Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

Computer reboot af en toe. Hijactlog

None
31 antwoorden
  • De computer van mijn zoon reboot af en toe spontaan.
    Ik heb de laatste versie van MBAM gedownload en daarna de update gedaan en MBAM gestart. Die heeft 14 problemen, allemaal adware en spyware verwijderd.
    Daarna heb ik HIJactThis gedownload en gestart en hier is de log file.
    Zou iemand zo vriendelijk willen zijn er naar te kijken?

    Logfile of Trend Micro HijackThis v2.0.4
    Scan saved at 15:02:22, on 06/07/11
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v8.00 (8.00.6001.18702)
    Boot mode: Normal

    Running processes:
    D:\WINDOWS\System32\smss.exe
    D:\WINDOWS\system32\winlogon.exe
    D:\WINDOWS\system32\services.exe
    D:\WINDOWS\system32\lsass.exe
    D:\WINDOWS\system32\svchost.exe
    D:\WINDOWS\System32\svchost.exe
    D:\WINDOWS\system32\svchost.exe
    D:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
    D:\Program Files\Alwil Software\Avast5\AvastSvc.exe
    D:\WINDOWS\Explorer.EXE
    D:\WINDOWS\system32\spoolsv.exe
    D:\WINDOWS\SOUNDMAN.EXE
    D:\WINDOWS\system32\RunDll32.exe
    D:\WINDOWS\System32\svchost.exe
    D:\WINDOWS\system32\cisvc.exe
    D:\Program Files\Alwil Software\Avast5\avastUI.exe
    D:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    D:\WINDOWS\system32\igfxtray.exe
    D:\WINDOWS\system32\hkcmd.exe
    D:\WINDOWS\system32\igfxpers.exe
    D:\Program Files\Common Files\LightScribe\LSSrvc.exe
    D:\Program Files\Common Files\Real\Update_OB\realsched.exe
    D:\WINDOWS\system32\ctfmon.exe
    D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    E:\ctee\steamm\Steam.exe
    D:\Program Files\Macrium\Reflect\ReflectService.exe
    D:\WINDOWS\system32\svchost.exe
    D:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
    D:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    D:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
    D:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    D:\WINDOWS\system32\wscntfy.exe
    D:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
    D:\WINDOWS\System32\svchost.exe
    D:\WINDOWS\system32\msiexec.exe
    D:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://uk.msn.com/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://bwrk.startya.com/?cfg=2-490-0-0&engine_id=3&provider_id=3&product_id=490&country=MZ
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=4526bd97000000000000002522464fb7&tlver=1.4.19.19&ss=1&affID=18042
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
    O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: Babylon toolbar helper - {2EECD738-5844-4a99-B4B6-146BF802613B} - (no file)
    O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - D:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
    O2 - BHO: SBCONVERT - {31B27F2D-6BC6-451B-B3D2-4EAB36B2FC3B} - (no file)
    O2 - BHO: Softonic-Eng7 Toolbar - {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} - D:\Program Files\Softonic-Eng7\tbSoft.dll
    O2 - BHO: BrotherSoft Extreme - {51a86bb3-6602-4c85-92a5-130ee4864f13} - (no file)
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: (no name) - {64182481-4F71-486b-A045-B233BD0DA8FC} - (no file)
    O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Jhoos Toolbar - {9c25d2ef-c545-49ee-bd1a-f264b273ec10} - (no file)
    O2 - BHO: eSnipBHO - {B530A9A4-1722-4D16-AAD6-AA85E3AD2ADE} - (no file)
    O2 - BHO: uTorrentBar Toolbar - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - (no file)
    O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - D:\PROGRA~1\TEXTware\QUICKF~1\PlugIns\IEHelp.dll
    O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
    O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
    O2 - BHO: PHPNukeEN Toolbar - {dd02a4eb-4afd-4d60-99d8-e67f964ca813} - (no file)
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - (no file)
    O2 - BHO: Pando Toolbar - {EC8677A0-C3EE-42e1-B85B-3FCE1728F6BA} - (no file)
    O3 - Toolbar: PHPNukeEN Toolbar - {dd02a4eb-4afd-4d60-99d8-e67f964ca813} - (no file)
    O3 - Toolbar: Jhoos Toolbar - {9c25d2ef-c545-49ee-bd1a-f264b273ec10} - (no file)
    O3 - Toolbar: Softonic-Eng7 Toolbar - {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} - D:\Program Files\Softonic-Eng7\tbSoft.dll
    O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
    O3 - Toolbar: BrotherSoft Extreme Toolbar - {51a86bb3-6602-4c85-92a5-130ee4864f13} - (no file)
    O3 - Toolbar: Pando Toolbar - {EC8677A0-C3EE-42e1-B85B-3FCE1728F6BA} - (no file)
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [avast5] "D:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui
    O4 - HKLM\..\Run: [igfxtray] D:\WINDOWS\system32\igfxtray.exe
    O4 - HKLM\..\Run: [igfxhkcmd] D:\WINDOWS\system32\hkcmd.exe
    O4 - HKLM\..\Run: [igfxpers] D:\WINDOWS\system32\igfxpers.exe
    O4 - HKLM\..\Run: [TkBellExe] "D:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
    O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKCU\..\Run: [Steam] "E:\ctee\steamm\Steam.exe" -silent
    O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] D:\WINDOWS\system32\Macromed\Flash\FlashUtil10m_ActiveX.exe -update activex
    O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\RunOnce: [RunNarrator] Narrator.exe (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunOnce: [RunNarrator] Narrator.exe (User 'Default user')
    O4 - Startup: IMVU.lnk = D:\Documents and Settings\Minda\Application Data\IMVUClient\IMVUQualityAgent.exe
    O4 - Startup: Reboot.exe
    O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://D:\WINDOWS\system32\GPhotos.scr/200
    O8 - Extra context menu item: Sothink SWF Catcher - D:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - D:\Documents and Settings\Minda\Start Menu\Programs\IMVU\Run IMVU.lnk
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - D:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm
    O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - D:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\WINDOWS\system32\shdocvw.dll
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\WINDOWS\system32\shdocvw.dll
    O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
    O16 - DPF: {E77F23EB-E7AB-4502-8F37-247DBAF1A147} (Windows Live Hotmail Photo Upload Tool) - http://gfx2.hotmail.com/mail/w4/pr01/photouploadcontrol/MSNPUpld.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{1D5E3925-2CB4-4C39-8C1F-73B243802401}: NameServer = 208.67.222.222,208.67.220.220
    O17 - HKLM\System\CS1\Services\Tcpip\..\{1D5E3925-2CB4-4C39-8C1F-73B243802401}: NameServer = 208.67.222.222,208.67.220.220
    O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - D:\WINDOWS\system32\browseui.dll
    O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - D:\WINDOWS\system32\browseui.dll
    O23 - Service: avast! Antivirus - AVAST Software - D:\Program Files\Alwil Software\Avast5\AvastSvc.exe
    O23 - Service: avast! Mail Scanner - AVAST Software - D:\Program Files\Alwil Software\Avast5\AvastSvc.exe
    O23 - Service: avast! Web Scanner - AVAST Software - D:\Program Files\Alwil Software\Avast5\AvastSvc.exe
    O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - D:\Program Files\Google\Update\GoogleUpdate.exe
    O23 - Service: Google Update Service (gupdatem) (gupdatem) - Google Inc. - D:\Program Files\Google\Update\GoogleUpdate.exe
    O23 - Service: Google Updater Service (gusvc) - Google Inc. - (no file)
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - D:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - D:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - D:\Program Files\Common Files\LightScribe\LSSrvc.exe
    O23 - Service: lxcg_device - - D:\WINDOWS\system32\lxcgcoms.exe
    O23 - Service: Macrium Reflect Image Mounting Service (ReflectService) - Unknown owner - D:\Program Files\Macrium\Reflect\ReflectService.exe
    O23 - Service: Yahoo! Updater (YahooAUService) - Unknown owner - D:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe (file missing)
    O24 - Desktop Component 0: (no name) - http://t2.gstatic.com/images?q=tbn:4h6ipH1emhim_M:http://image.shutterstock.com/display_pic_with_logo/584761/584761,1272031707,6/stock-photo-ten-year-old-asian-girl-lying-on-sand-at-beach-51569068.jpg&t=1


