 2011 *Disabled/Updated* {8BF935E7-731F-4115-B7A5-789FF5087595}
FW: Norton Internet Worm Protection *Disabled* {990F9400-4CEE-43EA-A83A-D013ADD8EA6E}
FW: Panda Personal Firewall 2011 *Disabled* {7B090DC0-8905-4BAF-8040-FD98A41C8FB8}
.
.
(((((((((((((((((((((((((((((((((( Andere Verwijderingen )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\user\Application Data\Guuhzi
c:\documents and settings\user\Application Data\Guuhzi\iwwey.oma
c:\documents and settings\user\Application Data\Guuhzi\iwwey.tmp
D:\Autorun.inf
.
.
(((((((((((((((((((( Bestanden Gemaakt van 2011-04-03 to 2011-05-03 ))))))))))))))))))))))))))))))
.
.
2011-05-03 15:27 . 2011-05-03 17:29 ——– d—–w- C:\32788R22FWJFW.1.tmp
2011-05-03 14:39 . 2011-05-03 17:38 ——– d—–w- C:\32788R22FWJFW.0.tmp
2011-05-03 14:36 . 2011-05-03 14:45 ——– d—–w- C:\ComboFix
2011-05-03 00:09 . 2011-05-03 00:09 ——– d—–w- c:\program files\Malwarebytes' Anti-Malware
2011-05-02 20:08 . 2011-05-02 20:08 388096 —-a-r- c:\documents and settings\user\Application Data\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2011-05-02 20:08 . 2011-05-02 20:08 ——– d—–w- c:\program files\Trend Micro
2011-05-02 20:07 . 2011-05-02 20:07 ——– d—–w- c:\program files\HJT
2011-05-02 19:29 . 2011-05-02 19:29 ——– d—–w- c:\documents and settings\user\Application Data\Malwarebytes
2011-05-02 19:29 . 2010-12-20 16:09 38224 —-a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-05-02 19:29 . 2011-05-02 19:29 ——– d—–w- c:\documents and settings\All Users\Application Data\Malwarebytes
2011-05-02 19:28 . 2011-05-02 20:17 ——– d—–w- c:\program files\MBAM Malwarebytes' Anti-Malware
2011-05-02 19:28 . 2010-12-20 16:08 20952 —-a-w- c:\windows\system32\drivers\mbam.sys
2011-05-01 16:13 . 2011-05-02 19:51 ——– d—–w- c:\documents and settings\user\Application Data\Omde
2011-05-01 16:13 . 2011-05-02 19:07 ——– d—–w- c:\documents and settings\user\Application Data\Akfood
2011-04-07 16:03 . 2011-05-03 09:28 13880 —-a-w- c:\windows\system32\drivers\COMFiltr.sys
2011-04-07 15:57 . 2011-05-02 19:29 240628 —-a-w- c:\windows\system32\drivers\APPFCONT.DAT
2011-04-07 15:57 . 2009-09-25 12:54 46856 —-a-w- c:\windows\system32\drivers\wnmflt.sys
2011-04-07 15:57 . 2009-09-25 12:54 193800 —-a-w- c:\windows\system32\drivers\idsflt.sys
2011-04-07 15:57 . 2009-09-25 12:54 53256 —-a-w- c:\windows\system32\drivers\dsaflt.sys
2011-04-07 15:57 . 2010-02-18 17:31 76296 —-a-w- c:\windows\system32\drivers\APPFLT.SYS
2011-04-07 15:57 . 2009-09-25 12:54 159112 —-a-w- c:\windows\system32\drivers\NETFLTDI.SYS
2011-04-07 15:57 . 2009-09-25 12:54 22024 —-a-w- c:\windows\system32\drivers\fnetmon.sys
2011-04-07 15:56 . 2010-06-22 16:13 26696 —-a-w- c:\windows\system32\drivers\pavboot.sys
2011-04-07 15:56 . 2007-03-15 17:38 54832 —-a-w- c:\windows\system32\pavcpl.cpl
2011-04-07 15:56 . 2009-10-06 10:33 193792 —-a-w- c:\windows\system32\TpUtil.dll
2011-04-07 15:56 . 2009-03-30 16:22 87296 —-a-w- c:\windows\system32\PavLspHook.dll
2011-04-07 15:56 . 2009-03-30 16:22 55552 —-a-w- c:\windows\system32\pavipc.dll
2011-04-07 15:56 . 2007-02-08 08:53 107568 —-a-w- c:\windows\system32\SYSTOOLS.DLL
2011-04-07 15:56 . 2010-02-18 17:31 199688 —-a-w- c:\windows\system32\drivers\neti1642.sys
2011-04-07 15:56 . 2009-03-30 16:22 518400 —-a-w- c:\windows\system32\PavSHook.dll
2011-04-07 15:56 . 2011-04-07 15:56 ——– d—–w- c:\windows\system32\PAV
2011-04-07 15:56 . 2010-05-21 11:50 59080 —-a-w- c:\windows\system32\drivers\amm8651.sys
2011-04-07 15:56 . 2010-03-24 10:55 55552 —-a-w- c:\windows\system32\avldr.dll
2011-04-07 15:56 . 2011-04-07 15:56 ——– d—–w- c:\documents and settings\user\Application Data\Panda Security
2011-04-07 15:55 . 2011-04-07 15:55 ——– d—–w- c:\program files\Common Files\Panda Security
2011-04-07 15:55 . 2009-10-27 10:07 37896 —-a-w- c:\windows\system32\drivers\ShlDrv51.sys
2011-04-07 15:55 . 2009-09-14 14:18 163336 —-a-w- c:\windows\system32\drivers\PavProc.sys
2011-04-07 15:42 . 2011-04-07 16:48 ——– d—–w- c:\program files\Promo GP11 DaineseT
.
