Ook al Antimalware Docter...

[Gast tharobbie]

Hallo allemaal,

Ik heb bijna alle stappen gevolgd op dit forum maar stuur toch maar een bericht.

Ik heb sinds 3 dagen ook al last van dit hardnekkige virus/spyware.

Kon in het begin de pc helemaal niet opstarten..

Daarna met pijn en moeite het programma rkill kunnen runnen om mallwarebytes te laten scannen om vervolgens ccleaner als finishing touch nog te doen.

Probleem is dat hij nog steeds vastloopt, ik kan niet naar websites van microsoft/norton/hijack/etc en merk dat hij traag is.

Wie kan mij helpen?

Gr Robbie

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 12:18:52, on 3-6-2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

c:\Program Files\Microsoft Security Essentials\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\DOCUME~1\GEBRUI~1\LOCALS~1\Temp\dv72aw.exe

C:\Program Files\Analog Devices\Core\smax4pnp.exe

C:\Program Files\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE

C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Microsoft Security Essentials\msseces.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe

C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE

C:\WINDOWS\system32\agrsmsvc.exe

C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\WINDOWS\System32\svchost.exe

c:\Program Files\Microsoft Security Essentials\MpCmdRun.exe

C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Hotmail, Messenger, nieuws en entertainment vind je op MSN.nl

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Hotmail, Messenger, nieuws en entertainment vind je op MSN.nl

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: TBSB00081 - {32B279E3-5023-4CD8-A295-70C79EDBB294} - C:\Program Files\HyvesToolbar\Hyves Toolbar\tbcore3.dll

O2 - BHO: Street-Ads Browser Enhancer sdbheked - {4A3D3CEE-4FF1-49F0-8728-FFD12A4A942E} - C:\WINDOWS\system32\sdbheked.dll

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Hyves Toolbar - {AB8DC1E0-22BE-4181-B77E-02C495E031F8} - C:\Program Files\HyvesToolbar\Hyves Toolbar\tbcore3.dll

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [PTHOSTTR] C:\Program Files\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start

O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [startCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [AdobeAAMUpdater-1.0] "C:\Program Files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe"

O4 - HKLM\..\Run: [AdobeCS5ServiceManager] "C:\Program Files\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe" -launchedbylogin

O4 - HKLM\..\Run: [MChk] C:\WINDOWS\system32\ohjfeiwq.exe

O4 - HKLM\..\Run: [MSSE] "c:\Program Files\Microsoft Security Essentials\msseces.exe" -hide

O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Program Files\DAEMON Tools Pro\DTProAgent.exe" -autorun

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKLM\..\Policies\Explorer\Run: [mz1rs5] C:\DOCUME~1\GEBRUI~1\LOCALS~1\Temp\dv72aw.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: BTTray.lnk = ?

O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Verzenden naar &Bluetooth-apparaat... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.5.0.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1239957703455

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1239957748987

O16 - DPF: {BC18E6DF-BE57-4580-93E8-F228F9A133AA} (MaxisSimCity4LotTeleX Control) - http://simcity.ea.com/exchange/lots/teleport/MaxisSimCity4LotTeleX.cab

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O20 - Winlogon Notify: DeviceNP - DeviceNP.dll (file missing)

O22 - SharedTaskScheduler: Preloader van browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Cache-daemon voor onderdeelcategorieën - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe

O23 - Service: Mobiel Apple apparaat (Apple Mobile Device) - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Bonjour-service (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

O23 - Service: HP ProtectTools Device Locking / Auditing (FLCDLOCK) - Hewlett-Packard Ltd - C:\WINDOWS\system32\flcdlock.exe

O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe

O23 - Service: iPod-service (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

--

End of file - 8754 bytes

[kape]

Start Hijackthis op. Ben je gebruiker van Vista kies dan voor “Run as administrator" of "Uitvoeren als administrator". Selecteer “Do a system scan only”. Selecteer alleen de items die hieronder zijn genoemd:

O2 - BHO: TBSB00081 - {32B279E3-5023-4CD8-A295-70C79EDBB294} - C:\Program Files\HyvesToolbar\Hyves Toolbar\tbcore3.dll

O2 - BHO: Street-Ads Browser Enhancer sdbheked - {4A3D3CEE-4FF1-49F0-8728-FFD12A4A942E} - C:\WINDOWS\system32\sdbheked.dll

O3 - Toolbar: Hyves Toolbar - {AB8DC1E0-22BE-4181-B77E-02C495E031F8} - C:\Program Files\HyvesToolbar\Hyves Toolbar\tbcore3.dll

O4 - HKLM\..\Run: [MChk] C:\WINDOWS\system32\ohjfeiwq.exe

O4 - HKLM\..\Policies\Explorer\Run: [mz1rs5] C:\DOCUME~1\GEBRUI~1\LOCALS~1\Temp\dv72aw.exe

O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanage...ex-2.2.5.0.cab

O20 - Winlogon Notify: DeviceNP - DeviceNP.dll (file missing)

Klik op 'Fix checked' om de items te verwijderen.

Download MBAM (Malwarebytes Anti-Malware)

Dubbelklik op mbam-setup.exe om het programma te installeren.

Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien".

Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden.

Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan.

Het scannen kan een tijdje duren, dus wees geduldig.

Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien.

Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde.

Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder).

Indien er de rootkit (TDSS) aanwezig is, zal MBAM vragen te herstarten. Doe dit dan ook.

MBAM zal na de herstart opnieuw scannen en de rootkit verwijderen.

Het log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in het programma.

Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de computer opnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart.

Plak de inhoud van het logje in je volgende bericht, samen met een nieuw HijackThis log.

[Gast tharobbie]

Hoi Kape,

Bedankt voor je reactie. Bij dezen de nieuwe logs:

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 17:37:14, on 3-6-2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

c:\Program Files\Microsoft Security Essentials\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\agrsmsvc.exe

C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\Analog Devices\Core\smax4pnp.exe

C:\Program Files\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE

C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Microsoft Security Essentials\msseces.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe

C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE

C:\WINDOWS\system32\svchost.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe

C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Hotmail, Messenger, nieuws en entertainment vind je op MSN.nl

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Hotmail, Messenger, nieuws en entertainment vind je op MSN.nl

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [PTHOSTTR] C:\Program Files\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start

O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [startCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [AdobeAAMUpdater-1.0] "C:\Program Files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe"

O4 - HKLM\..\Run: [AdobeCS5ServiceManager] "C:\Program Files\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe" -launchedbylogin

O4 - HKLM\..\Run: [MSSE] "c:\Program Files\Microsoft Security Essentials\msseces.exe" -hide

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: BTTray.lnk = ?

O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Verzenden naar &Bluetooth-apparaat... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1239957703455

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1239957748987

O16 - DPF: {BC18E6DF-BE57-4580-93E8-F228F9A133AA} (MaxisSimCity4LotTeleX Control) - http://simcity.ea.com/exchange/lots/teleport/MaxisSimCity4LotTeleX.cab

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O22 - SharedTaskScheduler: Preloader van browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Cache-daemon voor onderdeelcategorieën - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe

O23 - Service: Mobiel Apple apparaat (Apple Mobile Device) - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Bonjour-service (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

O23 - Service: HP ProtectTools Device Locking / Auditing (FLCDLOCK) - Hewlett-Packard Ltd - C:\WINDOWS\system32\flcdlock.exe

O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe

O23 - Service: iPod-service (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

--

End of file - 7721 bytes

Malwarebytes' Anti-Malware 1.46

Malwarebytes

Databaseversie: 4167

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

3-6-2010 17:36:44

mbam-log-2010-06-03 (17-36-44).txt

Scantype: Snelle scan

Objecten gescand: 138173

Verstreken tijd: 10 minuut/minuten, 42 seconde(n)

Geheugenprocessen geïnfecteerd: 0

Geheugenmodulen geïnfecteerd: 0

Registersleutels geïnfecteerd: 0

Registerwaarden geïnfecteerd: 2

Registerdata geïnfecteerd: 0

Mappen geïnfecteerd: 0

Bestanden geïnfecteerd: 0

Geheugenprocessen geïnfecteerd:

(Geen kwaadaardige objecten gedetecteerd)

Geheugenmodulen geïnfecteerd:

(Geen kwaadaardige objecten gedetecteerd)

Registersleutels geïnfecteerd:

(Geen kwaadaardige objecten gedetecteerd)

Registerwaarden geïnfecteerd:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\host (Malware.Trace) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\id (Malware.Trace) -> Quarantined and deleted successfully.

Registerdata geïnfecteerd:

(Geen kwaadaardige objecten gedetecteerd)

Mappen geïnfecteerd:

(Geen kwaadaardige objecten gedetecteerd)

Bestanden geïnfecteerd:

(Geen kwaadaardige objecten gedetecteerd)

[kape]

Dit ziet er allemaal netjes uit Komt die Antimalware Doctor nu nog op bezoek ?

[Gast tharobbie]

Merci!

Geen docter meer in ieder geval, maar denk dat er nog wel één of ander type spyware op zit omdat ik nog steeds niet naar de site van microsoft/norton/anti-mallware etc kan gaan. Is dit een bekend probleem?

[kape]

Dat is een bekend probleem. Gaan we even proberen iets aan te doen :

Download Combofix naar je Bureaublad. Wijzig bij het downloaden de naam van het bestand combofix.exe in scan.exe.

Lees hier meer over correct gebruik van Combofix.

OPMERKING: indien je, tijdens of na het downloaden van Combofix of tijdens het gebruik van Combofix een melding krijgt van je Antivirus- of een andere realtime scanner, schakel dan deze scanner uit en download Combofix opnieuw.

Sommige scanners zien bepaalde componenten die Combofix gebruikt als verdacht en gaan deze blokkeren of verwijderen!

• Dubbelklik op scan.exe om het te starten.
  Indien je Combofix al eerder hebt gebruikt, kan je een waarschuwing krijgen dat een update beschikbaar is. Sta toe dat ComboFix wordt geupdate.
  Volg de instructies, aanvaard de disclaimer door op Ja te klikken.
  Indien de Recovery Console niet geïnstalleerd is, wordt je gevraagd om dit alsnog te doen door op JA te klikken in het "Query - Recovery Console" venster (enkel voor XP, niet voor VISTA).
  Klik op OK en Ja om automatisch de Recovery Console te laten installeren.
  Klik na afloop terug op Ja om het scannen op malware te starten.
  Tijdens het runnen van de fix, NIET in het venster klikken, want dit zal je pc doen vasthangen.
  

