Vraag & Antwoord
malware meegeinstalleerd met Noscript?
14 antwoorden
- Op aanraden van Security.nl de Add-on NoScript geinstalleerd.
Startpagina van FF werd overgenomen; Hieronder MBAM log:
Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org
Databaseversie: v2013.03.10.01
Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Jos H :: LAPTOP [administrator]
10-3-2013 9:00:11
mbam-log-2013-03-10 (09-00-11).txt
Scan type: Snelle scan
Ingeschakelde scan opties: Geheugen | Opstartitems | Register | Bestanden en mappen | Heuristiek/Extra | Heuristiek/Shuriken | PUP | PUM
Uitgeschakelde scan opties: P2P
Objecten gescand: 216903
Verstreken tijd: 6 minuut/minuten, 21 seconde(n)
Geheugenprocessen gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)
Geheugenmodulen gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)
Registersleutels gedetecteerd: 6
HKCR\CLSID\{67BD9EEB-AA06-4329-A940-D250019300C9} (PUP.Software.Updater) -> Succesvol in quarantaine geplaatst en verwijderd.
HKCR\TypeLib\{A0EE0278-2986-4E5A-884E-A3BF0357E476} (PUP.Software.Updater) -> Succesvol in quarantaine geplaatst en verwijderd.
HKCR\Interface\{9EDC0C90-2B5B-4512-953E-35767BAD5C67} (PUP.Software.Updater) -> Succesvol in quarantaine geplaatst en verwijderd.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{99C91FC5-DB5B-4AA0-BB70-5D89C5A4DF96} (PUP.Software.Updater) -> Succesvol in quarantaine geplaatst en verwijderd.
HKCR\Updater.AmiUpd.1 (PUP.Software.Updater) -> Succesvol in quarantaine geplaatst en verwijderd.
HKCR\Updater.AmiUpd (PUP.Software.Updater) -> Succesvol in quarantaine geplaatst en verwijderd.
Registerwaarden gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)
Registerdata gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)
Mappen gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)
Bestanden gedetecteerd: 2
C:\Users\Jos H\AppData\Local\SwvUpdater\Updater.exe (PUP.Software.Updater) -> Succesvol in quarantaine geplaatst en verwijderd.
C:\Windows\Tasks\AmiUpdXp.job (PUP.Software.Updater) -> Succesvol in quarantaine geplaatst en verwijderd.
(einde)
Nog aanvullende acties ondernemen?
Ik zag dat er in het register ook nog verwijzingen staan naar programma's die ik niet meer gebruik. - Hallo Jos, PUP staat voor PotentiallyUnwantedSoftware.
We gaan verder kijken of er nog meer in jouw browsers en Windows register is aangepast: - Hierbij het logbestand van AdwCleaner;JRT volgt.
# AdwCleaner v2.114 - Verslag gemaakt op 10/03/2013 om 09:38:29
# Geactualiseerd op 05/03/2013 door Xplode
# Besturingssysteem : Windows 7 Home Premium Service Pack 1 (64 bits)
# Gebruiker : Jos H - LAPTOP
# Opstarten Modus : Normale modus
# Gelanceerd vanaf : C:\Users\Jos H\Desktop\adwcleaner.exe
# Optie [Verwijderen]
***** [Diensten] *****
Gestopt & Verwijdert : BrowserProtect
Gestopt & Verwijdert : Yontoo Desktop Updater
***** [Files / Mappen] *****
File Verwijdert : C:\Program Files (x86)\Mozilla Firefox\searchplugins\babylon.xml
File Verwijdert : C:\Users\Jos H\AppData\Roaming\Mozilla\Firefox\Profiles\vx95oueb.default\bprotector_extensions.sqlite
File Verwijdert : C:\Users\Jos H\AppData\Roaming\Mozilla\Firefox\Profiles\vx95oueb.default\bprotector_prefs.js
File Verwijdert : C:\Users\Jos H\AppData\Roaming\Mozilla\Firefox\Profiles\vx95oueb.default\searchplugins\delta.xml
Map Verwijdert : C:\Program Files (x86)\Yontoo
Map Verwijdert : C:\ProgramData\Babylon
Map Verwijdert : C:\ProgramData\Tarma Installer
Map Verwijdert : C:\Users\Jos H\AppData\Local\SwvUpdater
Map Verwijdert : C:\Users\Jos H\AppData\Roaming\Babylon
Map Verwijdert : C:\Users\Jos H\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BrowserProtect
