Vraag & Antwoord
Computer reboot af en toe. Hijactlog
31 antwoorden
- De computer van mijn zoon reboot af en toe spontaan.
Ik heb de laatste versie van MBAM gedownload en daarna de update gedaan en MBAM gestart. Die heeft 14 problemen, allemaal adware en spyware verwijderd.
Daarna heb ik HIJactThis gedownload en gestart en hier is de log file.
Zou iemand zo vriendelijk willen zijn er naar te kijken?
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 15:02:22, on 06/07/11
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
D:\Program Files\Alwil Software\Avast5\AvastSvc.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\SOUNDMAN.EXE
D:\WINDOWS\system32\RunDll32.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\cisvc.exe
D:\Program Files\Alwil Software\Avast5\avastUI.exe
D:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
D:\WINDOWS\system32\igfxtray.exe
D:\WINDOWS\system32\hkcmd.exe
D:\WINDOWS\system32\igfxpers.exe
D:\Program Files\Common Files\LightScribe\LSSrvc.exe
D:\Program Files\Common Files\Real\Update_OB\realsched.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
E:\ctee\steamm\Steam.exe
D:\Program Files\Macrium\Reflect\ReflectService.exe
D:\WINDOWS\system32\svchost.exe
D:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
D:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
D:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
D:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
D:\WINDOWS\system32\wscntfy.exe
D:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\msiexec.exe
D:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://uk.msn.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://bwrk.startya.com/?cfg=2-490-0-0&engine_id=3&provider_id=3&product_id=490&country=MZ
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=4526bd97000000000000002522464fb7&tlver=1.4.19.19&ss=1&affID=18042
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Babylon toolbar helper - {2EECD738-5844-4a99-B4B6-146BF802613B} - (no file)
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - D:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SBCONVERT - {31B27F2D-6BC6-451B-B3D2-4EAB36B2FC3B} - (no file)
O2 - BHO: Softonic-Eng7 Toolbar - {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} - D:\Program Files\Softonic-Eng7\tbSoft.dll
O2 - BHO: BrotherSoft Extreme - {51a86bb3-6602-4c85-92a5-130ee4864f13} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {64182481-4F71-486b-A045-B233BD0DA8FC} - (no file)
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Jhoos Toolbar - {9c25d2ef-c545-49ee-bd1a-f264b273ec10} - (no file)
O2 - BHO: eSnipBHO - {B530A9A4-1722-4D16-AAD6-AA85E3AD2ADE} - (no file)
O2 - BHO: uTorrentBar Toolbar - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - (no file)
O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - D:\PROGRA~1\TEXTware\QUICKF~1\PlugIns\IEHelp.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
O2 - BHO: PHPNukeEN Toolbar - {dd02a4eb-4afd-4d60-99d8-e67f964ca813} - (no file)
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - (no file)
O2 - BHO: Pando Toolbar - {EC8677A0-C3EE-42e1-B85B-3FCE1728F6BA} - (no file)
O3 - Toolbar: PHPNukeEN Toolbar - {dd02a4eb-4afd-4d60-99d8-e67f964ca813} - (no file)
O3 - Toolbar: Jhoos Toolbar - {9c25d2ef-c545-49ee-bd1a-f264b273ec10} - (no file)
O3 - Toolbar: Softonic-Eng7 Toolbar - {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} - D:\Program Files\Softonic-Eng7\tbSoft.dll
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
O3 - Toolbar: BrotherSoft Extreme Toolbar - {51a86bb3-6602-4c85-92a5-130ee4864f13} - (no file)
O3 - Toolbar: Pando Toolbar - {EC8677A0-C3EE-42e1-B85B-3FCE1728F6BA} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avast5] "D:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui
O4 - HKLM\..\Run: [igfxtray] D:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] D:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] D:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [TkBellExe] "D:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Steam] "E:\ctee\steamm\Steam.exe" -silent
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] D:\WINDOWS\system32\Macromed\Flash\FlashUtil10m_ActiveX.exe -update activex
O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [RunNarrator] Narrator.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [RunNarrator] Narrator.exe (User 'Default user')
O4 - Startup: IMVU.lnk = D:\Documents and Settings\Minda\Application Data\IMVUClient\IMVUQualityAgent.exe
O4 - Startup: Reboot.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://D:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Sothink SWF Catcher - D:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - D:\Documents and Settings\Minda\Start Menu\Programs\IMVU\Run IMVU.lnk
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - D:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - D:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\WINDOWS\system32\shdocvw.dll
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O16 - DPF: {E77F23EB-E7AB-4502-8F37-247DBAF1A147} (Windows Live Hotmail Photo Upload Tool) - http://gfx2.hotmail.com/mail/w4/pr01/photouploadcontrol/MSNPUpld.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1D5E3925-2CB4-4C39-8C1F-73B243802401}: NameServer = 208.67.222.222,208.67.220.220
O17 - HKLM\System\CS1\Services\Tcpip\..\{1D5E3925-2CB4-4C39-8C1F-73B243802401}: NameServer = 208.67.222.222,208.67.220.220
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - D:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - D:\WINDOWS\system32\browseui.dll
O23 - Service: avast! Antivirus - AVAST Software - D:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - AVAST Software - D:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - AVAST Software - D:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - D:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Update Service (gupdatem) (gupdatem) - Google Inc. - D:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google Inc. - (no file)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - D:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - D:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - D:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: lxcg_device - - D:\WINDOWS\system32\lxcgcoms.exe
O23 - Service: Macrium Reflect Image Mounting Service (ReflectService) - Unknown owner - D:\Program Files\Macrium\Reflect\ReflectService.exe
O23 - Service: Yahoo! Updater (YahooAUService) - Unknown owner - D:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe (file missing)
O24 - Desktop Component 0: (no name) - http://t2.gstatic.com/images?q=tbn:4h6ipH1emhim_M:http://image.shutterstock.com/display_pic_with_logo/584761/584761,1272031707,6/stock-photo-ten-year-old-asian-girl-lying-on-sand-at-beach-51569068.jpg&t=1
–
End of file - 10669 bytes
Met dank en vriendelijke groet
perloc - Hoi Perloc, wil jij het log van MBAM, waarover je spreekt, alsnog posten?