    End of file - 10669 bytes


    Met dank en vriendelijke groet
    perloc
  • Hoi Perloc, wil jij het log van MBAM, waarover je spreekt, alsnog posten?

    Start daarvoor MBAM, klik op de tab Logbestanden.


    Doe ook alvast het volgende:

    sluit alle openstaande webvensters - behalve dit venster, dat je sluit voor het moment, dat je op de knop [b:399acc21e5]Fix checked[/b:399acc21e5] klikt!


    Start nu HijackThis en klik op de knop [b:399acc21e5]Do a Scan only,

    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=4526bd97000000000 000002522464fb7&tlver=1.4.19.19&ss=1&affID=18042
    O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
    O2 - BHO: Babylon toolbar helper - {2EECD738-5844-4a99-B4B6-146BF802613B} - (no file)
    O2 - BHO: SBCONVERT - {31B27F2D-6BC6-451B-B3D2-4EAB36B2FC3B} - (no file)
    O2 - BHO: Softonic-Eng7 Toolbar - {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} - D:\Program Files\Softonic-Eng7\tbSoft.dll
    O2 - BHO: Jhoos Toolbar - {9c25d2ef-c545-49ee-bd1a-f264b273ec10} - (no file)
    O2 - BHO: eSnipBHO - {B530A9A4-1722-4D16-AAD6-AA85E3AD2ADE} - (no file)
    O2 - BHO: uTorrentBar Toolbar - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - (no file)
    O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - D:\PROGRA~1\TEXTware\QUICKF~1\PlugIns\IEHelp.dll
    O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
    O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
    O2 - BHO: PHPNukeEN Toolbar - {dd02a4eb-4afd-4d60-99d8-e67f964ca813} - (no file)
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - (no file)
    O2 - BHO: Pando Toolbar - {EC8677A0-C3EE-42e1-B85B-3FCE1728F6BA} - (no file)
    O3 - Toolbar: PHPNukeEN Toolbar - {dd02a4eb-4afd-4d60-99d8-e67f964ca813} - (no file)
    O3 - Toolbar: Jhoos Toolbar - {9c25d2ef-c545-49ee-bd1a-f264b273ec10} - (no file)
    O3 - Toolbar: Softonic-Eng7 Toolbar - {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} - D:\Program Files\Softonic-Eng7\tbSoft.dll
    O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
    O3 - Toolbar: BrotherSoft Extreme Toolbar - {51a86bb3-6602-4c85-92a5-130ee4864f13} - (no file)
    O3 - Toolbar: Pando Toolbar - {EC8677A0-C3EE-42e1-B85B-3FCE1728F6BA} - (no file)
    O4 - Startup: Reboot.exe
    O24 - Desktop Component 0: (no name) - http://t2.gstatic.com/images?q=tbn:4h6ipH1emhim_M:http://image.shutterstock.com/ display_pic_with_logo/584761/584761,1272031707,6/stock-photo-ten-year-old-asian- girl-lying-on-sand-at-beach-51569068.jpg&t=1[/b:399acc21e5]

    [list:399acc21e5][*:399acc21e5] zet een vinkje voor die regel(s) welke met de bovenstaande regels corresponderen
    [*:399acc21e5] Sluit nu de webbrowser en vervolgens klik je daarna op de knop [b:399acc21e5]Fix checked[/b:399acc21e5]
    [*:399acc21e5] Klik hierna HijackThis op uit.[/list:u:399acc21e5]
    [b:399acc21e5] Start de computer na de fix opnieuw op[/b:399acc21e5]
  • Hallo Abraham54, hier de log van MBAM vanmorgen gedraaid:

    Malwarebytes' Anti-Malware 1.51.0.1200
    www.malwarebytes.org

    Database version: 7031

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    06/07/11 10:13:09
    mbam-log-2011-07-06 (10-13-09).txt

    Scan type: Full scan (C:\|D:\|E:\|H:\|)
    Objects scanned: 305349
    Time elapsed: 1 hour(s), 55 minute(s), 42 second(s)

    Memory Processes Infected: 0
    Memory Modules Infected: 0
    Registry Keys Infected: 0
    Registry Values Infected: 0
    Registry Data Items Infected: 0
    Folders Infected: 2
    Files Infected: 12

    Memory Processes Infected:
    (No malicious items detected)

    Memory Modules Infected:
    (No malicious items detected)

    Registry Keys Infected:
    (No malicious items detected)

    Registry Values Infected:
    (No malicious items detected)

    Registry Data Items Infected:
    (No malicious items detected)

    Folders Infected:
    d:\program files\relevantknowledge (Spyware.MarketScore) -> Quarantined and deleted successfully.
    d:\documents and settings\all users\start menu\Programs\relevantknowledge (Spyware.MarketScore) -> Quarantined and deleted successfully.