.
.
((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-03-07 05:33 . 2006-04-11 11:00 692736 —-a-w- c:\windows\system32\inetcomm.dll
2011-03-04 06:36 . 2006-04-11 11:00 420864 —-a-w- c:\windows\system32\vbscript.dll
2011-03-03 13:53 . 2006-04-11 11:00 1858048 —-a-w- c:\windows\system32\win32k.sys
2011-02-22 23:07 . 2006-04-11 11:00 916480 —-a-w- c:\windows\system32\wininet.dll
2011-02-22 23:07 . 2006-04-11 11:00 43520 —-a-w- c:\windows\system32\licmgr10.dll
2011-02-22 23:07 . 2006-04-11 11:00 1469440 —-a-w- c:\windows\system32\inetcpl.cpl
2011-02-22 11:43 . 2006-04-11 11:00 385024 —-a-w- c:\windows\system32\html.iec
2011-02-17 13:18 . 2005-01-19 19:26 455936 —-a-w- c:\windows\system32\drivers\mrxsmb.sys
2011-02-17 13:18 . 2005-05-10 15:17 357888 —-a-w- c:\windows\system32\drivers\srv.sys
2011-02-17 12:54 . 2008-05-05 05:25 5632 —-a-w- c:\windows\system32\xpsp4res.dll
2011-02-15 12:56 . 2006-04-11 11:00 290432 —-a-w- c:\windows\system32\atmfd.dll
2011-02-08 13:33 . 2006-04-11 11:00 978944 —-a-w- c:\windows\system32\mfc42.dll
2011-02-08 13:33 . 2006-04-11 11:00 974848 —-a-w- c:\windows\system32\mfc42u.dll
2011-02-04 16:48 . 2005-08-18 12:56 456192 —-a-w- c:\windows\system32\encdec.dll
2011-02-04 16:48 . 2006-04-11 11:00 291840 —-a-w- c:\windows\system32\sbe.dll
.
.
((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-03-15 68856]
"Skype"="c:\program files\Skype\\Phone\Skype.exe" [2010-05-13 26192168]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 204288]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-18 64512]
"hpWirelessAssistant"="c:\program files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2006-05-04 458752]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-06-29 7577600]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-06-29 86016]
"nwiz"="nwiz.exe" [2006-06-29 1519616]
"High Definition Audio Property Page Shortcut"="CHDAudPropShortcut.exe" [2006-07-27 61952]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-04-01 761946]
"QPService"="c:\program files\HP\QuickPlay\QPService.exe" [2006-07-11 102400]
"Cpqset"="c:\program files\Hewlett-Packard\Default Settings\cpqset.exe" [2006-05-30 40960]
"RecGuard"="c:\windows\SMINST\RecGuard.exe" [2005-10-11 1187840]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-11-04 413696]
"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2010-06-09 49208]
"ArcSoft Connection Service"="c:\program files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2010-10-27 207424]
"APVXDWIN"="c:\program files\Panda Security\Panda Global Protection 2011\APVXDWIN.EXE" [2010-08-26 988480]
"SCANINICIO"="c:\program files\Panda Security\Panda Global Protection 2011\Inicio.exe" [2010-06-11 68928]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\documents and settings\All Users\Menu Start\Programma's\Opstarten\
Adobe Reader Snelle start.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-4-23 29696]
HP Photosmart Premier Snelstart.lnk - c:\program files\HP\Digital Imaging\bin\hpqthb08.exe [2005-9-24 73728]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
Service Manager.lnk - c:\program files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe [2000-8-6 69632]
TMMonitor.lnk - c:\program files\ArcSoft\TotalMedia 3.5\TMMonitor.exe [2010-6-24 258048]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avldr]
2010-03-24 10:55 55552 —-a-w- c:\windows\system32\avldr.dll
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PskSvcRetail]
@="Service"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\SopCast\\adv\\SopAdver.exe"=
"c:\\Program Files\\SopCast\\SopCast.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\Vuze\\Azureus.exe"=
.