Start daarvoor MBAM, klik op de tab Logbestanden.
Doe ook alvast het volgende:
sluit alle openstaande webvensters - behalve dit venster, dat je sluit voor het moment, dat je op de knop [b:399acc21e5]Fix checked[/b:399acc21e5] klikt!
Start nu HijackThis en klik op de knop [b:399acc21e5]Do a Scan only,
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=4526bd97000000000 000002522464fb7&tlver=1.4.19.19&ss=1&affID=18042
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Babylon toolbar helper - {2EECD738-5844-4a99-B4B6-146BF802613B} - (no file)
O2 - BHO: SBCONVERT - {31B27F2D-6BC6-451B-B3D2-4EAB36B2FC3B} - (no file)
O2 - BHO: Softonic-Eng7 Toolbar - {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} - D:\Program Files\Softonic-Eng7\tbSoft.dll
O2 - BHO: Jhoos Toolbar - {9c25d2ef-c545-49ee-bd1a-f264b273ec10} - (no file)
O2 - BHO: eSnipBHO - {B530A9A4-1722-4D16-AAD6-AA85E3AD2ADE} - (no file)
O2 - BHO: uTorrentBar Toolbar - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - (no file)
O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - D:\PROGRA~1\TEXTware\QUICKF~1\PlugIns\IEHelp.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
O2 - BHO: PHPNukeEN Toolbar - {dd02a4eb-4afd-4d60-99d8-e67f964ca813} - (no file)
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - (no file)
O2 - BHO: Pando Toolbar - {EC8677A0-C3EE-42e1-B85B-3FCE1728F6BA} - (no file)
O3 - Toolbar: PHPNukeEN Toolbar - {dd02a4eb-4afd-4d60-99d8-e67f964ca813} - (no file)
O3 - Toolbar: Jhoos Toolbar - {9c25d2ef-c545-49ee-bd1a-f264b273ec10} - (no file)
O3 - Toolbar: Softonic-Eng7 Toolbar - {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} - D:\Program Files\Softonic-Eng7\tbSoft.dll
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
O3 - Toolbar: BrotherSoft Extreme Toolbar - {51a86bb3-6602-4c85-92a5-130ee4864f13} - (no file)
O3 - Toolbar: Pando Toolbar - {EC8677A0-C3EE-42e1-B85B-3FCE1728F6BA} - (no file)
O4 - Startup: Reboot.exe
O24 - Desktop Component 0: (no name) - http://t2.gstatic.com/images?q=tbn:4h6ipH1emhim_M:http://image.shutterstock.com/ display_pic_with_logo/584761/584761,1272031707,6/stock-photo-ten-year-old-asian- girl-lying-on-sand-at-beach-51569068.jpg&t=1[/b:399acc21e5]
[list:399acc21e5][*:399acc21e5] zet een vinkje voor die regel(s) welke met de bovenstaande regels corresponderen
[*:399acc21e5] Sluit nu de webbrowser en vervolgens klik je daarna op de knop [b:399acc21e5]Fix checked[/b:399acc21e5]
[*:399acc21e5] Klik hierna HijackThis op uit.[/list:u:399acc21e5]
[b:399acc21e5] Start de computer na de fix opnieuw op[/b:399acc21e5] - Hallo Abraham54, hier de log van MBAM vanmorgen gedraaid:
Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org
Database version: 7031
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
06/07/11 10:13:09
mbam-log-2011-07-06 (10-13-09).txt
Scan type: Full scan (C:\|D:\|E:\|H:\|)
Objects scanned: 305349
Time elapsed: 1 hour(s), 55 minute(s), 42 second(s)
Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 2
Files Infected: 12
Memory Processes Infected:
(No malicious items detected)
Memory Modules Infected:
(No malicious items detected)
Registry Keys Infected:
(No malicious items detected)
Registry Values Infected:
(No malicious items detected)
Registry Data Items Infected:
(No malicious items detected)
Folders Infected:
d:\program files\relevantknowledge (Spyware.MarketScore) -> Quarantined and deleted successfully.
d:\documents and settings\all users\start menu\Programs\relevantknowledge (Spyware.MarketScore) -> Quarantined and deleted successfully.