Map Verwijdert : C:\Users\Jos H\AppData\Roaming\Yontoo
Map Verwijdert : C:\Users\JOSH~1\AppData\Local\Temp\OCS
Verwijdert bij het opstarten : C:\ProgramData\BrowserProtect
***** [Register] *****
Sleutel Verwijdert : HKCU\Software\DataMngr
Sleutel Verwijdert : HKCU\Software\DataMngr_Toolbar
Sleutel Verwijdert : HKCU\Software\Delta
Sleutel Verwijdert : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\bProtectSettings
Sleutel Verwijdert : HKCU\Software\Softonic
Sleutel Verwijdert : HKCU\Software\5d0dfdde16ae947
Sleutel Verwijdert : HKLM\Software\Babylon
Sleutel Verwijdert : HKLM\SOFTWARE\Classes\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}
Sleutel Verwijdert : HKLM\SOFTWARE\Classes\AppID\{CFDAFE39-20CE-451D-BD45-A37452F39CF0}
Sleutel Verwijdert : HKLM\SOFTWARE\Classes\AppID\YontooIEClient.DLL
Sleutel Verwijdert : HKLM\SOFTWARE\Classes\Prod.cap
Sleutel Verwijdert : HKLM\SOFTWARE\Classes\TypeLib\{D372567D-67C1-4B29-B3F0-159B52B3E967}
Sleutel Verwijdert : HKLM\SOFTWARE\Classes\YontooIEClient.Api
Sleutel Verwijdert : HKLM\SOFTWARE\Classes\YontooIEClient.Api.1
Sleutel Verwijdert : HKLM\SOFTWARE\Classes\YontooIEClient.Layers
Sleutel Verwijdert : HKLM\SOFTWARE\Classes\YontooIEClient.Layers.1
Sleutel Verwijdert : HKLM\Software\DataMngr
Sleutel Verwijdert : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASAPI32
Sleutel Verwijdert : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASMANCS
Sleutel Verwijdert : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
Sleutel Verwijdert : HKLM\SOFTWARE\Wow6432Node\5d0dfdde16ae947
Sleutel Verwijdert : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
Sleutel Verwijdert : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{7E84186E-B5DE-4226-8A66-6E49C6B511B4}
Sleutel Verwijdert : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{80922EE0-8A76-46AE-95D5-BD3C3FE0708D}
Sleutel Verwijdert : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
Sleutel Verwijdert : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
Sleutel Verwijdert : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{FE9271F2-6EFD-44B0-A826-84C829536E93}
Sleutel Verwijdert : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
Sleutel Verwijdert : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{1AD27395-1659-4DFF-A319-2CFA243861A5}
Sleutel Verwijdert : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
Sleutel Verwijdert : HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\niapdbllcanepiiimjjndipklodoedlc
Sleutel Verwijdert : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
Sleutel Verwijdert : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{15D2D75C-9CB2-4EFD-BAD7-B9B4CB4BC693}
Sleutel Verwijdert : HKLM\SOFTWARE\Classes\Interface\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
Sleutel Verwijdert : HKLM\SOFTWARE\Classes\Interface\{1AD27395-1659-4DFF-A319-2CFA243861A5}
Sleutel Verwijdert : HKLM\SOFTWARE\Classes\Interface\{9EDC0C90-2B5B-4512-953E-35767BAD5C67}
Sleutel Verwijdert : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{889DF117-14D1-44EE-9F31-C5FB5D47F68B}
Sleutel Verwijdert : HKLM\SOFTWARE\Tarma Installer
Waarde Verwijdert : HKCU\Software\Mozilla\Firefox\Extensions [{0F827075-B026-42F3-885D-98981EE7B1AE}]
***** [Browsers] *****
-\\ Internet Explorer v9.0.8112.16464
[OK] Het register bevat geen enkele ongeoorloofde invoer.
-\\ Mozilla Firefox v19.0.2 (nl)
File : C:\Users\Jos H\AppData\Roaming\Mozilla\Firefox\Profiles\vx95oueb.default\prefs.js
C:\Users\Jos H\AppData\Roaming\Mozilla\Firefox\Profiles\vx95oueb.default\user.js … Verwijdert !