R0 pavboot;Panda boot driver;c:\windows\system32\drivers\pavboot.sys [7-4-2011 17:56 26696]
R1 APPFLT;App Filter Plugin;c:\windows\system32\drivers\APPFLT.SYS [7-4-2011 17:57 76296]
R1 DSAFLT;DSA Filter Plugin;c:\windows\system32\drivers\dsaflt.sys [7-4-2011 17:57 53256]
R1 FNETMON;NetMon Filter Plugin;c:\windows\system32\drivers\fnetmon.sys [7-4-2011 17:57 22024]
R1 IDSFLT;Ids Filter Plugin;c:\windows\system32\drivers\idsflt.sys [7-4-2011 17:57 193800]
R1 NETFLTDI;Panda Net Driver [TDI Layer];c:\windows\system32\drivers\NETFLTDI.SYS [7-4-2011 17:57 159112]
R1 ShldDrv;Panda File Shield Driver;c:\windows\system32\drivers\ShlDrv51.sys [7-4-2011 17:55 37896]
R1 WNMFLT;Wifi Monitor Filter Plugin;c:\windows\system32\drivers\wnmflt.sys [7-4-2011 17:57 46856]
R2 AmFSM;AmFSM;c:\windows\system32\drivers\amm8651.sys [7-4-2011 17:56 59080]
R2 PavProc;Panda Process Protection Driver;c:\windows\system32\drivers\PavProc.sys [7-4-2011 17:55 163336]
R2 PskSvcRetail;Panda PSK service;c:\program files\Panda Security\Panda Global Protection 2011\psksvc.exe [7-4-2011 17:56 28992]
R3 AvFlt;Antivirus Filter Driver;c:\windows\system32\drivers\av5flt.sys –> c:\windows\system32\drivers\av5flt.sys [?]
R3 ComFiltr;Panda Anti-Dialer;c:\windows\system32\drivers\COMFiltr.sys [7-4-2011 18:03 13880]
R3 NETIMFLT01060042;PANDA NDIS IM Filter Miniport v1.6.0.42;c:\windows\system32\drivers\neti1642.sys [7-4-2011 17:56 199688]
R3 PavSRK.sys;PavSRK.sys;\??\c:\windows\system32\PavSRK.sys –> c:\windows\system32\PavSRK.sys [?]
R3 PavTPK.sys;PavTPK.sys;\??\c:\windows\system32\PavTPK.sys –> c:\windows\system32\PavTPK.sys [?]
S2 gupdate;Google Updateservice (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [31-1-2010 23:36 135664]
S3 gupdatem;Google Update-service (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [31-1-2010 23:36 135664]
S3 RTL2832U_IRHID;HID Infrared Remote Receiver;c:\windows\system32\drivers\RTL2832U_IRHID.sys [24-6-2010 20:47 41120]
S3 RTL2832UBDA;REALTEK 2832U BDA Driver;c:\windows\system32\drivers\RTL2832UBDA.sys [24-6-2010 20:47 74912]
S3 RTL2832UUSB;REALTEK 2832U USB Driver;c:\windows\system32\drivers\RTL2832UUSB.sys [24-6-2010 20:47 32288]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
.
Inhoud van de 'Gedeelde Taken' map
.
2011-05-03 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-31 21:36]
.
2011-05-03 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-31 21:36]
.
.
——- Bijkomende Scan ——-
.
uStart Page = hxxp://login.live.com/login.srf?wa=wsignin1.0&rpsnv=10&ct=1205961512&rver=4.5.2130.0&wp=MBI&wreply=http:%2F%2Fmail.live.com%2Fdefault.aspx&id=64855
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
mStart Page = hxxp://www.troner.net/
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Google Sidewiki… - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183CA64F05FDD98.dll/cmsidewiki.html
.
- - - - ORPHANS VERWIJDERD - - - -
.