Wanneer de fix voltooid is en na herstart, zal de log Combofix.txt openen.

Post dit logje in je volgende antwoord.

[Gast tharobbie]

Hmm... Ik heb gisteren combofix al een keer laten draaien, maar kan het nu helemaal niet meer opstarten. Krijg nu 2 foutmeldingen:

Melding 1:

"Windows kan het bestand grpconv niet vinden. Controleer of u de naam juist hebt ingevoerd en probeer het daarna opnieuw. Klik als u naar een bestand wilt zoeken op de knop Start en daarna zoeken."

- OK -

Melding 2:

"!! OPGELET !! Het is NIET VEILIG om verder te gaan!

De inhoud van het ComboFix pakket werd gewijzigd. Gelieve een nieuwe kopie te downloaden via:

Begeleiding en Tutorial voor het gebruik van ComboFix

Nota: Jouw systeem is mogelijk besmet met het polymorfisch 'Virut' virus."

Daarna verwijdert hij het prog en moet ik het opnieuw downloaden.

3 juni 2010 aangepast door tharobbie

[kape]

Als je Combofix al eerder - op eigen houtje - hebt gebruikt, moet je ook een logje van dit programma hebben. Dan kan je dit misschien even in je volgende bericht plakken.

[Gast tharobbie]

Klopt!

ComboFix 10-06-02.01 - Gebruiker 02-06-2010 23:52:17.1.2 - x86

Microsoft Windows XP Professional 5.1.2600.3.1252.31.1043.18.2047.1443 [GMT 2:00]

Gestart vanuit: c:\documents and settings\Gebruiker\Mijn documenten\Downloads\ComboFix.exe

AV: Microsoft Security Essentials *On-access scanning enabled* (Outdated) {BCF43643-A118-4432-AEDE-D861FCBCFCDF}

.

(((((((((((((((((((((((((((((((((( Andere Verwijderingen )))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\documents and settings\Gebruiker\Application Data\0200000020d87ba4922C.manifest

c:\documents and settings\Gebruiker\Application Data\0200000020d87ba4922O.manifest

c:\documents and settings\Gebruiker\Application Data\0200000020d87ba4922P.manifest

c:\documents and settings\Gebruiker\Application Data\0200000020d87ba4922S.manifest

c:\documents and settings\Gebruiker\Application Data\755C3B2D9223DA21577C14495B120BEF

c:\documents and settings\Gebruiker\Application Data\755C3B2D9223DA21577C14495B120BEF\enemies-names.txt

c:\documents and settings\Gebruiker\Application Data\755C3B2D9223DA21577C14495B120BEF\local.ini

c:\documents and settings\Gebruiker\Local Settings\Application Data\AMD Drivers\AMD_graphics.exe

c:\documents and settings\Gebruiker\Local Settings\Application Data\Windows Server

c:\documents and settings\Gebruiker\Local Settings\Application Data\Windows Server\flags.ini

c:\documents and settings\Gebruiker\Local Settings\Application Data\Windows Server\uses32.dat

c:\documents and settings\Gebruiker\Menu Start\Programma's\Antimalware Doctor

c:\documents and settings\Gebruiker\Menu Start\Programma's\Antimalware Doctor\Antimalware Doctor.lnk

c:\documents and settings\Gebruiker\Menu Start\Programma's\Antimalware Doctor\Uninstall.lnk

c:\documents and settings\Gebruiker\Menu Start\Programma's\Opstarten\monymi32.exe

C:\feed.txt

c:\windows\Fonts\mlog

c:\windows\Help\verifier.hlp

c:\windows\irc.txt

c:\windows\system32\4170.exe

c:\windows\system32\cceilza.dll

c:\windows\system32\drivers\mexdyovj.sys

c:\windows\system32\drivers\mrbxnqav.sys

c:\windows\system32\fjhdyfhsn.bat

c:\windows\system32\h7t.wt

c:\windows\system32\hgtd.ruy

c:\windows\system32\Install.txt

c:\windows\system32\msthoncu.dll

c:\windows\system32\msxsltsso.dll

c:\windows\system32\nmklo.dll

c:\windows\system32\sshnas21.dll

c:\windows\system32\zpdrlku.dll

Besmet exemplaar van c:\windows\system32\drivers\i8042prt.sys werd aangetroffen en gedesinfecteerd

Hersteld exemplaar van - Kitty had a snack

c:\windows\system32\userinit.exe . . . is geïnfecteerd!!

c:\windows\explorer.exe . . . is geïnfecteerd!!

c:\windows\system32\clipsrv.exe . . . is geïnfecteerd!!

c:\windows\slrundll.exe . . . is geïnfecteerd!!

c:\windows\system32\asr_fmt.exe . . . is geïnfecteerd!!

c:\windows\system32\asr_pfu.exe . . . is geïnfecteerd!!

c:\windows\system32\at.exe . . . is geïnfecteerd!!

c:\windows\system32\atmadm.exe . . . is geïnfecteerd!!

c:\windows\system32\attrib.exe . . . is geïnfecteerd!!

