Scanresultaten van Farbar Recovery Scan Tool (FRST) (x86) Versie: 08-10-2017 Gestart door Gebruiker (Beheerder) op FRRINVOERPC (11-10-2017 18:48:34) Gestart vanaf C:\Documents and Settings\Gebruiker\Bureaublad Geladen Profielen: Gebruiker (Beschikbare Profielen: Gebruiker) Platform: Microsoft Windows XP Home Edition Service Pack 3 (X86) Taal: Nederlands (Nederland) Internet Explorer Versie 8 (Standaardbrowser: Chrome) Boot Modus: Normal Handleiding voor Farbar Recovery Scan Tool: http://www.geekstogo.com/forum/topic/335081-frst-tutorial-how-to-use-farbar-recovery-scan-tool/ ==================== Processen (gefilterd) ================= (Als een item is opgenomen in de fixlist, het proces zal worden gesloten. Het bestand zal niet worden verplaatst.) (TeamViewer GmbH) C:\Program Files\TeamViewer\TeamViewer_Service.exe (Malwarebytes) C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe (Microsoft Corporation) C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe (Realtek Semiconductor Corp.) C:\WINDOWS\SOUNDMAN.EXE (RealTek Semicoductor Corp.) C:\WINDOWS\ALCWZRD.EXE (Realtek Semiconductor Corp.) C:\WINDOWS\ALCFDRTM.EXE (Malwarebytes) C:\Program Files\Malwarebytes\Anti-Malware\mbamtray.exe (TeamViewer GmbH) C:\Program Files\TeamViewer\TeamViewer.exe (TeamViewer GmbH) C:\Program Files\TeamViewer\tv_w32.exe ==================== Register (gefilterd) =========================== (Als een item is opgenomen in de fixlist, het registry item zal worden teruggezet naar de standaardwaarden of verwijderd. Het bestand zal niet worden verplaatst.) HKLM\...\Run: [GrooveMonitor] => C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe [30040 2009-02-26] (Microsoft Corporation) HKLM\...\Run: [SoundMan] => C:\WINDOWS\SOUNDMAN.EXE [159744 2004-11-02] (Realtek Semiconductor Corp.) HKLM\...\Run: [AlcWzrd] => C:\WINDOWS\ALCWZRD.EXE [2748928 2004-11-29] (RealTek Semicoductor Corp.) HKLM\...\Run: [AlcFDMonitor] => C:\WINDOWS\ALCFDRTM.EXE [155648 2017-05-05] (Realtek Semiconductor Corp.) HKLM\...\Run: [Malwarebytes TrayApp] => C:\PROGRAM FILES\MALWAREBYTES\ANTI-MALWARE\mbamtray.exe [3146704 2017-05-09] (Malwarebytes) HKLM\...\Run: [SpyHunter Security Suite] => "C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter4.exe" AlternateShell: ==================== Internet (gefilterd) ==================== (Als een item is opgenomen in de fixlist, als het een registry item is wordt verwijderd of hersteld naar de standaard.) Tcpip\Parameters: [DhcpNameServer] 192.168.2.254 Tcpip\..\Interfaces\{4D4E748B-0CFD-4C41-A1F3-033AAE56A737}: [DhcpNameServer] 192.168.2.254 Internet Explorer: ================== HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=msnhome HKU\S-1-5-21-1060284298-1708537768-1606980848-1004\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.nl/ HKU\S-1-5-21-1060284298-1708537768-1606980848-1004\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch BHO: Groove GFS Browser Helper -> {72853161-30C5-4D22-B7F9-0BBC1D38A37E} -> C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll [2009-02-26] (Microsoft Corporation) Handler: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll [2009-02-26] (Microsoft Corporation) FireFox: ======== FF Plugin: @tools.google.com/Google Update;version=3 -> C:\Program Files\Google\Update\1.3.33.5\npGoogleUpdate3.dll [2017-05-13] (Google Inc.) FF Plugin: @tools.google.com/Google Update;version=9 -> C:\Program Files\Google\Update\1.3.33.5\npGoogleUpdate3.dll [2017-05-13] (Google Inc.) Chrome: ======= CHR StartupUrls: Default -> "hxxp://www.rijnmond.nl/" CHR Profile: C:\Documents and Settings\Gebruiker\Local Settings\Application Data\Google\Chrome\User Data\Default [2017-10-10] CHR Extension: (Google Presentaties) - C:\Documents and Settings\Gebruiker\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2017-05-13] CHR Extension: (Google Documenten) - C:\Documents and Settings\Gebruiker\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2017-05-13] CHR Extension: (Adblock Plus) - C:\Documents and Settings\Gebruiker\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\cfhdojbkjhnklbpkdaibdccddilifddb [2017-09-27] CHR Extension: (Logitech Smooth Scrolling) - C:\Documents and Settings\Gebruiker\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\dkpejdfnpdkhifgbancbammdijojoffk [2017-05-13] CHR Extension: (Google Spreadsheets) - C:\Documents and Settings\Gebruiker\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2017-05-13] CHR Extension: (Offline Documenten) - C:\Documents and Settings\Gebruiker\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2017-05-13] CHR Extension: (Betalingen via Chrome Web Store) - C:\Documents and Settings\Gebruiker\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2017-09-12] ==================== Services (gefilterd) ==================== (Als een item is opgenomen in de fixlist, wordt uit het register verwijderd. Het bestand zal niet worden verplaatst tenzij apart vermeld.) R2 6to4; C:\WINDOWS\System32\6to4svc.dll [100864 2010-02-12] (Microsoft Corporation) R2 MBAMService; C:\Program Files\Malwarebytes\Anti-Malware\mbamservice.exe [3398608 2017-05-09] (Malwarebytes) S3 Microsoft Office Groove Audit Service; C:\Program Files\Microsoft Office\Office12\GrooveAuditService.exe [58880 2009-02-26] (Microsoft Corporation) [Bestand niet getekend] R2 TeamViewer; C:\Program Files\TeamViewer\TeamViewer_Service.exe [10803440 2017-08-29] (TeamViewer GmbH) S2 SpyHunter 4 Service; "C:\Program Files\Enigma Software Group\SpyHunter\Sh4Service.exe" [X] ===================== Drivers (gefilterd) ====================== (Als een item is opgenomen in de fixlist, wordt uit het register verwijderd. Het bestand zal niet worden verplaatst tenzij apart vermeld.) S3 EsgScanner; C:\WINDOWS\System32\DRIVERS\EsgScanner.sys [19984 2017-10-07] () R1 ESProtectionDriver; C:\WINDOWS\system32\drivers\mbae.sys [59936 2017-10-02] () R2 MBAMChameleon; C:\WINDOWS\system32\drivers\MBAMChameleon.sys [147232 2017-10-10] (Malwarebytes) R3 MBAMProtection; C:\WINDOWS\system32\drivers\mbam.sys [40352 2017-10-10] (Malwarebytes) R3 MBAMSwissArmy; C:\WINDOWS\system32\drivers\MBAMSwissArmy.sys [221600 2017-10-10] (Malwarebytes) S3 nm; C:\WINDOWS\System32\DRIVERS\NMnt.sys [40320 2008-04-15] (Microsoft Corporation) R2 NwlnkIpx; C:\WINDOWS\System32\DRIVERS\nwlnkipx.sys [88320 2008-04-15] (Microsoft Corporation) R2 