Verwijdert : user_pref("avg.install.userHPSettings", "hxxp://www.delta-search.com/?affID=119828&tt=070313_9111gen[…]
Verwijdert : user_pref("avg.install.userSPSettings", "Delta Search"
;
Verwijdert : user_pref("browser.newtab.url", "hxxp://www.delta-search.com/?affID=119828&tt=070313_9111gen&babsrc=[…]
Verwijdert : user_pref("browser.search.selectedEngine", "Delta Search";
Verwijdert : user_pref("extensions.delta.admin", false);
Verwijdert : user_pref("extensions.delta.aflt", "babsst";
Verwijdert : user_pref("extensions.delta.appId", "{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}";
Verwijdert : user_pref("extensions.delta.autoRvrt", "false";
Verwijdert : user_pref("extensions.delta.dfltLng", "en";
Verwijdert : user_pref("extensions.delta.excTlbr", false);
Verwijdert : user_pref("extensions.delta.id", "6614ef560000000000000016cff7fe29";
Verwijdert : user_pref("extensions.delta.instlDay", "15774";
Verwijdert : user_pref("extensions.delta.instlRef", "sst";
Verwijdert : user_pref("extensions.delta.newTab", false);
Verwijdert : user_pref("extensions.delta.prdct", "delta";
Verwijdert : user_pref("extensions.delta.prtnrId", "delta";
Verwijdert : user_pref("extensions.delta.rvrt", "false";
Verwijdert : user_pref("extensions.delta.smplGrp", "none";
Verwijdert : user_pref("extensions.delta.tlbrId", "base";
Verwijdert : user_pref("extensions.delta.tlbrSrchUrl", "";
Verwijdert : user_pref("extensions.delta.vrsn", "1.8.10.0";
Verwijdert : user_pref("extensions.delta.vrsni", "1.8.10.0";
Verwijdert : user_pref("extensions.delta.vrsnTs", "1.8.10.08:45:58";
*************************
AdwCleaner[S1].txt - [6743 octets] - [10/03/2013 09:38:29]
########## EOF - C:\AdwCleaner[S1].txt - [6803 octets] ########## - En hierbij het JRT logbestand:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 4.6.9 (03.06.2013:1)
OS: Windows 7 Home Premium x64
Ran by Jos H on zo 10-03-2013 at 9:58:31,43
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~ Services
~~~ Registry Values
Successfully repaired: [Registry Value] hkey_local_machine\software\microsoft\windows nt\currentversion\windows\\AppInit_DLLs
~~~ Registry Keys
~~~ Files
~~~ Folders
Successfully deleted: [Folder] "C:\ProgramData\browserprotect"
~~~ FireFox
Successfully deleted: [File] C:\Users\Jos H\AppData\Roaming\mozilla\firefox\profiles\vx95oueb.default\invalidprefs.js
Emptied folder: C:\Users\Jos H\AppData\Roaming\mozilla\firefox\profiles\vx95oueb.default\minidumps [408 files]
~~~ Event Viewer Logs were cleared
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on zo 10-03-2013 at 10:09:55,71
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ - Opstarten is nog traag; iGoogle startpagina is weer hersteld.
http://www.imgdumper.nl/uploads6/513c53fcc55a3/513c53fcb925d-Naamloos.png - We kijken verder.
En wat betreft dat opstarten, is het inderdaad nieuw dat het nu trager gaat?
Laatste vraag: waarvandaan heb jij NoScript gehaald?
[b:ea0d7cf0d9]Welk programma[/b:ea0d7cf0d9]: - Opstarten gaat weer wat beter; NoScript gedownload van Chip.de.
http://noscript.net/
Combofix wil, na 3 uur niet verder; blijft steken in Deel 5………….
Met behulp van OTL opgeruimd en ga het nu nogmaals proberen met Combofix. - Combofix uitgevoerd en na opnieuw opstarten door Combofix werken Firefox en Internet Explorer niet meer!!
Er kwam een melding dat bestanden in het register waren verplaatst ?????
Tevens werd GData anti-virus niet opgestart na opnieuw opstarten door Combofix geïnitieerd.