Files Infected:
d:\program files\relevantknowledge\rlls.dll (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
d:\program files\relevantknowledge\rlls64.dll (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
d:\program files\relevantknowledge\rlservice.exe (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
d:\program files\relevantknowledge\rlvknlg.exe (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
d:\program files\relevantknowledge\rlvknlg64.exe (Adware.RelevantKnowledge) -> Quarantined and deleted successfully.
d:\documents and settings\all users\start menu\Programs\relevantknowledge\uninstall instructions.lnk (Spyware.MarketScore) -> Quarantined and deleted successfully.
d:\program files\relevantknowledge\ncncf.dat (Spyware.MarketScore) -> Quarantined and deleted successfully.
d:\program files\relevantknowledge\nscf.dat (Spyware.MarketScore) -> Quarantined and deleted successfully.
d:\program files\relevantknowledge\rloci.bin (Spyware.MarketScore) -> Quarantined and deleted successfully.
d:\documents and settings\all users\start menu\Programs\relevantknowledge\about relevantknowledge.lnk (Spyware.MarketScore) -> Quarantined and deleted successfully.
d:\documents and settings\all users\start menu\Programs\relevantknowledge\privacy policy and user license agreement.lnk (Spyware.MarketScore) -> Quarantined and deleted successfully.
d:\documents and settings\all users\start menu\Programs\relevantknowledge\Support.lnk (Spyware.MarketScore) -> Quarantined and deleted successfully.
Ik zal de items van de HijactThis verwijderen
Moet ik nog een nieuwe Hijactlog plaatsen?
MVG perloc - Hoi perloc, nu mag je eerst het volgende gaan doen:
[b:3b613f9394]Welk programma[/b:3b613f9394]: ComboFix
[b:3b613f9394]Waarvoor/waarom[/b:3b613f9394]: Zeer specialistische scanner om Windows diepgaand te onderzoeken
en zo mogelijk op te schonen.
[b:3b613f9394]Moeilijkheidsgraad[/b:3b613f9394]: Min of meer lastige voorbereidingsfase, dus lees alles eerst goed.
[b:3b613f9394]Downloadlokatie[/b:3b613f9394]: Dit programma absoluut naar het bureaublad downloaden!
[b:3b613f9394]Download ComboFix via één van deze locaties[/b:3b613f9394]:
[list:3b613f9394][*:3b613f9394][b:3b613f9394]Bleepingcomputer[/b:3b613f9394]
[*:3b613f9394][b:3b613f9394]ForoSpyware[/b:3b613f9394]
[*:3b613f9394][b:3b613f9394]Geekstogo[/b:3b613f9394][/list:u:3b613f9394]
[b:3b613f9394]Hier[/b:3b613f9394] zie je hoe je ComboFix moet gebruiken.
Antivirusprogramma en actieve malwarescanners dienen al voor de ComboFix start gedeaktiveert zijn!
[b:3b613f9394]Hier[/b:3b613f9394] en [b:3b613f9394]hier[/b:3b613f9394] vindt je gegevens hoe antivirusprogramma's en spywarescanners te deaktiveren.
[b:3b613f9394]Voor alle duidelijkheid nogmaals[/b:3b613f9394]: ComboFix dient vanaf het bureaublad gestart te worden.
[b:3b613f9394]Opmerkingen[/b:3b613f9394]:
[list:3b613f9394][*:3b613f9394] Bij gebruik van Windows XP zal er mogelijk gevraagd worden, om de "Recovery Console" te installeren! Sta dit dan toe (hiervoor is een actieve internet verbinding vereist).
[*:3b613f9394]Vista- en Windows 7 gebruikers starten Combofix op via rechtsklik met Administratorrechten.
[*:3b613f9394]Alle openstaande programma's en webpagina's dienen afgesloten te zijn.[/list:u:3b613f9394]
[b:3b613f9394]ComboFix is opgestart[/b:3b613f9394]:
[list:3b613f9394][*:3b613f9394]Niet in het zwarte venster klikken, hierdoor kan ComboFix of zelfs Windows geheel "bevriezen"!
[*:3b613f9394]Combofix sluit tijdens de scan de internet verbinding – probeer deze tussentijds niet te herstellen!
[*:3b613f9394]Het kan voorkomen dat de computer meerdere malen opnieuw opgestart moet worden, dit is normaal.
[*:3b613f9394]Wanneer ComboFix gereed is, zal het het een logbestand voor je maken.
[*:3b613f9394]Post de inhoud van dit logbestand in je volgende bericht.
[*:3b613f9394]Indien het log niet opstart, is dit terug tevinden in C:\ComboFix.txt[/list:u:3b613f9394]
[b:3b613f9394]Belangrijke opmerking[/b:3b613f9394]:
[list:3b613f9394][*:3b613f9394][b:3b613f9394] - Hier is de Combofix log file.
Het is niet zonder slag of stoot gegaan!
Combofix meldde dat de Recovery Console niet was te vinden.
Ik kreeg de gelegenheid om die te downloaden en installeren.
De download werd 2x100% gedaan en toen gebeurde er niets meer.
Ik heb een half uur gewacht en toen Combofix opnieuw opgestart.
Weer hetzelfde verhaal met dit verschil dat de Recovery Console met succes is geinstalleerd.
Combofix meldde tevens dat de Internet verbinding zou worden geblokkeerd. Dat is niet gebeurd en ik vond het wel eng zolang met een open Internet verbinding zonder firewall en virusscanner.
Combofic gedownload van "Bleepingcomputer" maar meldde desondanks dat er een nieuwere versie beschikbaar was. Dat heb ik uit veiligheidsoverwegingen niet gedaan (de download meen ik) want ik vertrouwde dat niet.
Hier de log file:
ComboFix 11-07-06.04 - Minda 07/07/11 5:39.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1033.18.1015.431 [GMT 2:00]
Running from: d:\documents and settings\Minda\Desktop\ComboFix.exe
AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
FW: Sunbelt Kerio Personal Firewall *Disabled* {E659E0EE-10E6-49B7-8696-60F38D0EB174}
.
