Beveiliging tijdelijk uitschakelen

bernard · 15 november 2011

File::

c:\windows\Tasks\Scheduled Update for Ask Toolbar.job

c:\program files\Ask.com\UpdateTask.exe

Folder::

c:\documents and settings\All Users\Application Data\Ask

c:\program files\Ask.com

Registry::

[-HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

[-HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

---------- Post toegevoegd om 14:00 ---------- Vorige post was om 13:56 ----------

Is dit wel goed gegaan, volgens mij had ik veel meer geplakt

kape · 15 november 2011

Dit zijn de onderdelen die je in het scriptje hebt moeten plakken. Bedoeling is dat je dit scriptje in de snelkoppeling van Combofix sleept en dan start dit opnieuw op (zie tekening in eerder bericht). Het nieuwe log van Combofix moet je daarna in een nieuw bericht plakken.

bernard · 15 november 2011

Als ik het schermpje 31 naar combofix sleep , dan komt er een schermcombofix wordt opgestart

En vervolgens een klein schermpje cfscript naam fout .

Probeerde je CFscript te gebruiken , De naam CFScript kijt verkeerd te zijn geschreven

Of moet ik het tekstje van scherm 31 naar cfscriptop mijn bureaublad slepen ?

kape · 15 november 2011

Het bestandje moet de naam CFScript.txt hebben. Indien dat zo is, mag je dat bestandje in de snelkoppeling slepen om zo Combofix opnieuw op te starten.

Asus · 15 november 2011

De naam van het bestand dient CFScript te zijn.

De inhoud kan je kopiëren en plakken uit post 28, wanneer het bestand geopend is, ziet het er zo uit :

bernard · 15 november 2011

ComboFix 11-11-15.01 - Bernardus 15-11-2011 15:05:42.3.1 - x86

Microsoft Windows XP Home Edition 5.1.2600.3.1252.31.1043.18.510.240 [GMT 1:00]

Gestart vanuit: c:\documents and settings\Bernardus\Bureaublad\ComboFix.exe

AV: Microsoft Security Essentials *Enabled/Updated* {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}

.

(((((((((((((((((((( Bestanden Gemaakt van 2011-10-15 to 2011-11-15 ))))))))))))))))))))))))))))))

.

2011-11-15 10:26 . 2011-11-15 10:26 28752 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{93D57C07-6FC0-4A3A-BD93-AA2C7A906D97}\MpKsl599eb6de.sys

2011-11-15 10:26 . 2011-11-15 10:26 56200 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{93D57C07-6FC0-4A3A-BD93-AA2C7A906D97}\offreg.dll

2011-11-14 18:59 . 2011-10-07 03:48 6668624 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{93D57C07-6FC0-4A3A-BD93-AA2C7A906D97}\mpengine.dll

2011-11-14 10:57 . 2011-11-14 10:57 388096 ----a-r- c:\documents and settings\Bernardus\Application Data\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe

2011-11-13 12:49 . 2011-11-13 12:49 -------- d-----w- c:\program files\Trend Micro

2011-11-10 09:24 . 2011-11-10 09:55 -------- d-----w- c:\program files\Speccy

.

((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-10-10 14:22 . 2005-04-14 09:43 692736 ----a-w- c:\windows\system32\inetcomm.dll

2011-10-07 03:48 . 2011-02-07 14:20 6668624 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll

2011-10-04 20:09 . 2011-06-29 19:48 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl

2011-10-03 03:06 . 2011-02-06 14:02 472808 ----a-w- c:\windows\system32\deployJava1.dll

2011-10-03 00:37 . 2011-02-06 12:46 73728 ----a-w- c:\windows\system32\javacpl.cpl

2011-09-28 07:06 . 2005-04-14 09:31 602624 ----a-w- c:\windows\system32\crypt32.dll

2011-09-26 09:41 . 2011-09-26 09:41 614912 ------w- c:\windows\system32\uiautomationcore.dll

2011-09-26 09:41 . 2005-04-14 09:31 23040 ----a-w- c:\windows\system32\oleaccrc.dll

2011-09-26 09:41 . 2005-04-14 09:31 220160 ----a-w- c:\windows\system32\oleacc.dll

2011-09-06 14:09 . 2005-04-14 09:31 1859072 ----a-w- c:\windows\system32\win32k.sys

2011-08-31 16:00 . 2011-02-08 18:58 22216 ----a-w- c:\windows\system32\drivers\mbam.sys

2011-08-22 23:41 . 2005-04-14 09:31 916480 ----a-w- c:\windows\system32\wininet.dll

2011-08-22 23:41 . 2005-04-14 09:31 43520 ------w- c:\windows\system32\licmgr10.dll

2011-08-22 23:41 . 2005-04-14 09:31 1469440 ------w- c:\windows\system32\inetcpl.cpl

2011-08-22 11:58 . 2005-04-14 09:31 385024 ------w- c:\windows\system32\html.iec

.

((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))

.

*Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"TOSCDSPD"="c:\program files\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-03-02 65536]

"Picasa Media Detector"="c:\program files\Picasa2\PicasaMediaDetector.exe" [2008-08-21 443968]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CFSServ.exe"="CFSServ.exe -NoClient" [X]

"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2003-10-30 192512]

"PadTouch"="c:\program files\TOSHIBA\Touch and Launch\PadExe.exe" [2004-12-01 1077327]

"AGRSMMSG"="AGRSMMSG.exe" [2004-10-28 88363]

"CeEKEY"="c:\program files\TOSHIBA\E-KEY\CeEKey.exe" [2005-01-21 675840]

"TPNF"="c:\program files\TOSHIBA\TouchPad\TPTray.exe" [2004-11-29 53248]

"TOSHIBA Accessibility"="c:\program files\TOSHIBA\Accessibility\FnKeyHook.exe" [2004-12-07 24576]

"HWSetup"="c:\program files\TOSHIBA\TOSHIBA Applet\HWSetup.exe" [2004-12-23 28672]

"SVPWUTIL"="c:\program files\Toshiba\Windows Utilities\SVPWUTIL.exe" [2005-02-25 65536]

"Zooming"="ZoomingHook.exe" [2004-07-14 24576]

"TCtryIOHook"="TCtrlIOHook.exe" [2005-02-16 28672]

"TPSMain"="TPSMain.exe" [2005-01-21 266240]

"SmoothView"="c:\program files\TOSHIBA\TOSHIBA-zoomutility\SmoothView.exe" [2004-11-15 118784]

"TFncKy"="TFncKy.exe" [bU]

"Tvs"="c:\program files\TOSHIBA\Tvs\TvsTray.exe" [2004-11-12 73728]

"NDSTray.exe"="NDSTray.exe" [bU]

"dla"="c:\windows\system32\dla\tfswctrl.exe" [2005-01-13 122939]

"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-02-22 339968]

"MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2011-06-15 997920]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2010-11-29 421888]

"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-06-06 937920]

"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2011-06-09 254696]

"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-08-31 449608]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

"DWQueuedReporting"="c:\progra~1\COMMON~1\MICROS~1\DW\dwtrig20.exe" [2008-11-04 435096]

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]

@="Service"

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Java\\jre1.6.0_01\\bin\\javaw.exe"=

"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Java\\jre6\\bin\\javaw.exe"=

.

R1 MpKsl599eb6de;MpKsl599eb6de;c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{93D57C07-6FC0-4A3A-BD93-AA2C7A906D97}\MpKsl599eb6de.sys [15-11-2011 11:26 28752]

R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [8-2-2011 19:58 366152]

R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [8-2-2011 19:58 22216]

.

--- Andere Services/Drivers In Geheugen ---

.

*NewlyCreated* - MPKSL599EB6DE

.

Inhoud van de 'Gedeelde Taken' map

.

2011-02-07 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

.

2011-11-15 c:\windows\Tasks\MP Scheduled Scan.job

- c:\program files\Microsoft Security Client\Antimalware\MpCmdRun.exe [2011-04-27 13:39]

.

------- Bijkomende Scan -------

.

uStart Page = hxxp://www.startpagina.nl/

uSearchAssistant = hxxp://www.google.com/ie

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_7461B1589E8B4FB7.dll/cmsidewiki.html

TCP: DhcpNameServer = 212.54.35.25 212.54.40.25

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2011-11-15 15:13

Windows 5.1.2600 Service Pack 3 NTFS

.

scannen van verborgen processen ...

.

scannen van verborgen autostart items ...

.

scannen van verborgen bestanden ...

.

Scan succesvol afgerond

verborgen bestanden: 0

.

**************************************************************************

.

--------------------- DLLs Geladen Onder Lopende Processen ---------------------

.

- - - - - - - > 'winlogon.exe'(624)

c:\windows\system32\Ati2evxx.dll

.

- - - - - - - > 'explorer.exe'(2488)

c:\windows\system32\webcheck.dll

c:\windows\system32\TPwrCfg.DLL

c:\windows\system32\TPwrReg.dll

c:\windows\system32\TPSTrace.DLL

.

Voltooingstijd: 2011-11-15 15:15:16

ComboFix-quarantined-files.txt 2011-11-15 14:15

ComboFix2.txt 2011-11-15 12:53

ComboFix3.txt 2011-11-15 11:02

.

Pre-Run: 134.152.699.904 bytes beschikbaar

Post-Run: 134.147.145.728 bytes beschikbaar

.

- - End Of File - - CD44E44B19388338B0584E4B6271A725

---------- Post toegevoegd om 15:20 ---------- Vorige post was om 15:19 ----------

was dit goed ?

bernard · 15 november 2011

Was de laatste aktie van deze kant succesvol of was het mislukt ,

Als het wel gelukt is is het dan klaar of moet er nog aktie ondernomen worden ?

kape · 15 november 2011

Dit ziet er zeker geslaagd uit. Nog even het volgende en dan zijn we bijna klaar :

Download Security Check en sla dit op je bureaublad op.

Start Security Check

Volg de instructies op het scherm.

Aan het eind verschijnt een log (checkup.txt). Plaats de inhoud ervan in je volgende antwoord. Sluit kladblok.

bernard · 15 november 2011