Tevens melding dat Security Center Service niet ingeschakeld kan worden.
Gelukkig werkt de draadloze verbinding (Internet) nog wel.
Opgestart in veilige modus.
Kan het logbestand van Combofix nu niet plaatsen (niet te vinden); ik probeer nu nog een keer op te starten in normale modus. - Gelukkig, alles werkt weer als vanouds!!
Geen vreemde meldingen meer en GDATA anti-virus werkt ook weer prima.
Sorry, niet goed gelezen: Er is geprobeerd een ongeldige bewerking uit te voeren op een registersleutel die is gemarkeerd voor verwijdering.
Het logbestand van Combofix (is wel aangemaakt) is nergens te vinden ook niet met de zoekfunctie.
Wat te doen? - Toch nog het logbestand van Combofix gevonden.
Mijn excuses voor de rommelige manier van antwoorden binnen dit topic!!
ComboFix 13-03-10.02 - Jos H 10-03-2013 15:19:30.4.2 - x64
Microsoft Windows 7 Home Premium 6.1.7601.1.1252.31.1043.18.3070.1903 [GMT 1:00]
Gestart vanuit: c:\users\Jos H\Desktop\ComboFix.exe
AV: G Data InternetSecurity 2013 COMPUTER!TOTAAL Edition *Disabled/Updated* {39B780B4-63C2-05B0-3B40-8F7A21E4F496}
FW: G Data Personal Firewall *Disabled* {018C0191-29AD-04E8-101F-264FDF37B3ED}
SP: G Data InternetSecurity 2013 COMPUTER!TOTAAL Edition *Disabled/Updated* {82D66150-45F8-0A3E-01F0-B4085A63BE2B}
SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((( Bestanden Gemaakt van 2013-02-10 to 2013-03-10 ))))))))))))))))))))))))))))))
.
.
2013-03-10 14:25 . 2013-03-10 14:25 ——– d—–w- c:\users\SysinternalsSuite\AppData\Local\temp
2013-03-10 14:25 . 2013-03-10 14:25 ——– d—–w- c:\users\Public\AppData\Local\temp
2013-03-10 14:25 . 2013-03-10 14:25 ——– d—–w- c:\users\Default\AppData\Local\temp
2013-03-10 08:58 . 2013-03-10 08:58 ——– d—–w- c:\windows\ERUNT
2013-03-10 08:38 . 2013-03-10 08:39 97 —-a-w- c:\windows\DeleteOnReboot.bat
2013-03-08 10:17 . 2013-03-08 10:17 ——– d—–w- c:\users\Jos H\AppData\Roaming\TweakNow RegCleaner 2012
2013-03-08 10:17 . 2013-03-08 10:17 ——– d—–w- c:\program files (x86)\TweakNow RegCleaner
2013-03-08 10:17 . 2013-03-08 10:17 ——– d—–w- c:\users\Jos H\AppData\Roaming\TweakNow RegCleaner
2013-03-07 17:17 . 2013-03-07 17:17 ——– d—–w- c:\program files\trend micro
2013-03-07 05:03 . 2013-03-07 05:16 691568 —-a-w- c:\windows\SysWow64\FlashPlayerApp.exe
2013-03-07 05:03 . 2013-03-07 05:16 71024 —-a-w- c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2013-02-28 15:24 . 2013-02-28 15:25 ——– d—–w- c:\program files\CCleaner
2013-02-24 10:09 . 2013-02-24 10:09 ——– d—–w- c:\users\Jos H\AppData\Local\HEMA Fotoservice
2013-02-24 09:59 . 2013-02-24 10:07 ——– d—–w- c:\users\Jos H\AppData\Local\Hema Fotoalbum
2013-02-19 10:39 . 2013-02-19 13:10 ——– d—–w- c:\users\Jos H\AppData\Roaming\QuickScan
2013-02-18 17:49 . 2013-02-18 17:49 ——– d—–w- c:\programdata\FileCure
2013-02-17 12:48 . 2013-02-17 12:48 39866368 —-a-w- c:\windows\SysWow64\Weer Screensaver.scr
2013-02-14 15:47 . 2007-03-12 15:42 3495784 —-a-w- c:\windows\SysWow64\d3dx9_33.dll
2013-02-13 18:20 . 2013-02-13 18:20 ——– d—–w- C:\WindowsDebug
2013-02-13 16:18 . 2013-03-07 05:19 ——– d—–w- c:\windows\system32\oodag
2013-02-13 15:15 . 2013-02-13 15:15 ——– d—–w- c:\program files\OO Software