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
d:\documents and settings\Minda\Application Data\facemoods.com
d:\documents and settings\Minda\WINDOWS
d:\program files\facemoods.com
d:\program files\facemoods.com\facemoods\1.4.17.8\bh\facemoods.dll
d:\program files\facemoods.com\facemoods\1.4.17.8\facemoods.crx
d:\program files\facemoods.com\facemoods\1.4.17.8\facemoods.png
d:\program files\facemoods.com\facemoods\1.4.17.8\facemoodsApp.dll
d:\program files\facemoods.com\facemoods\1.4.17.8\facemoodsEng.dll
d:\program files\facemoods.com\facemoods\1.4.17.8\facemoodssrv.exe
d:\program files\facemoods.com\facemoods\1.4.17.8\facemoodsTlbr.dll
d:\program files\facemoods.com\facemoods\1.4.17.8\uninstall.exe
d:\program files\facemoods.com\sqlite3.dll
d:\program files\filesubmit
d:\program files\filesubmit\184760\184760.zip
d:\program files\filesubmit\184760\internal-flame-ws.zip
.
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
——-\Legacy_MYWEBSEARCHSERVICE
.
.
((((((((((((((((((((((((( Files Created from 2011-06-07 to 2011-07-07 )))))))))))))))))))))))))))))))
.
.
2011-07-06 13:01 . 2011-07-06 13:01 388096 —-a-r- d:\documents and settings\Minda\Application Data\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2011-07-06 13:01 . 2011-07-06 13:01 ——– d—–w- d:\program files\Trend Micro
2011-07-02 04:50 . 2011-07-02 04:50 569397 —-a-w- d:\program files\Internet Explorer\PLUGINS\RichFX\Player\nprfxins.dll
2011-06-30 16:20 . 2011-07-07 03:57 ——– d—–w- d:\program files\Common Files\Akamai
2011-06-25 16:37 . 2011-06-25 16:37 ——– d—–w- d:\documents and settings\Minda\Application Data\YCanPDF
2011-06-25 16:37 . 2011-06-25 16:37 ——– d—–w- d:\windows\system32\shellconv
2011-06-25 16:37 . 2011-06-25 16:48 ——– d—–w- d:\program files\Okdo Ppt Pptx to Swf Converter
2011-06-25 16:15 . 2011-06-25 16:15 ——– d—–w- d:\program files\Common Files\SourceTec
2011-06-25 16:14 . 2011-06-25 16:29 ——– d—–w- d:\program files\SourceTec
2011-06-25 15:25 . 2011-06-25 15:25 ——– d—–w- d:\documents and settings\Minda\Local Settings\Application Data\Batchwork
2011-06-24 07:37 . 2011-07-07 03:59 ——– d—–w- d:\documents and settings\Minda\Application Data\IMVU
2011-06-23 15:17 . 2011-07-02 16:38 ——– d—–w- d:\documents and settings\Minda\nimbuzz
2011-06-16 17:22 . 2011-06-16 17:22 ——– d—–w- d:\program files\Microsoft Games
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-05-29 07:11 . 2009-11-11 12:14 39984 —-a-w- d:\windows\system32\drivers\mbamswissarmy.sys
2011-05-29 07:11 . 2009-11-11 12:14 22712 —-a-w- d:\windows\system32\drivers\mbam.sys
2011-05-14 09:29 . 2011-05-14 09:29 9216 —-a-r- d:\documents and settings\Minda\Application Data\Microsoft\Installer\{7426428E-71D4-452C-BA13-B14E5EB52859}\Icon7426428E16.exe
.
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="d:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"Steam"="e:\ctee\steamm\Steam.exe" [2011-07-02 1242448]
"ctfmon.exe"="d:\windows\system32\ctfmon.exe" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2004-10-27 73728]
"avast5"="d:\program files\Alwil Software\Avast5\avastUI.exe" [2010-09-07 2838912]
"igfxtray"="d:\windows\system32\igfxtray.exe" [2005-09-20 94208]
"igfxhkcmd"="d:\windows\system32\hkcmd.exe" [2005-09-20 77824]
"igfxpers"="d:\windows\system32\igfxpers.exe" [2005-09-20 114688]
"TkBellExe"="d:\program files\Common Files\Real\Update_OB\realsched.exe" [2011-07-02 198160]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="d:\windows\system32\ctfmon.exe" [2008-04-14 15360]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"RunNarrator"="Narrator.exe" [2008-04-14 53760]
"tscuninstall"="d:\windows\system32\tscupgrd.exe" [2004-08-04 44544]
.
d:\documents and settings\Minda\Start Menu\Programs\Startup\
IMVU.lnk - d:\documents and settings\Minda\Application Data\IMVUClient\IMVUQualityAgent.exe [2011-6-17 22784]
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0lsdelete\0oodbs
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"
.
[HKLM\~\startupfolder\D:^Documents and Settings^All Users^Start Menu^Programs^Startup^Adobe Reader Speed Launch.lnk]
backup=d:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup
.
[HKLM\~\startupfolder\D:^Documents and Settings^Minda^Start Menu^Programs^Startup^CapsUnlock.lnk]
backup=d:\windows\pss\CapsUnlock.lnkStartup
.
[HKLM\~\startupfolder\D:^Documents and Settings^Minda^Start Menu^Programs^Startup^Shortcut to TCLOCKEX.EXE.lnk]
backup=d:\windows\pss\Shortcut to TCLOCKEX.EXE.lnkStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LightScribe Control Panel]
2007-07-18 15:55 451872 —-a-w- d:\program files\Common Files\LightScribe\LightScribeControlPanel.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VTTimer]
2004-05-27 08:09 49152 —-a-r- d:\windows\system32\VTTimer.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VTTrayp]
2004-06-07 23:58 143360 —-a-r- d:\windows\system32\VTTrayp.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"wuauserv"=2 (0x2)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"e:\\ctee\\steamm\\Steam.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1041:TCP"= 1041:TCP:Akamai NetSession Interface
"5000:UDP"= 5000:UDP:Akamai NetSession Interface
.