    Files Infected:
    d:\program files\relevantknowledge\rlls.dll (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
    d:\program files\relevantknowledge\rlls64.dll (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
    d:\program files\relevantknowledge\rlservice.exe (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
    d:\program files\relevantknowledge\rlvknlg.exe (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
    d:\program files\relevantknowledge\rlvknlg64.exe (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
    d:\documents and settings\all users\start menu\Programs\relevantknowledge\uninstall instructions.lnk (Spyware.MarketScore) -> Quarantined and deleted successfully.
    d:\program files\relevantknowledge
    cncf.dat (Spyware.MarketScore) -> Quarantined and deleted successfully.
    d:\program files\relevantknowledge
    scf.dat (Spyware.MarketScore) -> Quarantined and deleted successfully.
    d:\program files\relevantknowledge\rloci.bin (Spyware.MarketScore) -> Quarantined and deleted successfully.
    d:\documents and settings\all users\start menu\Programs\relevantknowledge\about relevantknowledge.lnk (Spyware.MarketScore) -> Quarantined and deleted successfully.
    d:\documents and settings\all users\start menu\Programs\relevantknowledge\privacy policy and user license agreement.lnk (Spyware.MarketScore) -> Quarantined and deleted successfully.
    d:\documents and settings\all users\start menu\Programs\relevantknowledge\Support.lnk (Spyware.MarketScore) -> Quarantined and deleted successfully.

    Ik zal de items van de HijactThis verwijderen
    Moet ik nog een nieuwe Hijactlog plaatsen?
    MVG perloc

  • Hoi perloc, nu mag je eerst het volgende gaan doen:

    [b:3b613f9394]Welk programma[/b:3b613f9394]: ComboFix
    [b:3b613f9394]Waarvoor/waarom[/b:3b613f9394]: Zeer specialistische scanner om Windows diepgaand te onderzoeken
    en zo mogelijk op te schonen.
    [b:3b613f9394]Moeilijkheidsgraad[/b:3b613f9394]: Min of meer lastige voorbereidingsfase, dus lees alles eerst goed.
    [b:3b613f9394]Downloadlokatie[/b:3b613f9394]: Dit programma absoluut naar het bureaublad downloaden!
    [b:3b613f9394]Download ComboFix via één van deze locaties[/b:3b613f9394]:
    [list:3b613f9394][*:3b613f9394][b:3b613f9394]Bleepingcomputer[/b:3b613f9394]
    [*:3b613f9394][b:3b613f9394]ForoSpyware[/b:3b613f9394]
    [*:3b613f9394][b:3b613f9394]Geekstogo[/b:3b613f9394][/list:u:3b613f9394]
    [b:3b613f9394]Hier[/b:3b613f9394] zie je hoe je ComboFix moet gebruiken.

    Antivirusprogramma en actieve malwarescanners dienen al voor de ComboFix start gedeaktiveert zijn!
    [b:3b613f9394]Hier[/b:3b613f9394] en [b:3b613f9394]hier[/b:3b613f9394] vindt je gegevens hoe antivirusprogramma's en spywarescanners te deaktiveren.

    [b:3b613f9394]Voor alle duidelijkheid nogmaals[/b:3b613f9394]: ComboFix dient vanaf het bureaublad gestart te worden.