URLSearchHooks-{46cf08e6-2e94-478c-94fd-8b2140c6ff10} - (no file)
HKLM-Run-QlbCtrl - %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
HKLM-Run-SunJavaUpdateSched - c:\program files\Java\jre6\bin\jusched.exe
HKLM-Run-IR_SERVER - c:\program files\Realtek\DVB-T USB DEVICE\IR_SERVER.exe
AddRemove-Aangifte inkomstenbelasting 2007 - c:\program files\Belastingdienst\Aangifte inkomstenbelasting\2007\ib2007u.exe
AddRemove-Aangifte inkomstenbelasting 2008 - c:\program files\Belastingdienst\Aangifte inkomstenbelasting\2008\ib2008u.exe
AddRemove-Aangifte inkomstenbelasting 2009 - c:\documents and settings\user\Mijn documenten\ADM\Belastingdienst\2009\ib2009u.exe
AddRemove-Mahjongg Master 5 - c:\progra~1\eGames\MAHJON~1\UNWISE.EXE
AddRemove-Verzoek of wijziging voorlopige aanslag 2009 - c:\documents and settings\user\Mijn documenten\Belastingdienst09\Nieuwe map\2009\va2009u.exe
AddRemove-Verzoek of wijziging voorlopige aanslag 2011 - c:\documents and settings\user\Mijn documenten\ADM\Belastingdienst\2011\va2011u.exe
AddRemove-Verzoek voorlopige teruggaaf 2008 - c:\program files\Belastingdienst\Voorlopige Teruggaaf\2008\vt2008u.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-05-03 22:02
Windows 5.1.2600 Service Pack 3 NTFS
.
scannen van verborgen processen …
.
scannen van verborgen autostart items …
.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = c:\program files\Hewlett-Packard\Default Settings\cpqset.exe????????????<?@? ????f??????Y?@?????<?@
.
scannen van verborgen bestanden …
.
Scan succesvol afgerond
verborgen bestanden: 0
.
**************************************************************************
.
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600
.
CreateFile("\\.\PHYSICALDRIVE0"
: Het proces heeft geen toegang tot het bestand omdat
het bestand door een ander proces wordt gebruikt.
device: opened successfully
user: error reading MBR
kernel: MBR read successfully
user != kernel MBR !!!
.
**************************************************************************
.
——————— VERGRENDELDE REGISTER SLEUTELS ———————
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10p_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10p_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
——————— DLLs Geladen Onder Lopende Processen ———————
.
- - - - - - - > 'winlogon.exe'(1496)
c:\windows\SYSTEM32\avldr.dll
.
Voltooingstijd: 2011-05-03 22:49:58
ComboFix-quarantined-files.txt 2011-05-03 20:49
.
Pre-Run: 61.045.747.712 bytes beschikbaar
Post-Run: 80.468.287.488 bytes beschikbaar
.
WindowsXP-KB310994-SP2-Pro-BootDisk-NLD.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect
.
- - End Of File - - 33A7AE8350B8C90AA25851955A597526
ook nog barca real gemist :cry: heb geen tv, al1 deze pc
maar dit is noodzaak want t lag plat
alvast keibedankt weer! hopelijk is mijn pc te redden! - oja, mag ik mijn pc weer gebruiken en Panda weer aanzetten? ben wel op mn topic ingelogd…zonder protectie nu :S oeps of niet zo erg?
Ook de vraag of ik uit MBAM die 7 geinfecteerde in quarantaine mag deleten
Hoe check ik overige besmettingen (usb's en mn backup op de externe harde schijf of email)
Dien ik al mijn wachtwoorden aan te passen?
Opschonen nodig?
Andere acties?
Bedankt nogmaals!
Mvg - Hoi Red Summer Dragon, ik acht het mogelijk, dat de toestand van jouw PC nog slimmer is dan eerder verwacht!
Download [b:21b1fec31c]GMER[/b:21b1fec31c] van één van de volgende locaties, en sla het op je Bureaublad op:[list:21b1fec31c]
[*:21b1fec31c][b:21b1fec31c]Primaire downloadlocatie[/b:21b1fec31c]
[i:21b1fec31c]Deze mirror zal een random genaamd bestand geven (Aanbevolen)[/i:21b1fec31c]
[*:21b1fec31c][b:21b1fec31c]Gezipt bestand[/b:21b1fec31c]
[i:21b1fec31c]Deze optie zal een zip-bestand geven dat eerst uitgepakt moet worden. Als je deze gebruikt, pak het dan uit naar je bureaublad.[/i:21b1fec31c][/list:u:21b1fec31c][list:21b1fec31c]
[*:21b1fec31c]Verbreek je internetverbinding en [b:21b1fec31c]sluit alle openstaande programma's[/b:21b1fec31c].