R0 Lbd;Lbd;d:\windows\system32\drivers\Lbd.sys [08/07/09 08:27 64160]
R0 pssnap;Paramount Software Snapshot Filter;d:\windows\system32\drivers\pssnap.sys [20/05/08 08:32 15328]
R1 aswSP;aswSP;d:\windows\system32\drivers\aswSP.sys [18/11/09 09:04 165584]
R1 fwdrv;Firewall Driver;d:\windows\system32\drivers\fwdrv.sys [18/07/06 12:02 284184]
R1 khips;Kerio HIPS Driver;d:\windows\system32\drivers\khips.sys [18/07/06 12:02 91672]
R2 Akamai;Akamai NetSession Interface;d:\windows\System32\svchost.exe -k Akamai [04/08/04 14:00 14336]
R2 aswFsBlk;aswFsBlk;d:\windows\system32\drivers\aswFsBlk.sys [18/11/09 09:04 17744]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;d:\program files\Lavasoft\Ad-Aware\AAWService.exe [09/03/09 21:06 1029456]
R2 ReflectService;Macrium Reflect Image Mounting Service;d:\program files\Macrium\Reflect\ReflectService.exe [06/08/08 11:34 216032]
S0 laemnio;laemnio;d:\windows\system32\drivers\uvkne.sys –> d:\windows\system32\drivers\uvkne.sys [?]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;d:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18/03/10 13:16 130384]
S2 gupdate;Google Update Service (gupdate);d:\program files\Google\Update\GoogleUpdate.exe [20/07/09 14:18 133104]
S3 gupdatem;Google Update Service (gupdatem);d:\program files\Google\Update\GoogleUpdate.exe [20/07/09 14:18 133104]
S3 MBAMSwissArmy;MBAMSwissArmy;d:\windows\system32\drivers\mbamswissarmy.sys [11/11/09 14:14 39984]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;d:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18/03/10 13:16 753504]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Akamai REG_MULTI_SZ Akamai
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2007-07-18 15:53 451872 —-a-w- d:\program files\Common Files\LightScribe\LSRunOnce.exe
.
Contents of the 'Scheduled Tasks' folder
.
2011-07-07 d:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- d:\program files\Google\Update\GoogleUpdate.exe [2009-07-20 12:17]
.
2011-07-07 d:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- d:\program files\Google\Update\GoogleUpdate.exe [2009-07-20 12:17]
.
2011-07-07 d:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-1078081533-776561741-839522115-1003.job
- d:\program files\Real\RealUpgrade\realupgrade.exe [2011-01-24 12:25]
.
2011-07-02 d:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-1078081533-776561741-839522115-1003.job
- d:\program files\Real\RealUpgrade\realupgrade.exe [2011-01-24 12:25]
.
2011-07-07 d:\windows\Tasks\User_Feed_Synchronization-{47B69ACF-47BA-4A87-B46E-1C7C443CA548}.job
- d:\windows\system32\msfeedssync.exe [2009-03-08 02:31]
.
.
——- Supplementary Scan ——-
.
uStart Page = hxxp://bwrk.startya.com/?cfg=2-490-0-0&engine_id=3&provider_id=3&product_id=490&country=MZ
uDefault_Search_URL = hxxp://www.google.com/ie
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: &Search
IE: Add to Google Photos Screensa&ver - d:\windows\system32\GPhotos.scr/200
IE: Sothink SWF Catcher - d:\program files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm
IE: {{d9288080-1baa-4bc4-9cf8-a92d743db949} - d:\documents and settings\Minda\Start Menu\Programs\IMVU\Run IMVU.lnk
TCP: DhcpNameServer = 192.168.1.1
TCP: Interfaces\{1D5E3925-2CB4-4C39-8C1F-73B243802401}: NameServer = 208.67.222.222,208.67.220.220
.
- - - - ORPHANS REMOVED - - - -
.
BHO-{31B27F2D-6BC6-451B-B3D2-4EAB36B2FC3B} - (no file)
BHO-{51a86bb3-6602-4c85-92a5-130ee4864f13} - (no file)
BHO-{64182481-4F71-486b-A045-B233BD0DA8FC} - (no file)
Toolbar-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
WebBrowser-{DD02A4EB-4AFD-4D60-99D8-E67F964CA813} - (no file)
WebBrowser-{9C25D2EF-C545-49EE-BD1A-F264B273EC10} - (no file)
WebBrowser-{604BC32A-9680-40D1-9AC6-E06B23A1BA4C} - (no file)
WebBrowser-{414B6D9D-4A95-4E8D-B5B1-149DD2D93BB3} - (no file)
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
HKLM-Run-Cmaudio - cmicnfg.cpl
MSConfigStartUp-EzPrint - d:\program files\Lexmark 2300 Series\ezprint.exe
MSConfigStartUp-Google Update - d:\documents and settings\Minda\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
MSConfigStartUp-lxcgmon - d:\program files\Lexmark 2300 Series\lxcgmon.exe
MSConfigStartUp-Steam - e:\ctee\DARK SIDERS!!!!\Steam.exe
MSConfigStartUp-TkBellExe - d:\program files\Real\RealPlayer\update\realsched.exe
AddRemove-Longman Active Study Dictionary 4th edition - d:\program files\Longman\LASD4\Uninst.isu
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-07-07 05:58
Windows 5.1.2600 Service Pack 3 NTFS
.
scanning hidden processes …
.
scanning hidden autostart entries …
.
scanning hidden files …
.
scan completed successfully
hidden files: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Akamai]
"ServiceDll"="D:/Program Files/Common Files/Akamai/netsession_win_e477fed.dll"
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Akamai]
"ServiceDll"="D:/Program Files/Common Files/Akamai/netsession_win_e477fed.dll"
.