    [b:3b613f9394]Opmerkingen[/b:3b613f9394]:
    [list:3b613f9394][*:3b613f9394] Bij gebruik van Windows XP zal er mogelijk gevraagd worden, om de "Recovery Console" te installeren! Sta dit dan toe (hiervoor is een actieve internet verbinding vereist).
    [*:3b613f9394]Vista- en Windows 7 gebruikers starten Combofix op via rechtsklik met Administratorrechten.
    [*:3b613f9394]Alle openstaande programma's en webpagina's dienen afgesloten te zijn.[/list:u:3b613f9394]
    [b:3b613f9394]ComboFix is opgestart[/b:3b613f9394]:
    [list:3b613f9394][*:3b613f9394]Niet in het zwarte venster klikken, hierdoor kan ComboFix of zelfs Windows geheel "bevriezen"!
    [*:3b613f9394]Combofix sluit tijdens de scan de internet verbinding – probeer deze tussentijds niet te herstellen!
    [*:3b613f9394]Het kan voorkomen dat de computer meerdere malen opnieuw opgestart moet worden, dit is normaal.
    [*:3b613f9394]Wanneer ComboFix gereed is, zal het het een logbestand voor je maken.
    [*:3b613f9394]Post de inhoud van dit logbestand in je volgende bericht.
    [*:3b613f9394]Indien het log niet opstart, is dit terug tevinden in C:\ComboFix.txt[/list:u:3b613f9394]
    [b:3b613f9394]Belangrijke opmerking[/b:3b613f9394]:
    [list:3b613f9394][*:3b613f9394][b:3b613f9394]
  • Hier is de Combofix log file.
    Het is niet zonder slag of stoot gegaan!
    Combofix meldde dat de Recovery Console niet was te vinden.
    Ik kreeg de gelegenheid om die te downloaden en installeren.
    De download werd 2x100% gedaan en toen gebeurde er niets meer.
    Ik heb een half uur gewacht en toen Combofix opnieuw opgestart.
    Weer hetzelfde verhaal met dit verschil dat de Recovery Console met succes is geinstalleerd.
    Combofix meldde tevens dat de Internet verbinding zou worden geblokkeerd. Dat is niet gebeurd en ik vond het wel eng zolang met een open Internet verbinding zonder firewall en virusscanner.
    Combofic gedownload van "Bleepingcomputer" maar meldde desondanks dat er een nieuwere versie beschikbaar was. Dat heb ik uit veiligheidsoverwegingen niet gedaan (de download meen ik) want ik vertrouwde dat niet.
    Hier de log file:
    ComboFix 11-07-06.04 - Minda 07/07/11 5:39.1.1 - x86
    Microsoft Windows XP Professional 5.1.2600.3.1252.1.1033.18.1015.431 [GMT 2:00]
    Running from: d:\documents and settings\Minda\Desktop\ComboFix.exe
    AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
    FW: Sunbelt Kerio Personal Firewall *Disabled* {E659E0EE-10E6-49B7-8696-60F38D0EB174}
    .
    .
    ((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    d:\documents and settings\Minda\Application Data\facemoods.com
    d:\documents and settings\Minda\WINDOWS
    d:\program files\facemoods.com
    d:\program files\facemoods.com\facemoods\1.4.17.8\bh\facemoods.dll
    d:\program files\facemoods.com\facemoods\1.4.17.8\facemoods.crx
    d:\program files\facemoods.com\facemoods\1.4.17.8\facemoods.png
    d:\program files\facemoods.com\facemoods\1.4.17.8\facemoodsApp.dll
    d:\program files\facemoods.com\facemoods\1.4.17.8\facemoodsEng.dll
    d:\program files\facemoods.com\facemoods\1.4.17.8\facemoodssrv.exe
    d:\program files\facemoods.com\facemoods\1.4.17.8\facemoodsTlbr.dll
    d:\program files\facemoods.com\facemoods\1.4.17.8\uninstall.exe
    d:\program files\facemoods.com\sqlite3.dll
    d:\program files\filesubmit
    d:\program files\filesubmit\184760\184760.zip
    d:\program files\filesubmit\184760\internal-flame-ws.zip
    .
    .
    ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    ——-\Legacy_MYWEBSEARCHSERVICE
    .
    .
    ((((((((((((((((((((((((( Files Created from 2011-06-07 to 2011-07-07 )))))))))))))))))))))))))))))))
    .
    .
    2011-07-06 13:01 . 2011-07-06 13:01 388096 —-a-r- d:\documents and settings\Minda\Application Data\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
    2011-07-06 13:01 . 2011-07-06 13:01 ——– d—–w- d:\program files\Trend Micro
    2011-07-02 04:50 . 2011-07-02 04:50 569397 —-a-w- d:\program files\Internet Explorer\PLUGINS\RichFX\Player
    prfxins.dll
    2011-06-30 16:20 . 2011-07-07 03:57 ——– d—–w- d:\program files\Common Files\Akamai
    2011-06-25 16:37 . 2011-06-25 16:37 ——– d—–w- d:\documents and settings\Minda\Application Data\YCanPDF
    2011-06-25 16:37 . 2011-06-25 16:37 ——– d—–w- d:\windows\system32\shellconv
    2011-06-25 16:37 . 2011-06-25 16:48 ——– d—–w- d:\program files\Okdo Ppt Pptx to Swf Converter
    2011-06-25 16:15 . 2011-06-25 16:15 ——– d—–w- d:\program files\Common Files\SourceTec
    2011-06-25 16:14 . 2011-06-25 16:29 ——– d—–w- d:\program files\SourceTec
    2011-06-25 15:25 . 2011-06-25 15:25 ——– d—–w- d:\documents and settings\Minda\Local Settings\Application Data\Batchwork
    2011-06-24 07:37 . 2011-07-07 03:59 ——– d—–w- d:\documents and settings\Minda\Application Data\IMVU
    2011-06-23 15:17 . 2011-07-02 16:38 ——– d—–w- d:\documents and settings\Minda
    imbuzz
    2011-06-16 17:22 . 2011-06-16 17:22 ——– d—–w- d:\program files\Microsoft Games
    .
    .
    .
    (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2011-05-29 07:11 . 2009-11-11 12:14 39984 —-a-w- d:\windows\system32\drivers\mbamswissarmy.sys
    2011-05-29 07:11 . 2009-11-11 12:14 22712 —-a-w- d:\windows\system32\drivers\mbam.sys
    2011-05-14 09:29 . 2011-05-14 09:29 9216 —-a-r- d:\documents and settings\Minda\Application Data\Microsoft\Installer\{7426428E-71D4-452C-BA13-B14E5EB52859}\Icon7426428E16.exe
    .
    .
    ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* empty entries & legit default entries are not shown
    REGEDIT4
    .
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SpybotSD TeaTimer"="d:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
    "Steam"="e:\ctee\steamm\Steam.exe" [2011-07-02 1242448]
    "ctfmon.exe"="d:\windows\system32\ctfmon.exe" [2008-04-14 15360]
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SoundMan"="SOUNDMAN.EXE" [2004-10-27 73728]
    "avast5"="d:\program files\Alwil Software\Avast5\avastUI.exe" [2010-09-07 2838912]
    "igfxtray"="d:\windows\system32\igfxtray.exe" [2005-09-20 94208]
    "igfxhkcmd"="d:\windows\system32\hkcmd.exe" [2005-09-20 77824]
    "igfxpers"="d:\windows\system32\igfxpers.exe" [2005-09-20 114688]
    "TkBellExe"="d:\program files\Common Files\Real\Update_OB\realsched.exe" [2011-07-02 198160]
    .
    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "ctfmon.exe"="d:\windows\system32\ctfmon.exe" [2008-04-14 15360]
    .
    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    "RunNarrator"="Narrator.exe" [2008-04-14 53760]
    "tscuninstall"="d:\windows\system32\tscupgrd.exe" [2004-08-04 44544]
    .
    d:\documents and settings\Minda\Start Menu\Programs\Startup\
    IMVU.lnk - d:\documents and settings\Minda\Application Data\IMVUClient\IMVUQualityAgent.exe [2011-6-17 22784]
    .
    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
    BootExecute REG_MULTI_SZ autocheck autochk *\0lsdelete\0oodbs
    .
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
    @="Service"
    .
    [HKLM\~\startupfolder\D:^Documents and Settings^All Users^Start Menu^Programs^Startup^Adobe Reader Speed Launch.lnk]
    backup=d:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup
    .
    [HKLM\~\startupfolder\D:^Documents and Settings^Minda^Start Menu^Programs^Startup^CapsUnlock.lnk]
    backup=d:\windows\pss\CapsUnlock.lnkStartup
    .
    [HKLM\~\startupfolder\D:^Documents and Settings^Minda^Start Menu^Programs^Startup^Shortcut to TCLOCKEX.EXE.lnk]
    backup=d:\windows\pss\Shortcut to TCLOCKEX.EXE.lnkStartup
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LightScribe Control Panel]
    2007-07-18 15:55 451872 —-a-w- d:\program files\Common Files\LightScribe\LightScribeControlPanel.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VTTimer]
    2004-05-27 08:09 49152 —-a-r- d:\windows\system32\VTTimer.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VTTrayp]
    2004-06-07 23:58 143360 —-a-r- d:\windows\system32\VTTrayp.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
    "wuauserv"=2 (0x2)
    .
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)
    .
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "e:\\ctee\\steamm\\Steam.exe"=
    .