[*:21b1fec31c]Schakel tijdelijk je real-time beveiligingssoftware uit.
[*:21b1fec31c]Dubbelklik op het [b:21b1fec31c]random vernoemd[/b:21b1fec31c] GMER bestand (bijv. n7gmo46c.exe) en sta toe dat de [b:21b1fec31c]gmer.sys[/b:21b1fec31c] driver wordt geladen, als dit gevraagd wordt.
[*:21b1fec31c][i:21b1fec31c] - ok, ik ga het proberen. Het opstarten van mijn pc ging deze ochtend niet goed. Telkens zwart scherm, maar nu is het gelukt, hoewel de pc nog raar doet (icoontjes op het bureaublad verplaatsen zich…?) en heeeeel traag is… :o
ik ga aan de gang! (hopelijk gaat dit sneller dan gister met die scan, dat was echt heel erg, ik ben er continue bij blijven zitten :?
dank weer
kga het proberen, vol goede moed :wink: - met geen mogelijkheid gaat dit lukken.
Inmiddels 8x opnieuw een scanpoging gedaan…ondertussen verschijnt Panda gewoon weer TEGELIJK met de melding dat ik totaal onbeschermd ben (geen auto-update, geen firewall &geen antivirus…)
Autoscan gaat goed, dan scan starten, na paar minuten slaat ie OF vast OF piept en met een blauw scherm ivm een systeemfout wordt pc afgesloten…en start weer geheel nieuw op. Met t gekke dat telkens dat Panda en alle bescherming T WEL WEER DOET! Dit is heel wazig!
En de icoontjes op t buroblad worden (terug)gezet waar ik ze niet (heb) zet.
Daarnaast krijg ik een foutmelding van het systeem vd volgende bestanden:
C:\DOCUME~1\user\LOCALS\~1\Temp\WER1a6a.dir00\Mini050411-02.dmp
C:\DOCUME~1\user\LOCALS\~1\Temp\WER1a6a.dir00\sysdata.xml
Plus ik keek bij eigenschappen en ben na de scans 20 Gb rijker! er is dus dankzij de scans op de een of andere manier 20 GB extra vrij nu!
Wat nu? Gem krijg ik niet gescand.
handmatig nog auto-updates uitgeschakeld. in een minuut kwam telkens 6-8x toch het pandaatje terug…?! :? - GMER bedoel ik ipv GEM
weer paar uren verder en dat een scan niet wil…ik kan helaas niet in de computer kijken en begrijpen wat zich daar afspeelt…zo abracadabra
- nieuwe besmetting via Panda scan die ik niet eerder zag:
user@fl01.ct2.comclick[1].txt
meestal is het doubleclick of iets met manager of serverclick… - Hoi, dat Panda zo vervelend doet, is niet nieuw voor mij!
Doe het volgende:
[b:de4d8f54d9]Welk programma[/b:de4d8f54d9]: MBRCheck.exe
[b:de4d8f54d9]Waarvoor/waarom[/b:de4d8f54d9]: speciale scan op mbr-rootkits
[b:de4d8f54d9]Moeilijkheidsgraad[/b:de4d8f54d9]: geen.
[b:de4d8f54d9]Download MBRCheck.exe[/b:de4d8f54d9]
[b:de4d8f54d9]MBRCheck.exe opstarten[/b:de4d8f54d9]:
Windows 2000 en Windows XP: start MBRCheck.exe middels dubbelklik op de snelkoppeling.
Windows Vista en Windows 7: start MBRCheck.exe middels rechtsklik op de snelkoppeling en dan kiezen voor Als Administrator uitvoeren.
[list:de4d8f54d9][*:de4d8f54d9]een zwart scherm toont zich met enkele data erin.
[*:de4d8f54d9]Op je bureaublad zal een logbestand met de naam "MBRcheckxxxx.txt" verschijnen.