2013-02-13 07:24 . 2013-01-09 01:10 996352 —-a-w- c:\program files\Common Files\Microsoft Shared\VGX\VGX.dll
2013-02-13 07:24 . 2013-01-08 22:01 768000 —-a-w- c:\program files (x86)\Common Files\Microsoft Shared\VGX\VGX.dll
2013-02-13 07:20 . 2013-01-05 05:53 5553512 —-a-w- c:\windows\system32\ntoskrnl.exe
2013-02-13 07:20 . 2013-01-05 05:00 3967848 —-a-w- c:\windows\SysWow64\ntkrnlpa.exe
2013-02-13 07:20 . 2013-01-05 05:00 3913064 —-a-w- c:\windows\SysWow64\ntoskrnl.exe
2013-02-13 07:20 . 2013-01-04 03:26 3153408 —-a-w- c:\windows\system32\win32k.sys
2013-02-13 07:20 . 2013-01-03 06:00 1913192 —-a-w- c:\windows\system32\drivers\tcpip.sys
2013-02-13 07:20 . 2013-01-03 06:00 288088 —-a-w- c:\windows\system32\drivers\FWPKCLNT.SYS
2013-02-13 07:20 . 2013-01-04 05:46 215040 —-a-w- c:\windows\system32\winsrv.dll
2013-02-13 07:20 . 2013-01-04 04:51 5120 —-a-w- c:\windows\SysWow64\wow32.dll
2013-02-13 07:20 . 2013-01-04 02:47 25600 —-a-w- c:\windows\SysWow64\setup16.exe
2013-02-13 07:20 . 2013-01-04 02:47 7680 —-a-w- c:\windows\SysWow64\instnm.exe
2013-02-13 07:20 . 2013-01-04 02:47 14336 —-a-w- c:\windows\SysWow64\ntvdm64.dll
2013-02-13 07:20 . 2013-01-04 02:47 2048 —-a-w- c:\windows\SysWow64\user.exe
.
.
.
((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-03-05 09:56 . 2012-12-05 11:51 62368 —-a-w- c:\windows\system32\drivers\PktIcpt.sys
2013-03-05 09:52 . 2012-12-05 13:08 64416 —-a-w- c:\windows\system32\drivers\HookCentre.sys
2013-03-05 09:52 . 2012-12-05 13:08 126880 —-a-w- c:\windows\system32\drivers\MiniIcpt.sys
2013-03-05 09:52 . 2012-12-05 13:08 54176 —-a-w- c:\windows\system32\drivers\GDBehave.sys
2013-03-05 09:52 . 2012-12-05 13:08 65008 —-a-w- c:\windows\system32\drivers\gdwfpcd64.sys
2013-02-13 07:28 . 2012-11-19 09:10 70004024 —-a-w- c:\windows\system32\MRT.exe
2013-01-30 11:00 . 2012-12-14 09:11 181064 —-a-w- c:\windows\PSEXESVC.EXE
2013-01-30 10:20 . 2013-01-30 10:51 303616 —-a-w- C:\SetACL.exe
2013-01-30 10:20 . 2012-12-14 09:11 290304 —-a-w- C:\subinacl.exe
2013-01-27 17:42 . 2013-01-27 17:42 859552 —-a-w- c:\windows\SysWow64\npDeployJava1.dll
2013-01-27 17:42 . 2013-01-27 17:42 780192 —-a-w- c:\windows\SysWow64\deployJava1.dll
2013-01-15 16:20 . 2012-11-30 11:07 11240 —-a-w- c:\windows\SysWow64\GdScrSv.nl.dll
2013-01-08 05:32 . 2013-01-29 04:25 9161176 —-a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{60EC14E2-7FE6-4478-93ED-C67089AB9B56}\mpengine.dll
2013-01-04 04:43 . 2013-02-13 07:20 44032 —-a-w- c:\windows\apppatch\acwow64.dll
2012-12-23 05:54 . 2012-12-23 05:54 14794312 —-a-w- c:\program files (x86)\Common Files\lpuninstall.exe
2012-12-16 17:11 . 2012-12-21 02:00 46080 —-a-w- c:\windows\system32\atmlib.dll
2012-12-16 14:45 . 2012-12-21 02:00 367616 —-a-w- c:\windows\system32\atmfd.dll
2012-12-16 14:13 . 2012-12-21 02:00 295424 —-a-w- c:\windows\SysWow64\atmfd.dll
2012-12-16 14:13 . 2012-12-21 02:00 34304 —-a-w- c:\windows\SysWow64\atmlib.dll
2012-12-14 15:49 . 2012-12-03 16:30 24176 —-a-w- c:\windows\system32\drivers\mbam.sys
2012-12-12 21:37 . 2012-12-12 21:37 4472832 —-a-w- c:\windows\SysWow64\GPhotos.scr
2012-12-12 09:24 . 2012-11-22 17:41 18960 —-a-w- c:\windows\system32\drivers\LNonPnP.sys
.