c:\windows\system32\auditusr.exe . . . is geïnfecteerd!!

c:\windows\system32\blastcln.exe . . . is geïnfecteerd!!

c:\windows\system32\bootcfg.exe . . . is geïnfecteerd!!

c:\windows\system32\cacls.exe . . . is geïnfecteerd!!

c:\windows\system32\dcomcnfg.exe . . . is geïnfecteerd!!

c:\windows\system32\ddeshare.exe . . . is geïnfecteerd!!

c:\windows\system32\defrag.exe . . . is geïnfecteerd!!

c:\windows\system32\dfrgfat.exe . . . is geïnfecteerd!!

c:\windows\system32\dfrgntfs.exe . . . is geïnfecteerd!!

c:\windows\system32\diantz.exe . . . is geïnfecteerd!!

c:\windows\system32\diskpart.exe . . . is geïnfecteerd!!

c:\windows\system32\dllhost.exe . . . is geïnfecteerd!!

c:\windows\system32\dmadmin.exe . . . is geïnfecteerd!!

c:\windows\system32\dmremote.exe . . . is geïnfecteerd!!

c:\windows\system32\dplaysvr.exe . . . is geïnfecteerd!!

c:\windows\system32\dpnsvr.exe . . . is geïnfecteerd!!

c:\windows\system32\dpvsetup.exe . . . is geïnfecteerd!!

c:\windows\system32\drwtsn32.exe . . . is geïnfecteerd!!

c:\windows\system32\dumprep.exe . . . is geïnfecteerd!!

c:\windows\system32\dvdplay.exe . . . is geïnfecteerd!!

c:\windows\system32\dvdupgrd.exe . . . is geïnfecteerd!!

c:\windows\system32\dwwin.exe . . . is geïnfecteerd!!

c:\windows\system32\dxdiag.exe . . . is geïnfecteerd!!

c:\windows\system32\eudcedit.exe . . . is geïnfecteerd!!

c:\windows\system32\eventcreate.exe . . . is geïnfecteerd!!

c:\windows\system32\eventtriggers.exe . . . is geïnfecteerd!!

c:\windows\system32\eventvwr.exe . . . is geïnfecteerd!!

c:\windows\system32\expand.exe . . . is geïnfecteerd!!

c:\windows\system32\extrac32.exe . . . is geïnfecteerd!!

c:\windows\system32\fixmapi.exe . . . is geïnfecteerd!!

c:\windows\system32\fltmc.exe . . . is geïnfecteerd!!

c:\windows\system32\fontview.exe . . . is geïnfecteerd!!

c:\windows\system32\forcedos.exe . . . is geïnfecteerd!!

c:\windows\system32\freecell.exe . . . is geïnfecteerd!!

c:\windows\system32\fsquirt.exe . . . is geïnfecteerd!!

c:\windows\system32\fsutil.exe . . . is geïnfecteerd!!

c:\windows\system32\ftp.exe . . . is geïnfecteerd!!

c:\windows\system32\getmac.exe . . . is geïnfecteerd!!

c:\windows\system32\gpresult.exe . . . is geïnfecteerd!!

c:\windows\system32\gpupdate.exe . . . is geïnfecteerd!!

c:\windows\system32\help.exe . . . is geïnfecteerd!!

c:\windows\system32\hostname.exe . . . is geïnfecteerd!!

c:\windows\system32\ie4uinit.exe . . . is geïnfecteerd!!

c:\windows\system32\iexpress.exe . . . is geïnfecteerd!!

c:\windows\system32\imapi.exe . . . is geïnfecteerd!!

c:\windows\system32\ipconfig.exe . . . is geïnfecteerd!!

c:\windows\system32\ipsec6.exe . . . is geïnfecteerd!!

c:\windows\system32\ipv6.exe . . . is geïnfecteerd!!

c:\windows\system32\ipxroute.exe . . . is geïnfecteerd!!

c:\windows\system32\label.exe . . . is geïnfecteerd!!

c:\windows\system32\lights.exe . . . is geïnfecteerd!!

c:\windows\system32\lnkstub.exe . . . is geïnfecteerd!!

c:\windows\system32\locator.exe . . . is geïnfecteerd!!

c:\windows\system32\lodctr.exe . . . is geïnfecteerd!!

c:\windows\system32\logagent.exe . . . is geïnfecteerd!!

c:\windows\system32\logman.exe . . . is geïnfecteerd!!

c:\windows\system32\logoff.exe . . . is geïnfecteerd!!

c:\windows\system32\logonui.exe . . . is geïnfecteerd!!

c:\windows\system32\lpq.exe . . . is geïnfecteerd!!

c:\windows\system32\mqbkup.exe . . . is geïnfecteerd!!

c:\windows\system32\mqsvc.exe . . . is geïnfecteerd!!

c:\windows\system32\mqtgsvc.exe . . . is geïnfecteerd!!

c:\windows\system32\mrinfo.exe . . . is geïnfecteerd!!

c:\windows\system32\msdtc.exe . . . is geïnfecteerd!!

c:\windows\system32\msg.exe . . . is geïnfecteerd!!

c:\windows\system32\mshearts.exe . . . is geïnfecteerd!!

c:\windows\system32\grpconv.exe . . . is verdwenen!