NwlnkNb; C:\WINDOWS\System32\DRIVERS\nwlnknb.sys [63232 2008-04-15] (Microsoft Corporation) R2 NwlnkSpx; C:\WINDOWS\System32\DRIVERS\nwlnkspx.sys [55936 2008-04-15] (Microsoft Corporation) R3 rtl8139; C:\WINDOWS\System32\DRIVERS\RTL8139.SYS [20992 2008-04-14] (Realtek Semiconductor Corporation) R1 Tcpip6; C:\WINDOWS\System32\DRIVERS\tcpip6.sys [226880 2010-02-11] (Microsoft Corporation) R3 teamviewervpn; C:\WINDOWS\System32\DRIVERS\teamviewervpn.sys [25088 2016-11-28] (TeamViewer GmbH) R3 amsint32; \??\C:\WINDOWS\system32\drivers\utrnn.sys [X] S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] U3 TlntSvr; geen ImagePath ==================== NetSvcs (gefilterd) =================== (Als een item is opgenomen in de fixlist, wordt uit het register verwijderd. Het bestand zal niet worden verplaatst tenzij apart vermeld.) ==================== Een Maand Gemaakt bestanden en mappen ======== (Als een item is opgenomen in de fixlist, het bestand/map wordt verplaatst.) 2017-10-11 18:48 - 2017-10-11 18:49 - 000008062 _____ C:\Documents and Settings\Gebruiker\Bureaublad\FRST.txt 2017-10-10 16:49 - 2017-10-10 16:49 - 000103140 _____ C:\ndgx.exe 2017-10-10 16:46 - 2017-10-10 16:47 - 000004792 _____ C:\Documents and Settings\Gebruiker\Bureaublad\Fixlog.txt 2017-10-10 16:43 - 2017-10-10 16:44 - 000377856 _____ C:\Documents and Settings\Gebruiker\Bureaublad\SpyHunterCleaner-reboot.exe 2017-10-10 16:43 - 2017-10-10 16:44 - 000000226 _____ C:\Documents and Settings\Gebruiker\Bureaublad\SpyHunterCleaner-uninstall.bat 2017-10-09 16:45 - 2017-10-09 16:45 - 001797632 _____ (Farbar) C:\Documents and Settings\Gebruiker\Bureaublad\FRST.exe 2017-10-09 16:38 - 2017-10-09 16:38 - 000572928 _____ C:\Documents and Settings\Gebruiker\Bureaublad\SpyHunterCleaner_1.05.exe 2017-10-08 15:03 - 2017-10-08 15:03 - 000672256 _____ (OldTimer Tools) C:\Documents and Settings\Gebruiker\Bureaublad\OTL.exe 2017-10-08 09:00 - 2017-10-11 18:48 - 000000000 ____D C:\FRST 2017-10-04 19:36 - 2017-10-04 19:36 - 005857280 _____ C:\WINDOWS\system32\rmslt.nt 2017-10-04 19:36 - 2017-10-04 19:36 - 000000143 _____ C:\WINDOWS\system32\rmslt.lst 2017-10-04 18:51 - 2017-10-07 12:07 - 000000000 ____D C:\Documents and Settings\Gebruiker\Application Data\Enigma Software Group 2017-10-04 18:50 - 2017-10-07 11:56 - 000019984 _____ C:\WINDOWS\system32\Drivers\EsgScanner.sys 2017-10-04 18:50 - 2017-10-04 18:50 - 000000000 ____D C:\sh4ldr 2017-10-04 17:53 - 2017-10-11 18:49 - 000000000 ____D C:\Documents and Settings\Gebruiker\Local Settings\temp 2017-10-04 17:53 - 2017-10-04 17:53 - 000007824 _____ C:\ComboFix.txt 2017-10-04 17:53 - 2017-10-04 17:53 - 000000000 ____D C:\Documents and Settings\NetworkService\Local Settings\temp 2017-10-04 17:53 - 2017-10-04 17:53 - 000000000 ____D C:\Documents and Settings\LocalService\Local Settings\temp 2017-10-04 17:36 - 2011-06-26 08:45 - 000256000 _____ C:\WINDOWS\PEV.exe 2017-10-04 17:36 - 2010-11-07 19:20 - 000208896 _____ C:\WINDOWS\MBR.exe 2017-10-04 17:36 - 2009-04-20 06:56 - 000060416 _____ (NirSoft) C:\WINDOWS\NIRCMD.exe 2017-10-04 17:36 - 2000-08-31 02:00 - 000518144 _____ (SteelWerX) C:\WINDOWS\SWREG.exe 2017-10-04 