.
((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"G Data AntiVirus Tray Application"="c:\program files (x86)\G Data\InternetSecurity\AVKTray\AVKTray.exe" [2013-01-09 1035216]
"GDFirewallTray"="c:\program files (x86)\G Data\InternetSecurity\Firewall\GDFirewallTray.exe" [2012-11-29 1475096]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Bluetooth.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2012-4-1 1390368]
Install LastPass FF RunOnce.lnk - c:\program files (x86)\Common Files\lpuninstall.exe [2012-12-23 14794312]
Install LastPass IE RunOnce.lnk - c:\program files (x86)\Common Files\lpuninstall.exe [2012-12-23 14794312]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\windows]
"LoadAppInit_DLLs"=1 (0x1)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages REG_MULTI_SZ scecli c:\program files\WIDCOMM\Bluetooth Software\BtwProximityCP.dll
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\hitmanpro37]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\hitmanpro37.sys]
@=""
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
"UacDisableNotify"=dword:00000001
.
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R3 EtmTempSense;EtmTempSense;c:\windows\system32\DRIVERS\EtmTempSense.sys [2007-12-11 21504]
R3 FLxHCIc;Fresco Logic xHCI (USB3) Device Driver;c:\windows\system32\DRIVERS\FLxHCIc.sys [2010-01-23 132608]
R3 netw5v64;Stuurprogramma voor Intel(R) Wireless WiFi Link 5000 Series-adapter voor 64-bits Windows Vista;c:\windows\system32\DRIVERS\netw5v64.sys [2009-06-10 5434368]
R3 NETwLx64; Intel(R) Wireless WiFi Link 5000 Series adapter stuurprogramma onder Windows XP 64 Bit;c:\windows\system32\DRIVERS\NETwLx64.sys [2010-08-16 7442432]
R3 PSI;PSI;c:\windows\system32\DRIVERS\psi_mf.sys [2011-12-16 17976]
R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys [2012-08-23 19456]
R3 Secunia PSI Agent;Secunia PSI Agent;c:\program files (x86)\Secunia\PSI\PSIA.exe [2012-09-24 1328736]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2012-08-23 57856]
R3 WatAdminSvc;Windows Activation Technologies-service;c:\windows\system32\Wat\WatAdminSvc.exe [2012-11-19 1255736]
S0 GDBehave;GDBehave;c:\windows\system32\drivers\GDBehave.sys [2013-03-05 54176]
S0 MxEFUF;Matrox Extio Upper Function Filter;c:\windows\system32\DRIVERS\MxEFUF64.sys [2011-10-20 157696]
S1 GDMnIcpt;GDMnIcpt;c:\windows\system32\drivers\MiniIcpt.sys [2013-03-05 126880]
S1 gdwfpcd;G Data WFP CD;c:\windows\system32\drivers\gdwfpcd64.sys [2013-03-05 65008]
S1 GRD;G Data Rootkit Detector Driver;c:\windows\system32\drivers\GRD.sys [2012-12-06 106648]
S1 HookCentre;HookCentre;c:\windows\system32\drivers\HookCentre.sys [2013-03-05 64416]
S2 AVKProxy;G Data AntiVirus Proxy;c:\program files (x86)\Common Files\G Data\AVKProxy\AVKProxy.exe [2012-11-29 1548312]
S2 AVKService;G Data Scheduler;c:\program files (x86)\G Data\InternetSecurity\AVK\AVKService.exe [2012-11-29 469016]
S2 AVKWCtl;G Data Bestandssysteembewaker;c:\program files (x86)\G Data\InternetSecurity\AVK\AVKWCtlX64.exe [2012-11-29 2012592]
