HELP! CRITICAL HARDDISK ERROR: crash of virus/trojan horse..?? Wie kan me helpen?

[Marlon]

hoi Kape,

Je hebt nog geen tijd gehad om naar t bovenstaande te kijken, maar even een vraagje tussendoor.. denk je dat de kans aanwezig is dat ik bepaalde bestanden echt helemaal kwijt ben, of kan de computer met wat geluk (en jouw hulp ;-) weer de oude worden?

groetjes Marlon

[kape]

Download ComboFix van één van deze locaties:

Link 1

Link 2

* BELANGRIJK !!! Sla ComboFix.exe op je Bureaublad op

1. Schakel alle antivirus- en antispywareprogramma's uit, want anders kunnen ze misschien conflicteren met ComboFix. Hier is een handleiding over hoe je ze kan uitschakelen:

Klik hier

Als het je niet lukt om ze uit te schakelen, ga dan gewoon door naar de volgende stap.

2. Dubbelklik op ComboFix.exe en volg de meldingen op het scherm.

3. ComboFix zal controleren of dat de Microsoft Windows Recovery Console reeds is geïnstalleerd.

**Let op: Als de Microsoft Windows Recovery Console al is geïnstalleerd, dan krijg je de volgende schermen niet te zien en zal ComboFix automatisch verder gaan met het scannen naar malware.

4. Volg de meldingen op het scherm om ComboFix de Microsoft Windows Recovery Console te laten downloaden en installeren.

Je krijgt de volgende melding te zien wanneer ComboFix de Microsoft Windows Recovery Console succesvol heeft geïnstalleerd:

Klik op Ja om verder te gaan met het scannen naar malware.

5. Wanneer ComboFix klaar is, zal het een logbestand voor je maken. Post de inhoud van dit logbestand (te vinden als C:\ComboFix.txt) in je volgende bericht.

P.S. : twijfel of je bestanden verloren zullen zijn, maar dat zullen de volgende stappen (eventueel) kunnen uitwijzen.

[Marlon]

Hoi Kape,

Het gaat goed!!! Volgens mij heb ik heel veel (misschien alles) nog!! Ik zag het gewoon teruggeplaatst worden op het bureaublad.. Wat had ik zonder jouw advies gemoeten, zeg.. Hieronder de log van ComboFix.

Denk je dat alles nu hersteld is? Als ik de internet explorer aanklik geeft hij aan dat 'momenteel zonder invoegtoepassingen wordt uitgevoerd' (?)

Ik hoor heel graag wat ik verder nog kan doen om hem weer goed te krijgen.

PS: ik heb op het bureaublad nu combofix, malwarebytes en hijackthis staan, is dat voldoende bescherming voor mijn pc tegen virussen, spyware en andere rare dingen? Geen idee hoe deze erop is gekomen, straks gebeurt t me weer..!

Vast heel veel dank weer!

ComboFix 11-06-05.06 - De Lange 05-06-2011 17:32:12.1.1 - x86

Microsoft Windows XP Professional 5.1.2600.3.1252.31.1043.18.503.223 [GMT 2:00]

Gestart vanuit: c:\documents and settings\De Lange\Bureaublad\ComboFix.exe

.

.

(((((((((((((((((((((((((((((((((( Andere Verwijderingen )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\documents and settings\De Lange\Bureaublad\Windows XP Recovery.lnk

c:\documents and settings\De Lange\Menu Start\Programma's\Windows XP Recovery

c:\documents and settings\De Lange\Menu Start\Programma's\Windows XP Recovery\Uninstall Windows XP Recovery.lnk

c:\documents and settings\De Lange\Menu Start\Programma's\Windows XP Recovery\Windows XP Recovery.lnk

c:\program files\QUAD Utilities

c:\windows\TEMP\ayijsqoe.vbt

.

Besmet exemplaar van c:\windows\system32\drivers\volsnap.sys werd aangetroffen en gedesinfecteerd

Hersteld exemplaar van - Kitty had a snack

.

(((((((((((((((((((( Bestanden Gemaakt van 2011-05-05 to 2011-06-05 ))))))))))))))))))))))))))))))

.