——————— LOCKED REGISTRY KEYS ———————
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{5ED60779-4DE2-4E07-B862-974CA4FF2E9C}]
@Denied: (Full) (Everyone)
"scansk"=hex(0):e4,18,7a,24,d1,d2,e3,5b,42,a2,cb,27,28,50,dd,d5,11,b2,69,f1,e7,
c0,0e,27,e7,eb,95,cd,33,6d,03,4c,40,43,b7,43,aa,00,d9,b5,00,00,00,00,00,00,\
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{8ce044b0-b6eb-4cff-849e-39dc3a5304a0}]
@Denied: (Full) (Everyone)
"Model"=dword:00000062
"Therad"=dword:0000001c
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Environment*]
"Licence0"="04F0D21-79D8-7A25-D702-433F"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
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
.
——————— DLLs Loaded Under Running Processes ———————
.
- - - - - - - > 'explorer.exe'(3196)
d:\windows\system32\msi.dll
d:\windows\system32\ieframe.dll
d:\windows\system32\OneX.DLL
d:\windows\system32\eappprxy.dll
d:\windows\system32\webcheck.dll
d:\windows\system32\WPDShServiceObj.dll
d:\windows\system32\PortableDeviceTypes.dll
d:\windows\system32\PortableDeviceApi.dll
.
———————— Other Running Processes ————————
.
d:\program files\Alwil Software\Avast5\AvastSvc.exe
d:\program files\Sunbelt Software\Personal Firewall\kpf4ss.exe
d:\program files\Common Files\LightScribe\LSSrvc.exe
d:\windows\system32\wdfmgr.exe
d:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
d:\program files\Sunbelt Software\Personal Firewall\kpf4gui.exe
d:\program files\Sunbelt Software\Personal Firewall\kpf4gui.exe
d:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
d:\windows\SOUNDMAN.EXE
d:\windows\system32\RunDll32.exe
d:\windows\system32\wbem\unsecapp.exe
d:\windows\system32\wscntfy.exe
d:\program files\Lavasoft\Ad-Aware\AAWTray.exe
.
**************************************************************************
.
Completion time: 2011-07-07 06:06:44 - machine was rebooted
ComboFix-quarantined-files.txt 2011-07-07 04:06
.
Pre-Run: 9,073,410,048 bytes free
Post-Run: 11,770,093,568 bytes free
.
WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
C:\="Microsoft Windows"
.
- - End Of File - - 2C0209992F0E5CE799F9CACF3DB9AE8B
Hopelijk alles goed. Alvast bedankt voor de snelle reactie's
MVG perloc - Hoe draait nu die PC van jiuw zoon?
Doe ook het volgende:
[b:c357905d2f]Doe de ESET online scan (Klik).[/b:c357905d2f]
[list:c357905d2f]
[*:c357905d2f]Klik op de knop [b:c357905d2f]ESET Online Scanner[/b:c357905d2f]
[*:c357905d2f]Zet een vinkje bij [b:c357905d2f]YES, I accept the Terms of Use[/b:c357905d2f]
[*:c357905d2f]Klik op [b:c357905d2f]Start[/b:c357905d2f]
[*:c357905d2f]Sta het ActiveX control toe om te installeren.
[*:c357905d2f]Klik op [b:c357905d2f]"Advanced settings"[/b:c357905d2f]
[*:c357905d2f]Zet een vinkje bij de volgende opties:
[list:c357905d2f][*:c357905d2f][b:c357905d2f]Remove found threats[/b:c357905d2f]
[*:c357905d2f][b:c357905d2f]Scan archives[/b:c357905d2f]
[*:c357905d2f][b:c357905d2f]Scan for potentially unwanted applications[/b:c357905d2f]
[*:c357905d2f][b:c357905d2f]Scan for potentially unsafe applications[/b:c357905d2f]
[*:c357905d2f][b:c357905d2f]Enable Anti-Stealth technology [/b:c357905d2f][/list:u:c357905d2f]
[*:c357905d2f]Klik op [b:c357905d2f]Start[/b:c357905d2f]
[*:c357905d2f]De computer wordt nu gescand. Dit kan best lang duren, heb dus geduld.
[*:c357905d2f]Je mag het venster sluiten wanneer de scan klaar is.
[*:c357905d2f]Gebruik [b:c357905d2f]Kladblok[/b:c357905d2f] om het logje te openen. Dit logje vind je in de lokatie C:\Program Files\EsetOnlineScanner\[b:c357905d2f]log.txt[/b:c357905d2f]
[*:c357905d2f]Kopieer en plak de inhoud van dit logje in je volgende bericht.[/list:u:c357905d2f]
N.B.: deaktiveer tijdelijk je eigen antivirus tijdens de scan, dan is de onlinescan sneller! - Er is geen verschil in gebruik van de desktop voor dit alles. Het enige vesrchil is dat ik tot nu toe geen onverwachte reboot heb gezien.