Besmet exemplaar van c:\windows\system32\drivers\ndis.sys werd aangetroffen en gedesinfecteerd

Hersteld exemplaar van - c:\windows\ServicePackFiles\i386\ndis.sys

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Legacy_APRIOPAX

-------\Legacy_BTWSVC

-------\Legacy_MEXDYOVJ

-------\Legacy_PERESVC

-------\Service_apriopax

-------\Service_BtwSvc

-------\Service_mexdyovj

-------\Service_peresvc

(((((((((((((((((((( Bestanden Gemaakt van 2010-05-02 to 2010-06-02 ))))))))))))))))))))))))))))))

.

2010-06-02 21:51 . 2010-06-02 21:51 -------- d-----w- c:\windows\system32\LogFiles

2010-06-02 21:22 . 2010-06-02 21:22 -------- d--h--r- c:\documents and settings\Gebruiker\Onlangs geopend

2010-06-02 16:15 . 2010-06-02 16:15 -------- d-----r- c:\documents and settings\NetworkService\Favorieten

2010-06-02 14:06 . 2010-06-02 14:07 -------- d-----w- c:\program files\Microsoft Security Essentials

2010-06-02 13:32 . 2010-06-02 13:32 54016 ----a-w- c:\windows\system32\drivers\cglxgy.sys

2010-06-02 12:28 . 2010-06-02 12:28 -------- d-----w- c:\program files\CCleaner

2010-06-02 12:20 . 2010-06-02 12:19 219648 ----a-w- c:\windows\Uvicoh.exe

2010-06-02 12:19 . 2010-06-02 12:19 219136 ----a-w- c:\windows\Uvicog.exe

2010-06-02 10:04 . 2010-06-02 10:04 -------- d-----r- c:\documents and settings\LocalService\Favorieten

2010-06-02 08:57 . 2010-06-02 22:00 -------- d-sh--r- c:\documents and settings\Gebruiker\Local Settings\Application Data\AMD Drivers

2010-06-01 13:27 . 2010-06-01 13:27 -------- d-sh--w- c:\windows\system32\config\systemprofile\PrivacIE

2010-06-01 13:24 . 2010-06-01 13:24 -------- d-sh--w- c:\documents and settings\Administrator\IETldCache

2010-06-01 13:17 . 2010-06-02 07:56 772096 ----a-w- c:\windows\system32\drivers\zovnpg.sys

2010-06-01 13:14 . 2010-06-02 13:32 -------- d-----w- c:\documents and settings\Gebruiker\Local Settings\Application Data\entgbihsk

2010-06-01 13:14 . 2010-06-01 13:14 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache

2010-06-01 13:13 . 2010-06-01 13:13 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache

2010-06-01 10:34 . 2010-06-02 21:58 580096 -c--a-w- c:\windows\system32\dllcache\user32.dll

2010-06-01 10:33 . 2010-06-01 10:33 -------- d-----w- c:\documents and settings\Gebruiker\Application Data\Street-Ads

2010-06-01 10:33 . 2008-04-14 17:03 123392 ----a-w- c:\windows\notepad.exe

2010-06-01 10:33 . 2008-04-14 17:03 64000 ----a-w- c:\windows\hh.exe

2010-06-01 10:33 . 2010-06-01 10:33 210816 -c--a-w- c:\windows\system32\dllcache\ndis.sys

2010-06-01 10:32 . 2010-06-01 10:32 -------- d-----w- c:\documents and settings\Gebruiker\Application Data\Sky-Banners

2010-06-01 10:32 . 2008-04-14 17:03 95744 ----a-w- c:\windows\system32\net.exe

2010-06-01 10:32 . 2008-04-14 17:03 178176 ----a-w- c:\windows\system32\net1.exe

2010-06-01 10:32 . 2010-06-01 10:32 50981 ----a-w- c:\windows\system32\xsqmyoglrcoczofys.exe

2010-06-01 10:32 . 2008-04-14 17:02 453120 ----a-w- c:\windows\system32\cmd.exe

2010-06-01 10:32 . 2010-06-01 10:32 -------- d-----w- c:\program files\$NtUninstallWTF1012$

2010-05-25 05:38 . 2010-05-25 05:38 309248 ----a-w- c:\windows\system32\sdbheked.dll

2010-05-24 16:31 . 2010-05-24 16:31 40633 ----a-w- c:\windows\system32\ohjfeiwq.exe

2010-05-13 16:23 . 2010-05-13 16:23 -------- d-----w- c:\documents and settings\All Users\Application Data\regid.1986-12.com.adobe

2010-05-13 15:43 . 2010-05-13 15:43 -------- d-----w- c:\documents and settings\All Users\Application Data\ALM

2010-05-13 15:40 . 2010-05-13 15:39 38784 ----a-w- c:\documents and settings\Default User\Application Data\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe

2010-05-13 15:40 . 2010-05-13 15:40 -------- d-----w- c:\program files\Common Files\Adobe AIR

.