.

2011-06-05 07:51 . 2011-06-05 09:30 -------- d--h--r- c:\documents and settings\De Lange\Onlangs geopend

2011-06-05 07:22 . 2011-06-05 07:22 -------- d-----w- c:\documents and settings\De Lange\Application Data\Malwarebytes

2011-06-05 07:22 . 2011-05-29 07:11 39984 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2011-06-05 07:22 . 2011-06-05 07:22 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2011-06-05 07:22 . 2011-06-05 07:22 -------- d--h--w- c:\program files\Malwarebytes' Anti-Malware

2011-06-05 07:09 . 2011-06-05 07:09 -------- d-----w- C:\Preventon

2011-06-04 16:55 . 2011-06-04 17:27 -------- d--h--w- c:\documents and settings\All Users\Application Data\clp

2011-06-04 16:55 . 2011-06-04 16:55 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache

2011-06-04 16:55 . 2011-06-04 16:55 -------- d--h--w- c:\documents and settings\LocalService\Application Data\Fighters

2011-06-04 16:55 . 2011-06-04 16:55 -------- d--h--w- c:\program files\Fighters

2011-06-04 16:55 . 2011-06-04 16:55 -------- d--h--w- c:\program files\Common Files\Common Toolkit Suite

2011-06-04 16:55 . 2011-06-04 16:55 -------- d--h--w- c:\documents and settings\All Users\Application Data\Common Toolkit Suite

2011-06-04 16:54 . 2011-06-04 16:55 -------- d--h--w- c:\documents and settings\All Users\Application Data\Fighters

2011-06-04 16:53 . 2011-06-04 16:55 -------- dc-h--w- c:\documents and settings\All Users\Application Data\{F31DF89A-89A8-4883-9398-F0F33A3BCA88}

2011-06-04 16:51 . 2011-06-04 16:51 -------- d--h--w- c:\documents and settings\De Lange\Application Data\Fighters

2011-06-04 16:51 . 2011-06-04 16:51 -------- d--h--w- c:\documents and settings\De Lange\Local Settings\Application Data\PackageAware

2011-06-04 16:46 . 2011-06-05 09:16 -------- d--h--w- c:\documents and settings\De Lange\Local Settings\Application Data\AskToolbar

2011-06-04 16:40 . 2011-06-05 09:11 -------- d--h--w- c:\documents and settings\De Lange\Application Data\Sammsoft

2011-06-04 16:40 . 2011-06-04 16:40 -------- d--h--w- c:\program files\Ask.com

2011-06-04 15:57 . 2011-06-04 15:57 388096 ---ha-r- c:\documents and settings\De Lange\Application Data\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe

2011-06-04 15:57 . 2011-06-04 15:57 -------- d--h--w- c:\program files\Trend Micro

2011-06-04 10:31 . 2011-06-05 15:31 787472 ----a-w- c:\windows\system32\PerfStringBackup.TMP

.

.

.

((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-04-28 11:56 . 2011-04-28 11:56 10264 ---ha-w- c:\windows\system32\drivers\avfsfilter.sys

.

.

((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-04-24 39408]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SoundMAXPnP"="c:\program files\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-10-14 1388544]

"AGRSMMSG"="AGRSMMSG.exe" [2005-11-16 88209]

"hpWirelessAssistant"="c:\program files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2005-12-13 507904]

"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-03-31 761946]

"eabconfg.cpl"="c:\program files\HPQ\Quick Launch Buttons\EabServr.exe" [2006-04-18 405504]

"igfxtray"="c:\windows\system32\igfxtray.exe" [2006-06-30 94208]

"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2006-06-30 77824]

"igfxpers"="c:\windows\system32\igfxpers.exe" [2006-06-30 118784]

"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072]

"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-02-18 248040]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-01-31 35760]

"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]

"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2011-01-12 49208]

"SWPROguard"="c:\program files\Fighters\SPYWAREfighter\SWPROTray.exe" [2011-04-28 1131144]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

.