De scan heeft een paar uur geduurd.
Hier is de log file. Toch nog 23 problemen gevonden!
ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=3aa1c7fced7af641b70d82644cdcf8d9
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# utc_time=2011-07-08 06:35:36
# local_time=2011-07-08 08:35:36 (+0200, South Africa Standard Time)
# country="United Kingdom"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=256 16777215 100 0 63112136 63112136 0 0
# compatibility_mode=512 16777215 100 0 141702 141702 0 0
# compatibility_mode=770 16774141 100 100 16760837 86808849 0 0
# compatibility_mode=8192 67108863 100 0 2623 2623 0 0
# scanned=109528
# found=23
# cleaned=23
# scan_time=7959
C:\Program Files\AskSBar\bar\1.bin\A2PLUGIN.DLL a variant of Win32/Toolbar.MyWebSearch application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Program Files\ScreenMates\FELIX.EXE Win32/Joke.ScreenMate application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\System Volume Information\_restore{6FEA2D5E-0611-4305-81B4-24356E6E5AF6}\RP105\A0316287.DLL a variant of Win32/Toolbar.MyWebSearch application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\System Volume Information\_restore{6FEA2D5E-0611-4305-81B4-24356E6E5AF6}\RP105\A0316288.EXE Win32/Joke.ScreenMate application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
D:\Documents and Settings\All Users\Application Data\ReviverSoft\RegistryReviver\InstallCache\{E31E4E05-4B6B-42A5-8623-EB530F8147F5}\RegistryReviver.msi a variant of Win32/SlowPCfighter application (deleted - quarantined) 00000000000000000000000000000000 C
D:\Documents and Settings\Minda\Application Data\OpenCandy\OpenCandy_D2F56CFFAF48453EBB08546C339316CB\AFIRegistryReviverSetup_silent.exe a variant of Win32/SlowPCfighter application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
D:\Documents and Settings\Minda\Application Data\OpenCandy\OpenCandy_D2F56CFFAF48453EBB08546C339316CB\AFIRegRevSilent_p2v1.exe a variant of Win32/SlowPCfighter application (deleted - quarantined) 00000000000000000000000000000000 C
D:\Documents and Settings\Minda\Application Data\OpenCandy\OpenCandy_D2F56CFFAF48453EBB08546C339316CB\DLMgr_3_1.6.87.exe Win32/OpenCandy application (deleted - quarantined) 00000000000000000000000000000000 C
D:\Documents and Settings\Minda\My Documents\Downloads\brutus-aet2 (1).zip Win32/PSWTool.Brutus application (deleted - quarantined) 00000000000000000000000000000000 C
D:\Documents and Settings\Minda\My Documents\Downloads\brutus1.zip Win32/PSWTool.Brutus application (deleted - quarantined) 00000000000000000000000000000000 C
D:\Documents and Settings\Minda\My Documents\Downloads\Dofus XP Bot v3.rar Win32/KeyLogger.Ardamax application (deleted - quarantined) 00000000000000000000000000000000 C
D:\Documents and Settings\Minda\My Documents\Downloads\SmileyCentralPFSetup2.3.80.2.ZNman000.exe a variant of Win32/Toolbar.MyWebSearch.O application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
D:\Program Files\Trend Micro\HiJackThis\backups\backup-20110706-203117-492-Reboot.exe Win32/Reboot.E application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
D:\System Volume Information\_restore{6FEA2D5E-0611-4305-81B4-24356E6E5AF6}\RP104\A0315894.exe Win32/Reboot.E application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
D:\System Volume Information\_restore{6FEA2D5E-0611-4305-81B4-24356E6E5AF6}\RP105\A0316289.msi a variant of Win32/SlowPCfighter application (deleted - quarantined) 00000000000000000000000000000000 C
D:\System Volume Information\_restore{6FEA2D5E-0611-4305-81B4-24356E6E5AF6}\RP105\A0316290.exe a variant of Win32/SlowPCfighter application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
D:\System Volume Information\_restore{6FEA2D5E-0611-4305-81B4-24356E6E5AF6}\RP105\A0316291.exe a variant of Win32/SlowPCfighter application (deleted - quarantined) 00000000000000000000000000000000 C
D:\System Volume Information\_restore{6FEA2D5E-0611-4305-81B4-24356E6E5AF6}\RP105\A0316292.exe Win32/OpenCandy application (deleted - quarantined) 00000000000000000000000000000000 C
D:\System Volume Information\_restore{6FEA2D5E-0611-4305-81B4-24356E6E5AF6}\RP105\A0316293.exe Win32/Reboot.E application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
D:\WINDOWS\Installer\5cdf028.msi multiple threats (deleted - quarantined) 00000000000000000000000000000000 C
E:\Documents and Settings\Minda\My Documents\Downloads\Paypal Money Adder Hack.rar Win32/AutoRun.VB.PW worm (deleted - quarantined) 00000000000000000000000000000000 C
E:\Documents and Settings\Minda\My Documents\Downloads\Paypal Money Hack 2011 NEW WORKING.zip a variant of MSIL/Injector.BA trojan (deleted - quarantined) 00000000000000000000000000000000 C
E:\Utilities\JOYS\FELIX.EXE Win32/Joke.ScreenMate application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
Hopelijk nu alles weer in orde?!
MVG perloc - Hoi Perloc, als ik dat Eset-log een beetje analyseer, houdt jou zoon zich dus bezig met onzuivere activiteiten op het internet.