[*:de4d8f54d9]Kopieer nu de inhoud van dat log in je volgende post.[/list:u:de4d8f54d9] - Kan de beveiliging aan of uit? En verder wel alle schermen sluiten tijdens dit proces?
ik ga het proberen
bvd! - Deze ging goed en snel, het MBRlog:
MBRCheck, version 1.2.3
© 2010, AD
Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000003c
Kernel Drivers (total 156):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806E6000 \WINDOWS\system32\hal.dll
0xF7987000 \WINDOWS\system32\KDCOM.DLL
0xF7897000 \WINDOWS\system32\BOOTVID.dll
0xF7357000 ACPI.sys
0xF7989000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF7346000 pci.sys
0xF7487000 isapnp.sys
0xF7497000 ohci1394.sys
0xF74A7000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
0xF789B000 compbatt.sys
0xF789F000 \WINDOWS\system32\DRIVERS\BATTC.SYS
0xF7A4F000 pciide.sys
0xF7707000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF798B000 intelide.sys
0xF798D000 viaide.sys
0xF798F000 aliide.sys
0xF7328000 pcmcia.sys
0xF74B7000 MountMgr.sys
0xF7309000 ftdisk.sys
0xF7991000 dmload.sys
0xF72E3000 dmio.sys
0xF78A3000 ACPIEC.sys
0xF7A50000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
0xF770F000 PartMgr.sys
0xF74C7000 pavboot.sys
0xF74D7000 VolSnap.sys
0xF72CB000 atapi.sys
0xF72B2000 nvata.sys
0xF74E7000 disk.sys
0xF74F7000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF7292000 fltmgr.sys
0xF7280000 sr.sys
0xF7507000 PxHelp20.sys
0xF7269000 KSecDD.sys
0xF71DC000 Ntfs.sys
0xF71AF000 NDIS.sys
0xF7517000 Serial.sys
0xF7195000 Mup.sys
0xF7537000 \SystemRoot\system32\DRIVERS\nic1394.sys
0xF6CCA000 \SystemRoot\system32\DRIVERS\AmdK8.sys
0xF6DA7000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0xF6DA3000 \SystemRoot\system32\DRIVERS\cpqbttn.sys
0xF6CBA000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xF77F7000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xF792B000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
0xF618F000 \SystemRoot\system32\DRIVERS\bcmwl5.sys
0xF5E0C000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
0xF5DF8000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF793F000 \SystemRoot\system32\DRIVERS\nvsmu.sys
0xF77FF000 \SystemRoot\system32\DRIVERS\usbohci.sys
0xF5DD4000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF7807000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF6CAA000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF780F000 \SystemRoot\system32\drivers\Afc.sys
0xF6C9A000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF6C8A000 \SystemRoot\system32\DRIVERS\redbook.sys
0xF5DB1000 \SystemRoot\system32\DRIVERS\ks.sys
0xF5D9D000 \SystemRoot\system32\DRIVERS\sdbus.sys
0xF7817000 \SystemRoot\system32\DRIVERS\rimmptsk.sys
0xF7647000 \SystemRoot\system32\DRIVERS\rimsptsk.sys
0xF5D51000 \SystemRoot\system32\DRIVERS\rixdptsk.sys
0xF5D29000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xF7953000 \SystemRoot\system32\DRIVERS\nvnetbus.sys
0xF5CDE000 \SystemRoot\system32\DRIVERS\NVNRM.SYS
0xF5CA7000 \SystemRoot\system32\DRIVERS\NVSNPU.SYS
0xF7657000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF781F000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF5C77000 \SystemRoot\system32\DRIVERS\SynTP.sys
0xF79CF000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xF7827000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF7A8D000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF7667000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF7957000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xF5C38000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF7677000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF7687000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF782F000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xF5C27000 \SystemRoot\system32\DRIVERS\psched.sys
0xF7697000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF7837000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF783F000 \SystemRoot\system32\DRIVERS\raspti.sys
0xF5BF7000 \SystemRoot\system32\DRIVERS\neti1642.sys
0xF5BC7000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0xF6288000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF79D1000 \SystemRoot\system32\DRIVERS\swenum.sys