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "1041:TCP"= 1041:TCP:Akamai NetSession Interface
    "5000:UDP"= 5000:UDP:Akamai NetSession Interface
    .
    R0 Lbd;Lbd;d:\windows\system32\drivers\Lbd.sys [08/07/09 08:27 64160]
    R0 pssnap;Paramount Software Snapshot Filter;d:\windows\system32\drivers\pssnap.sys [20/05/08 08:32 15328]
    R1 aswSP;aswSP;d:\windows\system32\drivers\aswSP.sys [18/11/09 09:04 165584]
    R1 fwdrv;Firewall Driver;d:\windows\system32\drivers\fwdrv.sys [18/07/06 12:02 284184]
    R1 khips;Kerio HIPS Driver;d:\windows\system32\drivers\khips.sys [18/07/06 12:02 91672]
    R2 Akamai;Akamai NetSession Interface;d:\windows\System32\svchost.exe -k Akamai [04/08/04 14:00 14336]
    R2 aswFsBlk;aswFsBlk;d:\windows\system32\drivers\aswFsBlk.sys [18/11/09 09:04 17744]
    R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;d:\program files\Lavasoft\Ad-Aware\AAWService.exe [09/03/09 21:06 1029456]
    R2 ReflectService;Macrium Reflect Image Mounting Service;d:\program files\Macrium\Reflect\ReflectService.exe [06/08/08 11:34 216032]
    S0 laemnio;laemnio;d:\windows\system32\drivers\uvkne.sys –> d:\windows\system32\drivers\uvkne.sys [?]
    S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;d:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18/03/10 13:16 130384]
    S2 gupdate;Google Update Service (gupdate);d:\program files\Google\Update\GoogleUpdate.exe [20/07/09 14:18 133104]
    S3 gupdatem;Google Update Service (gupdatem);d:\program files\Google\Update\GoogleUpdate.exe [20/07/09 14:18 133104]
    S3 MBAMSwissArmy;MBAMSwissArmy;d:\windows\system32\drivers\mbamswissarmy.sys [11/11/09 14:14 39984]
    S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;d:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18/03/10 13:16 753504]
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    Akamai REG_MULTI_SZ Akamai
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
    2007-07-18 15:53 451872 —-a-w- d:\program files\Common Files\LightScribe\LSRunOnce.exe
    .
    Contents of the 'Scheduled Tasks' folder
    .
    2011-07-07 d:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - d:\program files\Google\Update\GoogleUpdate.exe [2009-07-20 12:17]
    .
    2011-07-07 d:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - d:\program files\Google\Update\GoogleUpdate.exe [2009-07-20 12:17]
    .
    2011-07-07 d:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-1078081533-776561741-839522115-1003.job
    - d:\program files\Real\RealUpgrade\realupgrade.exe [2011-01-24 12:25]
    .
    2011-07-02 d:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-1078081533-776561741-839522115-1003.job
    - d:\program files\Real\RealUpgrade\realupgrade.exe [2011-01-24 12:25]
    .
    2011-07-07 d:\windows\Tasks\User_Feed_Synchronization-{47B69ACF-47BA-4A87-B46E-1C7C443CA548}.job
    - d:\windows\system32\msfeedssync.exe [2009-03-08 02:31]
    .
    .
    ——- Supplementary Scan ——-
    .
    uStart Page = hxxp://bwrk.startya.com/?cfg=2-490-0-0&engine_id=3&provider_id=3&product_id=490&country=MZ
    uDefault_Search_URL = hxxp://www.google.com/ie
    uSearchAssistant = hxxp://www.google.com/ie
    uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
    IE: &Search
    IE: Add to Google Photos Screensa&ver - d:\windows\system32\GPhotos.scr/200
    IE: Sothink SWF Catcher - d:\program files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm
    IE: {{d9288080-1baa-4bc4-9cf8-a92d743db949} - d:\documents and settings\Minda\Start Menu\Programs\IMVU\Run IMVU.lnk
    TCP: DhcpNameServer = 192.168.1.1
    TCP: Interfaces\{1D5E3925-2CB4-4C39-8C1F-73B243802401}: NameServer = 208.67.222.222,208.67.220.220
    .
    - - - - ORPHANS REMOVED - - - -
    .
    BHO-{31B27F2D-6BC6-451B-B3D2-4EAB36B2FC3B} - (no file)
    BHO-{51a86bb3-6602-4c85-92a5-130ee4864f13} - (no file)
    BHO-{64182481-4F71-486b-A045-B233BD0DA8FC} - (no file)
    Toolbar-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
    WebBrowser-{DD02A4EB-4AFD-4D60-99D8-E67F964CA813} - (no file)
    WebBrowser-{9C25D2EF-C545-49EE-BD1A-F264B273EC10} - (no file)
    WebBrowser-{604BC32A-9680-40D1-9AC6-E06B23A1BA4C} - (no file)
    WebBrowser-{414B6D9D-4A95-4E8D-B5B1-149DD2D93BB3} - (no file)
    WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
    HKLM-Run-Cmaudio - cmicnfg.cpl
    MSConfigStartUp-EzPrint - d:\program files\Lexmark 2300 Series\ezprint.exe
    MSConfigStartUp-Google Update - d:\documents and settings\Minda\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
    MSConfigStartUp-lxcgmon - d:\program files\Lexmark 2300 Series\lxcgmon.exe
    MSConfigStartUp-Steam - e:\ctee\DARK SIDERS!!!!\Steam.exe
    MSConfigStartUp-TkBellExe - d:\program files\Real\RealPlayer\update\realsched.exe
    AddRemove-Longman Active Study Dictionary 4th edition - d:\program files\Longman\LASD4\Uninst.isu
    .
    .
    .
    **************************************************************************
    .
    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2011-07-07 05:58
    Windows 5.1.2600 Service Pack 3 NTFS
    .
    scanning hidden processes …
    .
    scanning hidden autostart entries …
    .
    scanning hidden files …
    .
    scan completed successfully
    hidden files: 0
    .
    **************************************************************************
    .
    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Akamai]
    "ServiceDll"="D:/Program Files/Common Files/Akamai/netsession_win_e477fed.dll"
    .
    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Akamai]
    "ServiceDll"="D:/Program Files/Common Files/Akamai/netsession_win_e477fed.dll"
    .
    ——————— LOCKED REGISTRY KEYS ———————
    .
    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{5ED60779-4DE2-4E07-B862-974CA4FF2E9C}]
    @Denied: (Full) (Everyone)
    "scansk"=hex(0):e4,18,7a,24,d1,d2,e3,5b,42,a2,cb,27,28,50,dd,d5,11,b2,69,f1,e7,
    c0,0e,27,e7,eb,95,cd,33,6d,03,4c,40,43,b7,43,aa,00,d9,b5,00,00,00,00,00,00,\
    .
    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{8ce044b0-b6eb-4cff-849e-39dc3a5304a0}]
    @Denied: (Full) (Everyone)
    "Model"=dword:00000062
    "Therad"=dword:0000001c
    .
    [HKEY_LOCAL_MACHINE\software\Microsoft\Environment*]
    "Licence0"="04F0D21-79D8-7A25-D702-433F"
    .
    [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
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
    .
    ——————— DLLs Loaded Under Running Processes ———————
    .
    - - - - - - - > 'explorer.exe'(3196)
    d:\windows\system32\msi.dll
    d:\windows\system32\ieframe.dll
    d:\windows\system32\OneX.DLL
    d:\windows\system32\eappprxy.dll
    d:\windows\system32\webcheck.dll
    d:\windows\system32\WPDShServiceObj.dll
    d:\windows\system32\PortableDeviceTypes.dll
    d:\windows\system32\PortableDeviceApi.dll
    .
    ———————— Other Running Processes ————————
    .
    d:\program files\Alwil Software\Avast5\AvastSvc.exe
    d:\program files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    d:\program files\Common Files\LightScribe\LSSrvc.exe
    d:\windows\system32\wdfmgr.exe
    d:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
    d:\program files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    d:\program files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    d:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
    d:\windows\SOUNDMAN.EXE
    d:\windows\system32\RunDll32.exe
    d:\windows\system32\wbem\unsecapp.exe
    d:\windows\system32\wscntfy.exe
    d:\program files\Lavasoft\Ad-Aware\AAWTray.exe
    .
    **************************************************************************
    .
    Completion time: 2011-07-07 06:06:44 - machine was rebooted
    ComboFix-quarantined-files.txt 2011-07-07 04:06
    .
    Pre-Run: 9,073,410,048 bytes free
    Post-Run: 11,770,093,568 bytes free
    .
    WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
    [boot loader]
    timeout=2
    default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
    [operating systems]
    c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
    UnsupportedDebug="do not select this" /debug
    multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
    C:\="Microsoft Windows"
    .
    - - End Of File - - 2C0209992F0E5CE799F9CACF3DB9AE8B