Daarbij komt dat al zijn activiteiten geregistreerd zijn en doorgegeven aan andere internetcriminelen, is erm ogelijk zelfs sprake van identiteitsdiefstal!
Graag commentaar. - Daar schrik ik toch wel behoorlijk van. Hij is 12 jaar en als je hem zou kennen zou je kunnen bevestigen dat het de meest innemende jongen is die je kende!
Dus wat ik graag zou willen weten is wat je precies bedoelt met "onzuivere activiteiten".
Zover ik dat kan nagaan download hij eenvoudige spelletjes en met een daarvan is hij de laatste tijd intensief bezig. Zijn computer, noch de langzame internet verbinding laat toe dat hij erg intensief bezig kan zijn op Internet.
En dan zou ik ook willen weten hoe ik dit verder kan voorkomen. Internet toegang ontzeggen kan natuuurlijk niet, en ikzelf steeds aan zijn zij meekijken is ook geen oplossing.
Internet verbieden?
De HD's formatten en de kale Windows er weer opzetten?
Dus allereerst moet ik weten wat de aard is van de gevaarlijke dingen waar hij mee bezig is.
Hieraan toevoegend kan ik melden dat ook mijn schoonzusje, 24 jaar, deze computer gebruikt. Dus misschien dat zij…. Maar ze gebruikt hem maar tamelijk weinig, veelal voor het studie, maar wel heeft ze meen ik ook correspondentie met anderen via ehhhh hoe heet dat ook alweer in Windows….
Hartelijk dank voor de info.
MVG perloc - Heeft jouw zoon mogelijk een notebook, welk hij ook mee neemt naar andere adressen?
- Nee, en Minda mijn schoonzusje ook niet!
Ze werken alleen op de desktop.
perloc - Awel Perloc, dan is het jouw schoonzus, die niet helemaal zuiver van graat is!
D:\Documents and Settings\Minda\My Documents\Downloads\brutus1.zip Win32/PSWTool.Brutus application
= een wachtwoord steler
D:\Documents and Settings\Minda\My Documents\Downloads\Dofus XP Bot v3.rar Win32/KeyLogger.Ardamax application
Om andere gebruikers te bespioneren.
E:\Documents and Settings\Minda\My Documents\Downloads\Paypal Money Adder Hack.rar
E:\Documents and Settings\Minda\My Documents\Downloads\Paypal Money Hack 2011 NEW WORKING.zip
= Paypal Money Hack 2011 NEW WORKING om geld te stelen van Paypal
Voordat we verder gaan, wil ik graag dat jij het volgende goed leest:
http://www.schoonepc.nl/tools/windowssteadystate.html - Wel een pak van mijn hart dat het mijn zoon niet is! Ik kon me het ook haast niet goed voorstellen, maar dat zeggen vaak ouders wiens kinderen ontsporen!
Ik heb het Steady State artikel even doorgenomen, (nog niet tot op het bot) en zal het zeker installeren! Neem aan dat het in het Engels is, op onze computers is alles in het Engels omdat ik de enige ben die Nederlands kan lezen en spreken, en zoals je ziet, schrijven.
Er wordt in geadviseerd om Windows helemaal opnieuw te installeren. Voor mijn zoon is dat niet zo erg en Minda moet haar handeltje dan maar op de 2de HD zetten wat ze wil bewaren.
Ik zal haar tevens onderhouden dat het wel mis is waarmee ze bezig is.
Maar misschien kun u me zeggen dat alles wissen en opnieuw beginnen niet nodig is na alle anti virus software die we op de computer hebben losgelaten. Dat (opnieuw installeren) is namelijk een hele klus, maar heeft ook wel voordelen. Graag advies.
En tevens hoe het verder moet.
MVG perloc - Ik kan zelf natuurlijk wel zoeken op Internet, maar misschien heeft u een link bijdehand voor de Engelse handleiding versie van Steady State.
Met het Nederlands heb ik natuurlijk geen moeite maar wel met de Nederlandse termen van het OS die ik in het Engels moet hebben. Een op een vertaling lukt niet altijd, is mijn ervaring.
perloc - Kijk dan maar eens hier: http://www.microsoft.com/download/en/details.aspx?id=24373
- Die site verwijst naar Windows7. Het gaat hier om WindowsXP.
Ik zal zelf wel iets zoeken op Internet
MVG perloc - Alsjeblieft: http://www.microsoft.com/download/en/details.aspx?id=4310
- Die had ik al gevonden - but anyway, thanks a lot!
Is wel erg uitgebreid. Die van SchoonePC is beknopter.
perloc - Ik raad je aan die PC helemaal schoon te installeren met XP.
En of je nu StadyState 2.5 gaat gebruiken of niet, geef je schoonzus een gebruikersaccount met beperkte rechten!
En mogelijk is het zelfs het beste het bios van een wachtwoord te voorzien, dat alleen jouw en je zoon bekend mag zijn.
Want anders weet je schoonzus doormiddel van tools haar gebruikersaccount alsnog van administratorrechten te voorzien! - Ik had al besloten de systeem HD schoon te maken.
Zover ik dat kan nagaan weet MInda niets van adminstrator rechten en gebruikersaccounts dus ze zal niet zo snel een beperkte toegang trachten ongedaan te maken. Daarvoor moet ze veel meer keniis hebben van O-systemen dan ze nu heeft.
Verder heeft ze gezegd niets van Paypal te weten! Ze wist niet wat dat was. Dus hoe dat er komt weet ik niet. Van mij zoon al helemaal niet.
In ieder geval hardstikke bedankt!!
MVG perloc
Beantwoord deze vraag
Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.