c:\documents and settings\De Lange\Menu Start\Programma's\Opstarten\

Marktplaats Zoekassistent.lnk - c:\program files\Marktplaats Zoekassistent\Marktplaats.exe [2009-3-24 1844224]

OneNote 2007 Schermopname en Snel starten.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"ConsentPromptBehaviorAdmin"= 0 (0x0)

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=

"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqcopy2.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpfcCopy.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=

"c:\\Program Files\\Common Files\\HP\\Digital Imaging\\Bin\\hpqPhotoCrm.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqgplgtupl.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqgpc01.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqusgm.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqusgh.exe"=

"c:\\Program Files\\HP\\HP Software Update\\HPWUCli.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\smart web printing\\SmartWebPrintExe.exe"=

.

R2 AV Engine Scanning Service;AV Engine Scanning Service;c:\program files\Common Files\Common Toolkit Suite\AVEngine\AVScanningService.exe [28-4-2011 13:56 826688]

R2 AV Watch Service;AV Watch Service;c:\program files\Common Files\Common Toolkit Suite\AVEngine\AVWatchService.exe [28-4-2011 13:56 142768]

R2 Suite Service;Suite Service;c:\program files\Fighters\FighterSuiteService.exe [28-4-2011 14:20 1206408]

R3 AVFSFilter;AVFSFilter;c:\windows\system32\drivers\avfsfilter.sys [28-4-2011 13:56 10264]

R3 GTIPCI21;GTIPCI21;c:\windows\system32\drivers\gtipci21.sys [28-3-2009 20:10 88192]

S2 gupdate;Google Updateservice (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [5-2-2010 21:09 135664]

S3 gupdatem;Google Update-service (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [5-2-2010 21:09 135664]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12

hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

.

Inhoud van de 'Gedeelde Taken' map

.

2011-06-05 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-05 19:09]

.

2011-06-05 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-05 19:09]

.

2011-06-05 c:\windows\Tasks\OGALogon.job

- c:\windows\system32\OGAEXEC.exe [2009-08-03 13:07]

.

2011-06-05 c:\windows\Tasks\Scheduled Update for Ask Toolbar.job

- c:\program files\Ask.com\UpdateTask.exe [2011-02-01 17:17]

.

.

------- Bijkomende Scan -------

.

uStart Page = hxxp://www.google.nl/

uSearchAssistant = hxxp://www.google.com/ie

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

TCP: DhcpNameServer = 192.168.1.254

.

- - - - ORPHANS VERWIJDERD - - - -

.

Toolbar-Locked - (no file)

WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2011-06-05 17:41

Windows 5.1.2600 Service Pack 3 NTFS

.

scannen van verborgen processen ...

.

scannen van verborgen autostart items ...

.

scannen van verborgen bestanden ...

.

Scan succesvol afgerond

verborgen bestanden: 0

.

**************************************************************************

.

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\AV Engine Scanning Service]

"ImagePath"="C:/Program Files/Common Files/Common Toolkit Suite/AVEngine/AVScanningService.exe"

.

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\AV Watch Service]

"ImagePath"="C:/Program Files/Common Files/Common Toolkit Suite/AVEngine/AVWatchService.exe"

.

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\AV Engine Scanning Service]

"ImagePath"="C:/Program Files/Common Files/Common Toolkit Suite/AVEngine/AVScanningService.exe"

.

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\AV Watch Service]

"ImagePath"="C:/Program Files/Common Files/Common Toolkit Suite/AVEngine/AVWatchService.exe"

.

--------------------- DLLs Geladen Onder Lopende Processen ---------------------

.

- - - - - - - > 'explorer.exe'(4080)

c:\windows\system32\webcheck.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\btncopy.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

c:\program files\Malwarebytes' Anti-Malware\mbamext.dll

c:\program files\Axon Data\AxCrypt\1.6.4.4\ShellExt.dll

c:\program files\Microsoft Office\Office12\1043\GrooveIntlResource.dll

c:\program files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.NLD

c:\program files\HPQ\Quick Launch Buttons\CPQINFO.DLL

.