0xF5B69000 \SystemRoot\system32\DRIVERS\update.sys
0xF7977000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF7983000 \SystemRoot\system32\DRIVERS\kbdhid.sys
0xF6278000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xF61F8000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF76A7000 \SystemRoot\system32\DRIVERS\NVENETFD.sys
0xF36B1000 \SystemRoot\system32\drivers\CHDAud.sys
0xF368D000 \SystemRoot\system32\drivers\portcls.sys
0xF76B7000 \SystemRoot\system32\drivers\drmk.sys
0xF365A000 \SystemRoot\system32\DRIVERS\HSFHWAZL.sys
0xF3566000 \SystemRoot\system32\DRIVERS\HSF_DPV.sys
0xF34B4000 \SystemRoot\system32\DRIVERS\HSF_CNXT.sys
0xF787F000 \SystemRoot\System32\Drivers\Modem.SYS
0xF57BD000 \SystemRoot\System32\Drivers\i2omgmt.SYS
0xF7A25000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF148C000 \SystemRoot\System32\Drivers\Null.SYS
0xF7A27000 \SystemRoot\System32\Drivers\Beep.SYS
0xF77D7000 \SystemRoot\System32\drivers\vga.sys
0xF7A29000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF7A2B000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF77DF000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF77E7000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF57B9000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xEF587000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xEF52E000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xEF508000 \??\C:\WINDOWS\system32\Drivers\NETFLTDI.SYS
0xEF492000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xEF46A000 \SystemRoot\system32\DRIVERS\netbt.sys
0xF2D00000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xEF448000 \SystemRoot\System32\drivers\afd.sys
0xF2CF0000 \SystemRoot\system32\DRIVERS\netbios.sys
0xF7A2D000 \SystemRoot\system32\DRIVERS\eabfiltr.sys
0xF2CE0000 \SystemRoot\system32\DRIVERS\arp1394.sys
0xF2CD0000 \??\C:\WINDOWS\system32\Drivers\WNMFLT.SYS
0xF2DF4000 \SystemRoot\System32\DRIVERS\ShlDrv51.sys
0xEF41D000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xEF3AD000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xEF37F000 \??\C:\WINDOWS\system32\Drivers\IDSFLT.SYS
0xF0AE1000 \??\C:\WINDOWS\system32\Drivers\fnetmon.SYS
0xF2CC0000 \SystemRoot\System32\Drivers\Fips.SYS
0xF6CFA000 \??\C:\WINDOWS\system32\Drivers\DSAFLT.SYS
0xEF364000 \??\C:\WINDOWS\system32\Drivers\APPFLT.SYS
0xB382F000 \SystemRoot\System32\Drivers\Fastfat.SYS
0xB3816000 \SystemRoot\System32\Drivers\dump_nvata.sys
0xF7997000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xB48C0000 \SystemRoot\System32\drivers\Dxapi.sys
0xB44C4000 \SystemRoot\System32\watchdog.sys
0xBF000000 \SystemRoot\System32\drivers\dxg.sys
0xF7B62000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF012000 \SystemRoot\System32\nv4_disp.dll
0xBF3E0000 \SystemRoot\System32\ATMFD.DLL
0xF7557000 \SystemRoot\system32\DRIVERS\amm8651.sys
0xB7489000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xF6CEA000 \??\C:\WINDOWS\system32\PavTPK.sys
0xB1558000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xB14C7000 \SystemRoot\System32\Drivers\HTTP.sys
0xB13CF000 \SystemRoot\system32\DRIVERS\srv.sys
0xB146B000 \SystemRoot\system32\DRIVERS\mdmxsdk.sys
0xB12E0000 \??\C:\WINDOWS\system32\DRIVERS\PavProc.sys
0xB0DA3000 \SystemRoot\system32\drivers\wdmaud.sys
0xB0FD8000 \SystemRoot\system32\drivers\sysaudio.sys
0xB0A72000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xAE90B000 \SystemRoot\system32\drivers\av5flt.sys
0xAFC72000 \??\C:\WINDOWS\system32\PavSRK.sys
0xF7757000 \??\C:\WINDOWS\system32\DRIVERS\COMFiltr.sys
0xB0A46000 \SystemRoot\system32\DRIVERS\sffp_sd.sys
0xAFE3E000 \SystemRoot\system32\DRIVERS\sffdisk.sys
0xAD736000 \SystemRoot\system32\drivers\kmixer.sys
0x7C900000 \WINDOWS\system32\ntdll.dll
Processes (total 64):
0 System Idle Process
4 System
1420 C:\WINDOWS\system32\smss.exe
1468 csrss.exe
1500 C:\WINDOWS\system32\winlogon.exe
1544 C:\WINDOWS\system32\services.exe
1564 C:\WINDOWS\system32\lsass.exe
1728 C:\WINDOWS\system32\svchost.exe
1788 svchost.exe
1828 C:\WINDOWS\system32\svchost.exe
1852 C:\Program Files\Panda Security\Panda Global Protection 2011\TPSrv.exe