S2 GDFwSvc;G Data Personal Firewall;c:\program files (x86)\G Data\InternetSecurity\Firewall\GDFwSvcx64.exe [2012-11-29 2377736]
S2 GDScan;G Data Scanner;c:\program files (x86)\Common Files\G Data\GDScan\GDScan.exe [2012-03-29 470008]
S2 OODefragAgent;O&O Defrag;c:\program files\OO Software\Defrag\oodag.exe [2011-01-25 3051848]
S2 Secunia Update Agent;Secunia Update Agent;c:\program files (x86)\Secunia\PSI\sua.exe [2012-09-24 656480]
S3 ATSwpWDF;AuthenTec TruePrint WBF Driver;c:\windows\system32\DRIVERS\ATSwpWDF.sys [2012-10-18 1111856]
S3 btwampfl;btwampfl Bluetooth filter driver;c:\windows\system32\drivers\btwampfl.sys [2012-11-19 594472]
S3 btwl2cap;Bluetooth L2CAP Service;c:\windows\system32\DRIVERS\btwl2cap.sys [2012-11-19 39976]
S3 GDPkIcpt;GDPkIcpt;c:\windows\system32\drivers\PktIcpt.sys [2013-03-05 62368]
S3 NETwLv64; Intel(R) Wireless WiFi Link 5000 Series adapter stuurprogramma onder Windows Vista 64 Bit;c:\windows\system32\DRIVERS\NETwLv64.sys [2010-10-07 7533568]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [2012-10-06 766096]
S3 TridVidx64;Trident TVMaster TM6000 Analog plus Digital Video Service x64;c:\windows\system32\DRIVERS\TridVidx64.sys [2007-07-31 207488]
.
.
Inhoud van de 'Gedeelde Taken' map
.
2013-03-10 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2013-03-07 05:16]
.
.
——— X64 Entries ———–
.
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - LocalService
FontCache
.
——- Bijkomende Scan ——-
.
uLocal Page = c:\windows\system32\blank.htm
mLocal Page = c:\windows\SysWOW64\blank.htm
IE: &Verzenden naar OneNote - c:\progra~2\MICROS~2\Office14\ONBttnIE.dll/105
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xporteren naar Microsoft Excel - c:\progra~2\MICROS~2\Office14\EXCEL.EXE/3000
IE: LastPass - file://c:\users\Jos H\AppData\LocalLow\LastPass\context.html?cmd=lastpass
IE: LastPass Invulformulieren - file://c:\users\Jos H\AppData\LocalLow\LastPass\context.html?cmd=fillforms
TCP: DhcpNameServer = 213.197.28.3 213.197.30.28
FF - ProfilePath - c:\users\Jos H\AppData\Roaming\Mozilla\Firefox\Profiles\vx95oueb.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.nl/ig?hl=nl
FF - ExtSQL: 2013-01-31 07:39; {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}; c:\users\Jos H\AppData\Roaming\Mozilla\Firefox\Profiles\vx95oueb.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi
FF - ExtSQL: 2013-01-31 07:40; {a0d7ccb3-214d-498b-b4aa-0e8fda9a7bf7}; c:\users\Jos H\AppData\Roaming\Mozilla\Firefox\Profiles\vx95oueb.default\extensions\{a0d7ccb3-214d-498b-b4aa-0e8fda9a7bf7}
FF - ExtSQL: 2013-01-31 10:05; support@lastpass.com; c:\users\Jos H\AppData\Roaming\Mozilla\Firefox\Profiles\vx95oueb.default\extensions\support@lastpass.com
FF - ExtSQL: 2013-02-06 19:11; https-everywhere@eff.org; c:\users\Jos H\AppData\Roaming\Mozilla\Firefox\Profiles\vx95oueb.default\extensions\https-everywhere@eff.org
FF - ExtSQL: 2013-03-05 10:52; {906305f7-aafc-45e9-8bbd-941950a84dad}; c:\program files (x86)\Mozilla Firefox\extensions\{906305f7-aafc-45e9-8bbd-941950a84dad}
.