    Hopelijk alles goed. Alvast bedankt voor de snelle reactie's
    MVG perloc

  • Hoe draait nu die PC van jiuw zoon?

    Doe ook het volgende:


    [b:c357905d2f]Doe de ESET online scan (Klik).[/b:c357905d2f]
    [list:c357905d2f]
    [*:c357905d2f]Klik op de knop [b:c357905d2f]ESET Online Scanner[/b:c357905d2f]
    [*:c357905d2f]Zet een vinkje bij [b:c357905d2f]YES, I accept the Terms of Use[/b:c357905d2f]
    [*:c357905d2f]Klik op [b:c357905d2f]Start[/b:c357905d2f]
    [*:c357905d2f]Sta het ActiveX control toe om te installeren.
    [*:c357905d2f]Klik op [b:c357905d2f]"Advanced settings"[/b:c357905d2f]
    [*:c357905d2f]Zet een vinkje bij de volgende opties:
    [list:c357905d2f][*:c357905d2f][b:c357905d2f]Remove found threats[/b:c357905d2f]
    [*:c357905d2f][b:c357905d2f]Scan archives[/b:c357905d2f]
    [*:c357905d2f][b:c357905d2f]Scan for potentially unwanted applications[/b:c357905d2f]
    [*:c357905d2f][b:c357905d2f]Scan for potentially unsafe applications[/b:c357905d2f]
    [*:c357905d2f][b:c357905d2f]Enable Anti-Stealth technology [/b:c357905d2f][/list:u:c357905d2f]
    [*:c357905d2f]Klik op [b:c357905d2f]Start[/b:c357905d2f]
    [*:c357905d2f]De computer wordt nu gescand. Dit kan best lang duren, heb dus geduld.
    [*:c357905d2f]Je mag het venster sluiten wanneer de scan klaar is.
    [*:c357905d2f]Gebruik [b:c357905d2f]Kladblok[/b:c357905d2f] om het logje te openen. Dit logje vind je in de lokatie C:\Program Files\EsetOnlineScanner\[b:c357905d2f]log.txt[/b:c357905d2f]
    [*:c357905d2f]Kopieer en plak de inhoud van dit logje in je volgende bericht.[/list:u:c357905d2f]
    N.B.: deaktiveer tijdelijk je eigen antivirus tijdens de scan, dan is de onlinescan sneller!
  • Er is geen verschil in gebruik van de desktop voor dit alles. Het enige vesrchil is dat ik tot nu toe geen onverwachte reboot heb gezien.