((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-06-02 22:04 . 2010-06-02 22:04 54784 ----a-w- c:\windows\system32\wuaucldt.exe

2010-06-02 22:04 . 2010-06-02 22:04 54784 ----a-w- c:\documents and settings\Gebruiker\wuaucldt.exe

2010-06-02 21:58 . 2006-03-02 12:00 580096 ----a-w- c:\windows\system32\user32.dll

2010-06-02 21:54 . 2006-03-02 12:00 499464 ----a-w- c:\windows\system32\perfh013.dat

2010-06-02 21:54 . 2006-03-02 12:00 86454 ----a-w- c:\windows\system32\perfc013.dat

2010-06-02 12:39 . 2010-02-07 19:42 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2010-06-01 10:33 . 2010-06-01 10:33 12 ----a-w- c:\documents and settings\NetworkService\Application Data\vlsfdq.dat

2010-06-01 10:33 . 2006-03-02 12:00 84480 ----a-w- c:\windows\system32\userinit.exe

2010-05-13 16:32 . 2009-05-22 10:15 -------- d-----w- c:\documents and settings\Gebruiker\Application Data\uTorrent

2010-05-13 16:23 . 2009-05-18 11:00 69232 ----a-w- c:\documents and settings\Gebruiker\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2010-05-13 15:43 . 2009-04-17 09:31 -------- d-----w- c:\program files\Common Files\Adobe

2010-05-13 15:25 . 2009-10-28 06:27 -------- d-----w- c:\documents and settings\Gebruiker\Application Data\U3

2010-05-13 01:00 . 2009-11-12 21:43 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help

2010-05-08 12:54 . 2009-07-30 12:28 -------- d-----w- c:\program files\Google

2010-04-29 13:39 . 2010-02-07 19:42 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-04-29 13:39 . 2010-02-07 19:42 20952 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-04-17 17:48 . 2010-03-14 17:22 -------- d-----w- c:\documents and settings\All Users\Application Data\NOS

2010-04-17 08:59 . 2010-04-17 08:58 1956656 ----a-w- c:\documents and settings\All Users\Application Data\NOS\Adobe_Downloads\install_flash_player_ax.exe

2010-04-06 10:16 . 2010-04-05 18:22 -------- d-----w- c:\program files\PokerStars

2010-03-22 10:23 . 2010-03-22 10:23 72488 ----a-w- c:\documents and settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 9.0.3.15\SetupAdmin.exe

2010-03-15 12:55 . 2010-03-15 12:55 1924976 ----a-w- c:\documents and settings\All Users\Application Data\NOS\Adobe_Downloads\install_flash_player.exe

2010-03-14 16:47 . 2010-03-14 16:47 0 ----a-w- c:\windows\nsreg.dat

2010-03-10 06:17 . 2006-03-02 12:00 420352 ----a-w- c:\windows\system32\vbscript.dll

2010-03-05 08:13 . 2008-07-31 08:16 947472 ----a-w- c:\windows\system32\msjava.dll

.

Infected c:\windows\system32\user32.dll hex repaired

------- Sigcheck -------

[-] 2010-06-01 10:33 . 72D64915CB6098A0ABDF89472ADEF64A . 84480 . . [] . . c:\windows\system32\userinit.exe

[-] 2008-04-14 . 79FCBBB53463621489123D19CD81F4CE . 51200 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\userinit.exe

[-] 2006-03-02 . 0582844ECF43439D83A763291596131F . 49152 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\userinit.exe

[-] 2008-04-14 . B4EED3FD466D09C1A5509F315B3D9BB9 . 1119744 . . [6.00.2900.5512] . . c:\windows\explorer.exe

[-] 2008-04-14 . AA78B8677BEF15767B1FADB2B8E662F7 . 1062400 . . [6.00.2900.5512] . . c:\windows\ServicePackFiles\i386\explorer.exe

[-] 2006-03-02 . 65DC1EC4B4BFC3FC5B2E7A2273F55441 . 1060352 . . [6.00.2900.2180] . . c:\windows\$NtServicePackUninstall$\explorer.exe

[-] 2008-04-14 . 3F3D26B6C11023EE3F447D79C2A9E014 . 38912 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\wscntfy.exe

[-] 2008-04-14 . 900613E40DC653C73E6AC7CF5D49F72C . 67072 . . [5.1.2600.5512] . . c:\windows\system32\wscntfy.exe

[-] 2006-03-02 . CA1E22E202697E1971D10D769F9A7618 . 38400 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\wscntfy.exe

[-] 2008-04-14 . 8B16A72C92DD62CA2A1B74FAA8202049 . 39936 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\ctfmon.exe

[-] 2008-04-14 . 20F12143C416A8336724D5B683E604D5 . 68608 . . [5.1.2600.5512] . . c:\windows\system32\ctfmon.exe

[-] 2006-03-02 . B7AAE9873DD4677D866A3516A5DF4E42 . 40448 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\ctfmon.exe

.