2040 svchost.exe
200 C:\Program Files\Panda Security\Panda Global Protection 2011\WebProxy.exe
324 svchost.exe
640 C:\WINDOWS\system32\spoolsv.exe
944 svchost.exe
1344 C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe
1936 C:\WINDOWS\ehome\ehrecvr.exe
348 C:\WINDOWS\ehome\ehSched.exe
968 C:\WINDOWS\system32\svchost.exe
2004 C:\Program Files\Java\jre6\bin\jqs.exe
404 C:\Program Files\Common Files\LightScribe\LSSrvc.exe
1324 C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
1204 C:\WINDOWS\system32\svchost.exe
2032 C:\WINDOWS\system32\nvsvc32.exe
824 C:\Program Files\Panda Security\Panda Global Protection 2011\PsCtrlS.exe
1948 C:\Program Files\Panda Security\Panda Global Protection 2011\PavFnSvr.exe
1232 C:\Program Files\Common Files\Panda Security\PavShld\PavPrSrv.exe
296 C:\WINDOWS\system32\svchost.exe
580 C:\Program Files\Panda Security\Panda Global Protection 2011\FIREWALL\PSHost.exe
2356 C:\Program Files\Panda Security\Panda Global Protection 2011\PsImSvc.exe
3480 C:\Program Files\Panda Security\Panda Global Protection 2011\psksvc.exe
3952 svchost.exe
2320 C:\Program Files\Panda Security\Panda Global Protection 2011\pavsrvx86.exe
2816 C:\Program Files\Panda Security\Panda Global Protection 2011\AVENGINE.EXE
3252 C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
3712 mcrdsvc.exe
1260 wmpnetwk.exe
2812 C:\WINDOWS\explorer.exe
2596 C:\WINDOWS\ehome\ehtray.exe
3020 C:\Program Files\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe
240 C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
1984 C:\Program Files\HP\QuickPlay\QPService.exe
3548 C:\Program Files\HP\HP Software Update\hpwuschd2.exe
3784 C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe
3760 C:\Program Files\Panda Security\Panda Global Protection 2011\ApVxdWin.exe
2256 wmiprvse.exe
3360 C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
2028 C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ArcCon.ac
2060 C:\Program Files\skype\Phone\Skype.exe
2588 C:\Program Files\Windows Media Player\wmpnscfg.exe
3104 C:\WINDOWS\system32\ctfmon.exe
3376 C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
3960 C:\Program Files\ArcSoft\TotalMedia 3.5\TMMonitor.exe
2400 C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
3164 C:\WINDOWS\system32\dllhost.exe
1456 C:\WINDOWS\ehome\ehmsas.exe
384 alg.exe
208 C:\WINDOWS\system32\wbem\wmiapsrv.exe
2328 C:\Program Files\Panda Security\Panda Global Protection 2011\SrvLoad.exe
3660 C:\Program Files\Panda Security\Panda Global Protection 2011\PavBckPT.exe
4696 C:\WINDOWS\system32\wuauclt.exe
4820 wmiprvse.exe
1004 C:\Documents and Settings\user\Bureaublad\MBRCheck.exe
\\.\C: –> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\D: –> \\.\PhysicalDrive0 at offset 0x00000019`873b2400 (FAT32)
PhysicalDrive0 Model Number: TOSHIBAMK1234GSX, Rev: AH001C
Size Device Name MBR Status
——————————————–
111 GB \\.\PhysicalDrive0 Unknown MBR code
SHA1: B57FCF5469C6792A61BA8ECFDFD6EEE67492244B
Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:
Done!
bvd! - Oké, dat is een heel lastige.
Het betreft jouw Harddisk!
Er zijn twee partities daarop, één in NTFS (systeempartie) en één in FAT 32.
Mogelijk is die laatste de Recoverypartitie.
Wat is er aan de hand: van beide partities is de MBR besmet met een MBR-rootkit!
Wat is het merk van jouw PC? - oei, kweet niet wat t is, maar lijkt me idd niet best te zijn wat ik eruit begrijp :cry:
mijn pc is een Compaq Presarion V6000 (laptop)
in 2007 gekocht
in 2008 ben ik die pas gaan gebruiken (zowel door hardwaretrouble als door vastlopen als door desktop pc waar mijn schoolspullen opstonden)
(maar geen geluk mee, bij aanschaf deed ie t niet, pas na 2 mnd soebatten met winkel en HP kwam er een pick-up&return…)
is er wel hoop? of wordt het formatteren of is dat nog te vroeg? of heeft dat ook geen kans? - oja, de GMER ging ook niet in save modus, daar had ik geen icoontjes meer op het buroblad…
- Mooi zo. Het is jou goed gelukt.
De MBR is weer schoon!
Start MBAM op, eerst updaten en dan snelle scan kiezen.
Post de inhoud van het log.
Beantwoord deze vraag
Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.