    De scan heeft een paar uur geduurd.
    Hier is de log file. Toch nog 23 problemen gevonden!
    ESETSmartInstaller@High as CAB hook log:
    OnlineScanner.ocx - registred OK
    # version=7
    # iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
    # OnlineScanner.ocx=1.0.0.6528
    # api_version=3.0.2
    # EOSSerial=3aa1c7fced7af641b70d82644cdcf8d9
    # end=finished
    # remove_checked=true
    # archives_checked=true
    # unwanted_checked=true
    # unsafe_checked=true
    # antistealth_checked=true
    # utc_time=2011-07-08 06:35:36
    # local_time=2011-07-08 08:35:36 (+0200, South Africa Standard Time)
    # country="United Kingdom"
    # lang=1033
    # osver=5.1.2600 NT Service Pack 3
    # compatibility_mode=256 16777215 100 0 63112136 63112136 0 0
    # compatibility_mode=512 16777215 100 0 141702 141702 0 0
    # compatibility_mode=770 16774141 100 100 16760837 86808849 0 0
    # compatibility_mode=8192 67108863 100 0 2623 2623 0 0
    # scanned=109528
    # found=23
    # cleaned=23
    # scan_time=7959
    C:\Program Files\AskSBar\bar\1.bin\A2PLUGIN.DLL a variant of Win32/Toolbar.MyWebSearch application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
    C:\Program Files\ScreenMates\FELIX.EXE Win32/Joke.ScreenMate application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
    C:\System Volume Information\_restore{6FEA2D5E-0611-4305-81B4-24356E6E5AF6}\RP105\A0316287.DLL a variant of Win32/Toolbar.MyWebSearch application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
    C:\System Volume Information\_restore{6FEA2D5E-0611-4305-81B4-24356E6E5AF6}\RP105\A0316288.EXE Win32/Joke.ScreenMate application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
    D:\Documents and Settings\All Users\Application Data\ReviverSoft\RegistryReviver\InstallCache\{E31E4E05-4B6B-42A5-8623-EB530F8147F5}\RegistryReviver.msi a variant of Win32/SlowPCfighter application (deleted - quarantined) 00000000000000000000000000000000 C
    D:\Documents and Settings\Minda\Application Data\OpenCandy\OpenCandy_D2F56CFFAF48453EBB08546C339316CB\AFIRegistryReviverSetup_silent.exe a variant of Win32/SlowPCfighter application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
    D:\Documents and Settings\Minda\Application Data\OpenCandy\OpenCandy_D2F56CFFAF48453EBB08546C339316CB\AFIRegRevSilent_p2v1.exe a variant of Win32/SlowPCfighter application (deleted - quarantined) 00000000000000000000000000000000 C
    D:\Documents and Settings\Minda\Application Data\OpenCandy\OpenCandy_D2F56CFFAF48453EBB08546C339316CB\DLMgr_3_1.6.87.exe Win32/OpenCandy application (deleted - quarantined) 00000000000000000000000000000000 C
    D:\Documents and Settings\Minda\My Documents\Downloads\brutus-aet2 (1).zip Win32/PSWTool.Brutus application (deleted - quarantined) 00000000000000000000000000000000 C
    D:\Documents and Settings\Minda\My Documents\Downloads\brutus1.zip Win32/PSWTool.Brutus application (deleted - quarantined) 00000000000000000000000000000000 C
    D:\Documents and Settings\Minda\My Documents\Downloads\Dofus XP Bot v3.rar Win32/KeyLogger.Ardamax application (deleted - quarantined) 00000000000000000000000000000000 C
    D:\Documents and Settings\Minda\My Documents\Downloads\SmileyCentralPFSetup2.3.80.2.ZNman000.exe a variant of Win32/Toolbar.MyWebSearch.O application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
    D:\Program Files\Trend Micro\HiJackThis\backups\backup-20110706-203117-492-Reboot.exe Win32/Reboot.E application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
    D:\System Volume Information\_restore{6FEA2D5E-0611-4305-81B4-24356E6E5AF6}\RP104\A0315894.exe Win32/Reboot.E application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
    D:\System Volume Information\_restore{6FEA2D5E-0611-4305-81B4-24356E6E5AF6}\RP105\A0316289.msi a variant of Win32/SlowPCfighter application (deleted - quarantined) 00000000000000000000000000000000 C
    D:\System Volume Information\_restore{6FEA2D5E-0611-4305-81B4-24356E6E5AF6}\RP105\A0316290.exe a variant of Win32/SlowPCfighter application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
    D:\System Volume Information\_restore{6FEA2D5E-0611-4305-81B4-24356E6E5AF6}\RP105\A0316291.exe a variant of Win32/SlowPCfighter application (deleted - quarantined) 00000000000000000000000000000000 C
    D:\System Volume Information\_restore{6FEA2D5E-0611-4305-81B4-24356E6E5AF6}\RP105\A0316292.exe Win32/OpenCandy application (deleted - quarantined) 00000000000000000000000000000000 C
    D:\System Volume Information\_restore{6FEA2D5E-0611-4305-81B4-24356E6E5AF6}\RP105\A0316293.exe Win32/Reboot.E application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
    D:\WINDOWS\Installer\5cdf028.msi multiple threats (deleted - quarantined) 00000000000000000000000000000000 C
    E:\Documents and Settings\Minda\My Documents\Downloads\Paypal Money Adder Hack.rar Win32/AutoRun.VB.PW worm (deleted - quarantined) 00000000000000000000000000000000 C
    E:\Documents and Settings\Minda\My Documents\Downloads\Paypal Money Hack 2011 NEW WORKING.zip a variant of MSIL/Injector.BA trojan (deleted - quarantined) 00000000000000000000000000000000 C
    E:\Utilities\JOYS\FELIX.EXE Win32/Joke.ScreenMate application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C

    Hopelijk nu alles weer in orde?!
    MVG perloc
  • Hoi Perloc, als ik dat Eset-log een beetje analyseer, houdt jou zoon zich dus bezig met onzuivere activiteiten op het internet.