((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond

REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{32B279E3-5023-4CD8-A295-70C79EDBB294}]

2009-03-23 15:48 2620416 ----a-w- c:\program files\HyvesToolbar\Hyves Toolbar\tbcore3.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4A3D3CEE-4FF1-49F0-8728-FFD12A4A942E}]

2010-05-25 05:38 309248 ----a-w- c:\windows\system32\sdbheked.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{AB8DC1E0-22BE-4181-B77E-02C495E031F8}"= "c:\program files\HyvesToolbar\Hyves Toolbar\tbcore3.dll" [2009-03-23 2620416]

[HKEY_CLASSES_ROOT\clsid\{ab8dc1e0-22be-4181-b77e-02c495e031f8}]

[HKEY_CLASSES_ROOT\TBSB00081.TBSB00081.3]

[HKEY_CLASSES_ROOT\TypeLib\{EC4085F2-8DB3-45a6-AD0B-CA289F3C5D7E}]

[HKEY_CLASSES_ROOT\TBSB00081.TBSB00081]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]

"{AB8DC1E0-22BE-4181-B77E-02C495E031F8}"= "c:\program files\HyvesToolbar\Hyves Toolbar\tbcore3.dll" [2009-03-23 2620416]

[HKEY_CLASSES_ROOT\clsid\{ab8dc1e0-22be-4181-b77e-02c495e031f8}]

[HKEY_CLASSES_ROOT\TBSB00081.TBSB00081.3]

[HKEY_CLASSES_ROOT\TypeLib\{EC4085F2-8DB3-45a6-AD0B-CA289F3C5D7E}]

[HKEY_CLASSES_ROOT\TBSB00081.TBSB00081]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"DAEMON Tools Pro Agent"="c:\program files\DAEMON Tools Pro\DTProAgent.exe" [2009-12-18 427328]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2007-01-05 925696]

"PTHOSTTR"="c:\program files\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE" [2007-01-09 145184]

"QlbCtrl"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2007-11-06 177456]

"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-06-07 884736]

"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 147456]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-04-17 136600]

"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" [2009-05-22 198160]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-11-10 475136]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-02-15 141608]

"AdobeAAMUpdater-1.0"="c:\program files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2010-03-06 500208]

"AdobeCS5ServiceManager"="c:\program files\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe" [2010-02-22 406992]

"MChk"="c:\windows\system32\ohjfeiwq.exe" [2010-05-24 40633]

"MSSE"="c:\program files\Microsoft Security Essentials\msseces.exe" [2009-09-13 1048392]

"syncman"="c:\windows\system32\wuaucldt.exe" [2010-06-02 54784]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 68608]

"syncman"="c:\documents and settings\gebruiker\wuaucldt.exe" [2010-06-02 54784]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]

"wv490"="c:\windows\TEMP\x0bpy.exe" [2010-06-02 70144]

c:\documents and settings\All Users\Menu Start\Programma's\Opstarten\

BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2007-2-6 614400]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]

"Userinit"="c:\windows\explorer.exe,"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\DeviceNP]

2007-06-08 07:04 49152 ----a-r- c:\windows\system32\DeviceNP.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]

@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

@="Driver"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"c:\\Program Files\\uTorrent\\uTorrent.exe"=

"c:\\Documents and Settings\\Gebruiker\\Bureaublad\\uTorrent.exe"=

"c:\\Program Files\\SopCast\\adv\\SopAdver.exe"=

"c:\\Program Files\\SopCast\\SopCast.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

"c:\\WINDOWS\\system32\\winver.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"65533:TCP"= 65533:TCP:Services

"52344:TCP"= 52344:TCP:Services

"6026:TCP"= 6026:TCP:Services

"6027:TCP"= 6027:TCP:Services

S2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [30-7-2009 14:28 133104]

S3 DAMDrv;DAMDrv;c:\windows\system32\drivers\DAMDrv.sys [17-4-2009 9:21 30008]

S3 FLCDLOCK;HP ProtectTools Device Locking / Auditing;c:\windows\system32\flcdlock.exe [8-6-2007 9:06 196608]

S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [18-1-2010 15:07 691696]

--- Andere Services/Drivers In Geheugen ---

*NewlyCreated* - MEXDYOVJ

*Deregistered* - mexdyovj

.

Inhoud van de 'Gedeelde Taken' map

2010-06-01 c:\windows\Tasks\AdobeAAMUpdater-1.0-GEBRUIKE-B2D47F-Gebruiker.job

- c:\program files\Common Files\Adobe\OOBE\PDApp\UWA\updaterstartuputility.exe [2010-05-13 01:44]

2010-06-02 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2010-06-02 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2009-07-30 12:28]

2010-06-02 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2009-07-30 12:28]

2010-06-02 c:\windows\Tasks\MP Scheduled Scan.job

- c:\program files\Microsoft Security Essentials\MpCmdRun.exe [2009-07-02 15:36]

2010-06-02 c:\windows\Tasks\OGALogon.job

- c:\windows\system32\OGAEXEC.exe [2009-08-03 13:07]

2010-06-02 c:\windows\Tasks\User_Feed_Synchronization-{CE375468-C5BD-4096-BED2-3C334CA7D9BF}.job

- c:\windows\system32\msfeedssync.exe [2007-08-13 02:31]

.

.

------- Bijkomende Scan -------

.

uStart Page = hxxp://www.google.nl/

uInternet Settings,ProxyOverride = *.local

IE: E&xporteren naar Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

IE: Verzenden naar &Bluetooth-apparaat... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

FF - ProfilePath - c:\documents and settings\Gebruiker\Application Data\Mozilla\Firefox\Profiles\qydy6csl.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.google.nl/

FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll

FF - plugin: c:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX POLICIES ----

c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);

.