------------------------ Andere Aktieve Processen ------------------------

.

c:\windows\System32\SCardSvr.exe

c:\windows\AGRSMMSG.exe

c:\program files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

c:\program files\Java\jre6\bin\jqs.exe

c:\program files\Analog Devices\SoundMAX\SMAgent.exe

c:\program files\Hewlett-Packard\Shared\hpqwmiex.exe

c:\windows\system32\wscntfy.exe

c:\progra~1\HPQ\SHARED\HPQTOA~1.EXE

.

**************************************************************************

.

Voltooingstijd: 2011-06-05 18:14:28 - machine werd herstart

ComboFix-quarantined-files.txt 2011-06-05 16:14

.

Pre-Run: 7.196.123.136 bytes beschikbaar

Post-Run: 7.214.510.080 bytes beschikbaar

.

WindowsXP-KB310994-SP2-Pro-BootDisk-NLD.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

.

- - End Of File - - 2DAD5191031415B2B6B2881E8FADB51B

---------- Post toegevoegd om 18:35 ---------- Vorige post was om 18:24 ----------

hoi Kape,

Even nog een toevoegingetje aan mijn mail hierboven - ik ben geloof ik Windows helemaal kwijt, zie nergens meer mijn Outlook etc..?

dank en groetjes!

Marlon

[kape]

Deze mappen mag je alvast verwijderen :

c:\documents and settings\All Users\Application Data\{F31DF89A-89A8-4883-9398-F0F33A3BCA88}

c:\documents and settings\De Lange\Local Settings\Application Data\AskToolbar

c:\program files\Ask.com

Oulook is een onderdeel van Office, maar niet van Windows. Lijkt me onwaarschijnlijk dat Windows zou verdwenen zijn, want in je logjes is dat telkens aanwezig : Windows XP om juist te zijn.

[Marlon]

Hi!

Heb die mappen verwijderd. Heel suf, maar ik kan Outlook nergens vinden. Als ik bij software kijk, krijg ik geen overzicht, maar moet ik een configuratie kiezen (hij staat op aangepast; ik heb Windows aangeklikt / ok maar hij pakt dat niet). Denk je dat er toch iets beschadigd is..?

[Marlon]

Hoi Kape,

Ik kan nog steeds Outlook nergens vinden; enige wat ik op het bureaublad vind is Office 2007 Genuine Advantage Patch. Als ik kijk bij programmatoegang en -instellingen krijg ik het scherm 'software', dat meldt dat een configuratie moet worden gekozen. Hij staat dan op 'aangepast', als ik 'Microsoft Windows' aanklik gebeurt er niets. Bij internet zijn de 'invoegtoepassingen' uitgeschakeld (kan alleen offline werken)?

Verder zegt mn pc: 'uw computer loopt mogelijk een beveiligingsrisico. Antivirussoftware is mogelijk niet geinstalleerd.' Is wat ik nu aan bescherming heb (malwarebytes, hijackthis, combofix) onvoldoende denk je?

Vast weer heel veel dank voor je reactie!

Hartelijke groeten, Marlon

[Marlon]

Hoi,

Nog geen berichtje gehad op mijn mailtjes van hierboven maar jullie hebben het vast ook hartstikke druk.. Maar als er iemand is die weet hoe ik mijn Outlook etc weer terug zou kunnen krijgen, ben ik eeuwig dankbaar..!!!

groetjes Marlon

[Dasle]

Je kan alvast even in de map C:\Program Files \Microsoft Office\Office12 kijken of je het bestand Outlook.exe kunt terug vinden.

[Gast antichrist]

ik vrees dat je mails weg zijn... misschien eens bij prullenbak kijken :S wie weet?

[Marlon]

Beste allemaal,

HET IS OPGELOST en ik heb ook al mijn mail nog!! Wil jullie allen HEEL HARTELIJK BEDANKEN, zonder jullie was het nooit gelukt de Trojan te verwijderen!! Wat een supersite is dit en wat fantastisch dat jullie 'zomaar' mensen uit de brand helpen! Heel veel dank,

groetjes Marlon:-)