17:36 - 2000-08-31 02:00 - 000406528 _____ (SteelWerX) C:\WINDOWS\SWSC.exe 2017-10-04 17:36 - 2000-08-31 02:00 - 000212480 _____ (SteelWerX) C:\WINDOWS\SWXCACLS.exe 2017-10-04 17:36 - 2000-08-31 02:00 - 000098816 _____ C:\WINDOWS\sed.exe 2017-10-04 17:36 - 2000-08-31 02:00 - 000080412 _____ C:\WINDOWS\grep.exe 2017-10-04 17:36 - 2000-08-31 02:00 - 000068096 _____ C:\WINDOWS\zip.exe 2017-10-04 17:35 - 2017-10-04 17:53 - 000000000 ____D C:\Qoobox 2017-10-04 17:35 - 2017-10-04 17:49 - 000000000 ____D C:\WINDOWS\erdnt 2017-10-03 16:36 - 2017-10-03 16:36 - 000002046 _____ C:\Documents and Settings\Gebruiker\Bureaublad\Frank invoer pc.txt 2017-10-02 19:12 - 2017-10-10 16:49 - 000221600 _____ (Malwarebytes) C:\WINDOWS\system32\Drivers\MBAMSwissArmy.sys 2017-10-02 19:12 - 2017-10-10 16:49 - 000147232 _____ (Malwarebytes) C:\WINDOWS\system32\Drivers\MBAMChameleon.sys 2017-10-02 19:12 - 2017-10-10 16:49 - 000040352 _____ (Malwarebytes) C:\WINDOWS\system32\Drivers\mbam.sys 2017-10-02 19:12 - 2017-10-02 19:12 - 000001715 _____ C:\Documents and Settings\All Users\Bureaublad\Malwarebytes.lnk 2017-10-02 19:12 - 2017-10-02 19:12 - 000000000 ____D C:\Documents and Settings\All Users\Menu Start\Programma's\Malwarebytes 2017-10-02 19:11 - 2017-10-02 19:56 - 000059936 _____ C:\WINDOWS\system32\Drivers\mbae.sys 2017-10-02 19:11 - 2017-10-02 19:11 - 000000000 ____D C:\Program Files\Malwarebytes 2017-10-02 19:11 - 2017-10-02 19:11 - 000000000 ____D C:\Documents and Settings\All Users\Application Data\Malwarebytes ==================== Een Maand Gewijzigd bestanden en mappen ======== (Als een item is opgenomen in de fixlist, het bestand/map wordt verplaatst.) 2017-10-11 18:48 - 2017-05-03 16:37 - 000000000 ____D C:\Documents and Settings\Gebruiker\Bureaublad 2017-10-11 18:47 - 2017-05-03 16:37 - 000000000 __RHD C:\Documents and Settings\Gebruiker\Onlangs geopend 2017-10-11 18:47 - 2017-05-03 16:37 - 000000000 ___RD C:\Documents and Settings\Gebruiker\Mijn documenten\Mijn afbeeldingen 2017-10-11 18:45 - 2017-05-05 09:07 - 000000462 ____H C:\WINDOWS\Tasks\User_Feed_Synchronization-{F700354C-B46F-4851-BFC3-144F6740CD8F}.job 2017-10-10 16:50 - 2017-05-03 16:37 - 000000000 __SHD C:\Documents and Settings\Gebruiker\Local Settings\Geschiedenis 2017-10-10 16:49 - 2017-05-03 17:41 - 000000230 _____ C:\WINDOWS\Tasks\Microsoft Windows XP - aanmelding voor kennisgeving over einde van service.job 2017-10-10 16:49 - 2017-05-03 16:30 - 000000000 __SHD C:\Documents and Settings\LocalService\Local Settings\Geschiedenis 2017-10-10 16:48 - 2017-05-03 16:37 - 000000188 ___SH C:\Documents and Settings\Gebruiker\ntuser.ini 2017-10-10 16:48 - 2017-05-03 16:30 - 000032364 _____ C:\WINDOWS\SchedLgU.Txt 2017-10-10 16:48 - 2017-05-03 16:30 - 000000006 ____H C:\WINDOWS\Tasks\SA.DAT 2017-10-10 16:46 - 2017-05-03 18:01 - 000000000 ___SD C:\Documents and Settings\Default User\Local Settings\Geschiedenis 2017-10-10 16:46 - 2017-05-03 16:23 - 000000000 ___HD C:\Documents and Settings\NetworkService\Local Settings\Geschiedenis 2017-10-09 18:07 - 2017-05-03 16:23 - 000000000 __SHD C:\Documents and Settings\NetworkService 2017-10-09 16:40 - 2008-04-15 14:00 - 000012984 _____ C:\WINDOWS\system32\wpa.dbl 2017-10-07 14:04 - 2017-05-03 16:37 - 000000000 ____D C:\Documents and Settings\Gebruiker 2017-10-07 12:05 - 2017-05-03 17:52 - 000000000 ___HD C:\WINDOWS\inf 2017-10-06 18:54 - 2017-05-27 10:53 - 000000000 ____D C:\temp 2017-10-06 17:29 - 2017-05-05 11:01 - 000000000 ____D C:\Program Files\TeamViewer 2017-10-04 17:53 - 2017-05-03 17:59 - 000000000 ___HD C:\Documents and Settings\Default User 2017-10-04 17:46 - 2008-04-15 14:00 - 000000261 _____ C:\WINDOWS\system.ini 2017-10-04 17:45 - 2017-05-03 17:59 - 000262144 _____ C:\WINDOWS\system32\config\SECURITY.bak 2017-10-04 17:45 - 2017-05-03 17:59 - 000262144 _____ C:\WINDOWS\system32\config\SAM.bak 2017-10-04 17:45 - 2017-05-03 17:58 - 027000832 _____ C:\WINDOWS\system32\config\software.bak 2017-10-04 17:45 - 2017-05-03 17:58 - 003670016 _____ C:\WINDOWS\system32\config\system.bak 2017-10-04 17:45 - 2017-05-03 17:58 - 000262144 _____ C:\WINDOWS\system32\config\default.bak 2017-10-04 17:35 - 2017-05-03 18:01 - 000000000 ___RD C:\Documents and Settings\All Users\Documenten 2017-10-03 18:44 - 2017-05-03 18:02 - 001397156 _____ C:\WINDOWS\system32\PerfStringBackup.INI 2017-10-03 18:44 - 2008-04-15 14:00 - 000615712 _____ C:\WINDOWS\system32\perfh013.dat 2017-10-03 18:44 - 2008-04-15 14:00 - 000127662 _____ C:\WINDOWS\system32\perfc013.dat 2017-10-03 18:40 - 2017-05-03 18:01 - 000000000 ___RD C:\Documents and Settings\All Users\Menu Start\Programma's 2017-10-03 18:40 - 2017-05-03 16:39 - 000068840 _____ C:\Documents and Settings\Gebruiker\Local Settings\Application Data\GDIPFONTCACHEV1.DAT 2017-10-03 18:40 - 2017-05-03 16:37 - 000000000 ___RD C:\Documents and Settings\Gebruiker\Menu Start\Programma's 2017-10-03 17:01 - 2017-05-03 18:02 - 000001917 _____ C:\WINDOWS\imsins.BAK 2017-10-03 16:39 - 2017-06-04 21:38 - 000000664 _____ C:\WINDOWS\system32\d3d9caps.dat 2017-10-02 19:12 - 2017-05-03 18:01 - 000000000 ____D C:\Documents and Settings\All Users\Bureaublad 2017-10-02 19:08 - 2017-05-23 17:34 - 000000000 ____D C:\Documents and Settings\Gebruiker\Menu Start\Programma's\Steinberg 2017-09-29 17:42 - 2017-05-05 11:01 - 000000706 _____ C:\Documents and Settings\All Users\Bureaublad\TeamViewer 12.lnk ==================== Bestanden in de root van sommige mappen ======= 2017-05-06 18:26 - 2017-08-10 19:25 - 000003584 _____ () C:\Documents and Settings\Gebruiker\Local Settings\Application Data\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini ==================== Bamital & volsnap ====================== (Er is geen automatische fix voor bestanden die de verificatie niet doorkomen.) C:\WINDOWS\explorer.exe => Bestand is getekend C:\WINDOWS\system32\winlogon.exe => Bestand is getekend C:\WINDOWS\system32\svchost.exe => Bestand is getekend C:\WINDOWS\system32\services.exe => Bestand is getekend C:\WINDOWS\system32\User32.dll => Bestand is getekend C:\WINDOWS\system32\userinit.exe => Bestand is getekend C:\WINDOWS\system32\rpcss.dll => Bestand is getekend C:\WINDOWS\system32\dnsapi.dll => Bestand is getekend C:\WINDOWS\system32\Drivers\volsnap.sys => Bestand is getekend ==================== Eind van FRST.txt ============================