- - - - ORPHANS VERWIJDERD - - - -
.
Wow6432Node-HKLM-Run-<NO NAME> - (no file)
AddRemove-{C5089197-5B15-44AD-B0FC-2E94EE9ECB63} - c:\programdata\{FECDF504-D991-4FFE-8433-68CC62046C9F}\wsc_x1.exe
.
.
.
——————— VERGRENDELDE REGISTER SLEUTELS ———————
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_6_602_171_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_6_602_171_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_6_602_171_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_6_602_171_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_6_602_171.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.11"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_6_602_171.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_6_602_171.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_6_602_171.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Office\Common\Smart Tag\Actions\{B7EFF951-E52F-45CC-9EF7-57124F2177CC}]
@Denied: (A) (Everyone)
"Solution"="{15727DE6-F92D-4E46-ACB4-0E2C58B31A18}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Schema Library\ActionsPane3]
@Denied: (A) (Everyone)
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Schema Library\ActionsPane3\0]
"Key"="ActionsPane3"
"Location"="c:\\Program Files (x86)\\Common Files\\Microsoft Shared\\VSTO\\ActionsPane3.xsd"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
———————— Andere Aktieve Processen ————————
.
c:\program files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
c:\program files (x86)\Microsoft Office\Office14\GROOVE.EXE
.
**************************************************************************
.
Voltooingstijd: 2013-03-10 15:33:07 - machine werd herstart
ComboFix-quarantined-files.txt 2013-03-10 14:33
.
Pre-Run: 68.262.662.144 bytes beschikbaar
Post-Run: 68.214.771.712 bytes beschikbaar
.
- - End Of File - - 8C9247ABBCD9433629FAA8A68E34AA6A - ComboFix heeft verder geen malware aangetroffen en wat betreft je excuses - dit was ook weer niet nodig hoor.
Maar laat weten of alles weer naar wens is of dat je toch nog tegen het een of ander aanloopt. - Windows draait weer prima hoor!!!!!
Als medewerker service desk (helpdeskmedewerker ICT) zou je toch iets meer mogen verwachten (nu between jobs).
Oke, wederom dank voor je hulp!!
Ik laat OTL nog even zijn werk doen en ga de rest handmatig verwijderen.
Results of screen317's Security Check version 0.99.61
Windows 7 Service Pack 1 x64 (UAC is enabled)
Internet Explorer 9
[b:ca374b2f0b][u:ca374b2f0b]``````````````Antivirus/Firewall Check:``````````````[/b:ca374b2f0b][/u:ca374b2f0b]
G Data InternetSecurity 2013 COMPUTER!TOTAAL Edition
Antivirus up to date!
[b:ca374b2f0b][u:ca374b2f0b]`````````Anti-malware/Other Utilities Check:`````````[/b:ca374b2f0b][/u:ca374b2f0b]
Secunia PSI (3.0.0.4001)
Malwarebytes Anti-Malware versie 1.70.0.1100
TweakNow RegCleaner
Adobe Flash Player 11.6.602.171
Adobe Reader XI
Mozilla Firefox (19.0.2)
[b:ca374b2f0b][u:ca374b2f0b]````````Process Check: objlist.exe by Laurent````````[/b:ca374b2f0b][/u:ca374b2f0b]
G Data InternetSecurity Firewall GDFwSvcx64.exe
G Data InternetSecurity Firewall GDFirewallTray.exe
[b:ca374b2f0b][u:ca374b2f0b]`````````````````System Health check`````````````````[/b:ca374b2f0b][/u:ca374b2f0b]
Total Fragmentation on Drive C: 0%
[b:ca374b2f0b][u:ca374b2f0b]````````````````````End of Log``````````````````````[/b:ca374b2f0b][/u:ca374b2f0b] - Dat laatste log van jou ziet er ook prima uit.
- Dat is mooi!!
Nogmaals dank voor de support.
Ik ga de Reg Cleaner verwijderen en dan WinSysClean X4 aanschaffen.
Ik ga met OTL de boel opschonen en daarna defragmenteren.
Beantwoord deze vraag
Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.