    Daarbij komt dat al zijn activiteiten geregistreerd zijn en doorgegeven aan andere internetcriminelen, is erm ogelijk zelfs sprake van identiteitsdiefstal!

    Graag commentaar.
  • Daar schrik ik toch wel behoorlijk van. Hij is 12 jaar en als je hem zou kennen zou je kunnen bevestigen dat het de meest innemende jongen is die je kende!

    Dus wat ik graag zou willen weten is wat je precies bedoelt met "onzuivere activiteiten".
    Zover ik dat kan nagaan download hij eenvoudige spelletjes en met een daarvan is hij de laatste tijd intensief bezig. Zijn computer, noch de langzame internet verbinding laat toe dat hij erg intensief bezig kan zijn op Internet.

    En dan zou ik ook willen weten hoe ik dit verder kan voorkomen. Internet toegang ontzeggen kan natuuurlijk niet, en ikzelf steeds aan zijn zij meekijken is ook geen oplossing.
    Internet verbieden?
    De HD's formatten en de kale Windows er weer opzetten?
    Dus allereerst moet ik weten wat de aard is van de gevaarlijke dingen waar hij mee bezig is.

    Hieraan toevoegend kan ik melden dat ook mijn schoonzusje, 24 jaar, deze computer gebruikt. Dus misschien dat zij…. Maar ze gebruikt hem maar tamelijk weinig, veelal voor het studie, maar wel heeft ze meen ik ook correspondentie met anderen via ehhhh hoe heet dat ook alweer in Windows….

    Hartelijk dank voor de info.
    MVG perloc
  • Heeft jouw zoon mogelijk een notebook, welk hij ook mee neemt naar andere adressen?
  • Nee, en Minda mijn schoonzusje ook niet!
    Ze werken alleen op de desktop.
    perloc
  • Awel Perloc, dan is het jouw schoonzus, die niet helemaal zuiver van graat is!

    D:\Documents and Settings\Minda\My Documents\Downloads\brutus1.zip Win32/PSWTool.Brutus application
    = een wachtwoord steler

    D:\Documents and Settings\Minda\My Documents\Downloads\Dofus XP Bot v3.rar Win32/KeyLogger.Ardamax application
    Om andere gebruikers te bespioneren.

    E:\Documents and Settings\Minda\My Documents\Downloads\Paypal Money Adder Hack.rar
    E:\Documents and Settings\Minda\My Documents\Downloads\Paypal Money Hack 2011 NEW WORKING.zip
    = Paypal Money Hack 2011 NEW WORKING om geld te stelen van Paypal

    Voordat we verder gaan, wil ik graag dat jij het volgende goed leest:

    http://www.schoonepc.nl/tools/windowssteadystate.html
  • Wel een pak van mijn hart dat het mijn zoon niet is! Ik kon me het ook haast niet goed voorstellen, maar dat zeggen vaak ouders wiens kinderen ontsporen!
    Ik heb het Steady State artikel even doorgenomen, (nog niet tot op het bot) en zal het zeker installeren! Neem aan dat het in het Engels is, op onze computers is alles in het Engels omdat ik de enige ben die Nederlands kan lezen en spreken, en zoals je ziet, schrijven.
    Er wordt in geadviseerd om Windows helemaal opnieuw te installeren. Voor mijn zoon is dat niet zo erg en Minda moet haar handeltje dan maar op de 2de HD zetten wat ze wil bewaren.
    Ik zal haar tevens onderhouden dat het wel mis is waarmee ze bezig is.

    Maar misschien kun u me zeggen dat alles wissen en opnieuw beginnen niet nodig is na alle anti virus software die we op de computer hebben losgelaten. Dat (opnieuw installeren) is namelijk een hele klus, maar heeft ook wel voordelen. Graag advies.
    En tevens hoe het verder moet.
    MVG perloc
  • Ik kan zelf natuurlijk wel zoeken op Internet, maar misschien heeft u een link bijdehand voor de Engelse handleiding versie van Steady State.
    Met het Nederlands heb ik natuurlijk geen moeite maar wel met de Nederlandse termen van het OS die ik in het Engels moet hebben. Een op een vertaling lukt niet altijd, is mijn ervaring.
    perloc
  • Kijk dan maar eens hier: http://www.microsoft.com/download/en/details.aspx?id=24373
  • Die site verwijst naar Windows7. Het gaat hier om WindowsXP.
    Ik zal zelf wel iets zoeken op Internet
    MVG perloc
  • Alsjeblieft: http://www.microsoft.com/download/en/details.aspx?id=4310
  • Die had ik al gevonden - but anyway, thanks a lot!
    Is wel erg uitgebreid. Die van SchoonePC is beknopter.
    perloc
  • Ik raad je aan die PC helemaal schoon te installeren met XP.

    En of je nu StadyState 2.5 gaat gebruiken of niet, geef je schoonzus een gebruikersaccount met beperkte rechten!

    En mogelijk is het zelfs het beste het bios van een wachtwoord te voorzien, dat alleen jouw en je zoon bekend mag zijn.
    Want anders weet je schoonzus doormiddel van tools haar gebruikersaccount alsnog van administratorrechten te voorzien!
  • Ik had al besloten de systeem HD schoon te maken.
    Zover ik dat kan nagaan weet MInda niets van adminstrator rechten en gebruikersaccounts dus ze zal niet zo snel een beperkte toegang trachten ongedaan te maken. Daarvoor moet ze veel meer keniis hebben van O-systemen dan ze nu heeft.

    Verder heeft ze gezegd niets van Paypal te weten! Ze wist niet wat dat was. Dus hoe dat er komt weet ik niet. Van mij zoon al helemaal niet.

    In ieder geval hardstikke bedankt!!
    MVG perloc

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.