- - - - ORPHANS VERWIJDERD - - - -

BHO-{4F887E8C-7000-5C9F-563E-7C0854BE3B45} - (no file)

ShellIconOverlayIdentifiers-{2D13EBAA-0AF2-45CE-803B-E8D2806D5C2A} - (no file)

HKCU-Run-AMD Graphic - c:\documents and settings\Gebruiker\Local Settings\Application Data\AMD Drivers\AMD_graphics.exe

HKLM-Run-skb - plucekqf.dll

HKLM-Run-AMD Graphic - c:\documents and settings\Gebruiker\Local Settings\Application Data\AMD Drivers\AMD_graphics.exe

HKLM-Run-Regedit32 - c:\windows\system32\regedit.exe

SSODL-GootkitSSO-{D0749B9A-621F-495B-B39D-D350C357AF41} - c:\windows\System32\msxsltsso.dll

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2010-06-03 00:10

Windows 5.1.2600 Service Pack 3 NTFS

detected NTDLL code modification:

ZwOpenFile

scannen van verborgen processen ...

scannen van verborgen autostart items ...

scannen van verborgen bestanden ...

Scan succesvol afgerond

verborgen bestanden: 0

**************************************************************************

.

--------------------- VERGRENDELDE REGISTER SLEUTELS ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–}|ÿÿÿÿÀ•}|ù•9~*]

"3140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

.

--------------------- DLLs Geladen Onder Lopende Processen ---------------------

- - - - - - - > 'winlogon.exe'(892)

c:\windows\system32\Ati2evxx.dll

c:\windows\system32\DeviceNP.dll

c:\program files\Bonjour\mdnsNSP.dll

- - - - - - - > 'explorer.exe'(2096)

c:\windows\system32\btmmhook.dll

c:\windows\system32\webcheck.dll

.

------------------------ Andere Aktieve Processen ------------------------

.

c:\windows\system32\Ati2evxx.exe

c:\program files\Microsoft Security Essentials\MsMpEng.exe

c:\program files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

c:\windows\system32\Ati2evxx.exe

c:\windows\system32\agrsmsvc.exe

c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

c:\program files\Bonjour\mDNSResponder.exe

c:\program files\Java\jre6\bin\jqs.exe

c:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

c:\progra~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE

c:\program files\Hewlett-Packard\Shared\hpqwmiex.exe

c:\program files\iPod\bin\iPodService.exe

c:\windows\TEMP\VRT6.tmp

.

**************************************************************************

.

Voltooingstijd: 2010-06-03 00:10:58 - machine werd herstart

ComboFix-quarantined-files.txt 2010-06-02 22:10

Pre-Run: 68.448.542.720 bytes beschikbaar

Post-Run: 68.491.489.280 bytes beschikbaar

WindowsXP-KB310994-SP2-Pro-BootDisk-NLD.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

Current=2 Default=2 Failed=3 LastKnownGood=4 Sets=1,2,3,4

- - End Of File - - A09FBFE9BEF0AED764285F980A77F58C

[kape]

Dit ziet er helemaal niet goed uit

We gaan een poging wagen om hier verandering in te brengen, maar de kans dat dit lukt is heel miniem. Doe eerst het volgende :

Open een kladblokbestand.

Kopieer en plak daarin de onderstaande vetgedrukte tekst.

File::

c:\windows\Uvicoh.exe

c:\windows\system32\drivers\cglxgy.sys

c:\windows\Uvicog.exe

c:\windows\system32\drivers\zovnpg.sys

c:\windows\hh.exe

c:\windows\system32\xsqmyoglrcoczofys.exe

c:\windows\system32\sdbheked.dll

c:\windows\system32\ohjfeiwq.exe

Folder::

c:\documents and settings\Gebruiker\Application Data\Street-Ads

c:\documents and settings\Gebruiker\Local Settings\Application Data\entgbihsk

Driver::

zovnpg.sys

cglxgy.sys

Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{32B279E3-5023-4CD8-A295-70C79EDBB294}]

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4A3D3CEE-4FF1-49F0-8728-FFD12A4A942E}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

[-HKEY_CLASSES_ROOT\clsid\{ab8dc1e0-22be-4181-b77e-02c495e031f8}]

[-HKEY_CLASSES_ROOT\TBSB00081.TBSB00081.3]

[-HKEY_CLASSES_ROOT\TypeLib\{EC4085F2-8DB3-45a6-AD0B-CA289F3C5D7E}]

[-HKEY_CLASSES_ROOT\TBSB00081.TBSB00081]

[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]

[-HKEY_CLASSES_ROOT\clsid\{ab8dc1e0-22be-4181-b77e-02c495e031f8}]

[-HKEY_CLASSES_ROOT\TBSB00081.TBSB00081.3]

[-HKEY_CLASSES_ROOT\TypeLib\{EC4085F2-8DB3-45a6-AD0B-CA289F3C5D7E}]

[-HKEY_CLASSES_ROOT\TBSB00081.TBSB00081]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MChk"=-

[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]

"wv490"=-

Sla dit bestand op je bureaublad op als CFScript.txt.

Sleep CFScript.txt in ComboFix.exe

Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt.

Post na herstart de inhoud van de Combofix.txt in je volgende bericht samen met een nieuw logje van HijackThis.