Google links verwijzen me door naar andere sites !

[kape]

Open een kladblokbestand.

Kopieer en plak daarin de onderstaande vetgedrukte tekst.

Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{00cbb66b-1d3b-46d3-9577-323a336acb50}]

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{963B125B-8B21-49A2-A3A8-E37092276531}]

Sla dit bestand op je bureaublad op als CFScript.

Sleep CFScript.txt in ComboFix.exe

Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt.

Post na herstart de inhoud van de Combofix.txt in je volgende bericht.

[MDG4x4]

Het volgende combofix logje:

ComboFix 11-12-19.01 - Michel 19/12/2011 20:05:55.2.1 - x86

Microsoft Windows XP Home Edition 5.1.2600.3.1252.31.1043.18.1023.518 [GMT 1:00]

Gestart vanuit: c:\documents and settings\Michel\Bureaublad\ComboFix.exe

gebruikte Opdracht switches :: c:\documents and settings\Michel\Bureaublad\CFScript.txt

AV: AVG Anti-Virus Free Edition 2012 *Disabled/Updated* {17DDD097-36FF-435F-9E1B-52D74245D6BF}

.

.

(((((((((((((((((((( Bestanden Gemaakt van 2011-11-19 to 2011-12-19 ))))))))))))))))))))))))))))))

.

.

2011-12-19 16:05 . 2011-12-19 16:05 -------- d-----w- c:\documents and settings\Michel\Local Settings\Application Data\Babylon

2011-12-19 16:05 . 2011-12-19 16:05 -------- d-----w- c:\documents and settings\Michel\Application Data\Babylon

2011-12-19 15:20 . 2011-12-19 15:57 -------- d-----w- C:\sh4ldr

2011-12-19 15:20 . 2011-12-19 15:20 -------- d-----w- c:\program files\Enigma Software Group

2011-12-19 15:19 . 2011-12-19 15:57 -------- d-----w- c:\windows\1C7CC8E2CFCF41E6A8637C7A45CE8A78.TMP

2011-12-19 15:19 . 2011-12-19 15:19 -------- d-----w- c:\program files\Common Files\Wise Installation Wizard

2011-12-18 21:11 . 2011-12-19 18:55 -------- d--h--r- c:\documents and settings\Michel\Onlangs geopend

2011-12-18 21:01 . 2011-12-18 21:01 -------- d-----w- C:\Quarantine

2011-12-18 13:29 . 2011-12-19 16:05 2984 ----a-w- C:\user.js

2011-12-18 13:29 . 2011-12-18 13:29 -------- d-----w- c:\documents and settings\All Users\Application Data\Babylon

2011-12-18 13:29 . 2011-12-19 16:05 -------- d-----w- c:\program files\BrowserCompanion

2011-12-18 13:29 . 2011-12-18 13:29 -------- d-----w- c:\documents and settings\Michel\AppData

2011-12-16 17:36 . 2011-12-16 17:36 -------- d-----w- c:\windows\Sun

2011-12-16 08:16 . 2011-12-16 08:50 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2011-12-16 06:06 . 2011-12-16 06:06 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl

2011-12-16 05:49 . 2003-06-25 15:05 266360 ----a-w- c:\windows\system32\TweakUI.exe

2011-12-16 05:42 . 2011-12-16 05:42 -------- d-----w- c:\documents and settings\Michel\Local Settings\Application Data\Temp

2011-12-16 04:46 . 2011-12-16 04:46 -------- d-----w- c:\program files\Common Files\Java

2011-12-16 04:46 . 2011-12-16 04:46 472808 ----a-w- c:\windows\system32\deployJava1.dll

2011-12-16 04:01 . 2011-11-04 19:13 743424 ------w- c:\windows\system32\dllcache\iedvtool.dll

2011-12-16 04:00 . 2011-07-08 14:02 10496 ------w- c:\windows\system32\dllcache\ndistapi.sys

2011-12-16 03:13 . 2010-09-18 06:53 953856 ------w- c:\windows\system32\dllcache\mfc40u.dll

2011-12-16 03:12 . 2010-08-23 16:13 617472 ------w- c:\windows\system32\dllcache\comctl32.dll

2011-12-16 03:11 . 2010-06-14 14:31 744448 ------w- c:\windows\system32\dllcache\helpsvc.exe

2011-12-16 03:11 . 2010-11-02 15:17 40960 ------w- c:\windows\system32\dllcache\ndproxy.sys

2011-12-16 03:10 . 2011-08-31 16:00 22216 ----a-w- c:\windows\system32\drivers\mbam.sys

2011-12-16 03:09 . 2011-06-24 14:10 139656 ------w- c:\windows\system32\dllcache\rdpwd.sys

2011-12-16 03:09 . 2011-04-21 13:37 105472 ------w- c:\windows\system32\dllcache\mup.sys

2011-12-16 03:02 . 2010-10-11 14:59 45568 ------w- c:\windows\system32\dllcache\wab.exe

2011-12-16 01:34 . 2011-12-16 01:34 -------- d-----w- c:\documents and settings\Michel\Application Data\AVG2012

2011-12-16 01:32 . 2011-12-19 15:08 -------- d-----w- c:\windows\system32\drivers\AVG

2011-12-16 01:32 . 2011-12-16 01:56 -------- d-----w- c:\documents and settings\All Users\Application Data\AVG2012

2011-12-16 01:13 . 2011-12-16 01:13 -------- d--h--w- c:\documents and settings\All Users\Application Data\Common Files

2011-12-16 01:13 . 2011-12-19 15:08 -------- d-----w- c:\documents and settings\All Users\Application Data\MFAData

.

.

.

((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-12-16 04:46 . 2010-03-09 01:14 73728 ----a-w- c:\windows\system32\javacpl.cpl

2011-11-23 14:40 . 1979-12-31 23:00 1859712 ----a-w- c:\windows\system32\win32k.sys

2011-11-04 19:13 . 1979-12-31 23:00 916992 ----a-w- c:\windows\system32\wininet.dll

2011-11-04 19:13 . 1979-12-31 23:00 43520 ----a-w- c:\windows\system32\licmgr10.dll

2011-11-04 19:13 . 1979-12-31 23:00 1469440 ------w- c:\windows\system32\inetcpl.cpl

2011-11-04 11:25 . 2010-02-04 18:29 385024 ----a-w- c:\windows\system32\html.iec

2011-11-01 16:07 . 2010-01-31 15:53 1288192 ----a-w- c:\windows\system32\ole32.dll

2011-10-28 05:32 . 1979-12-31 23:00 33280 ----a-w- c:\windows\system32\csrsrv.dll

2011-10-18 11:13 . 1979-12-31 23:00 186880 ----a-w- c:\windows\system32\encdec.dll

2011-10-10 14:22 . 2010-01-31 15:48 692736 ----a-w- c:\windows\system32\inetcomm.dll

2011-10-07 05:23 . 2011-10-07 05:23 230608 ----a-w- c:\windows\system32\drivers\avgldx86.sys

2011-10-04 05:21 . 2011-10-04 05:21 16720 ----a-w- c:\windows\system32\drivers\AVGIDSShim.sys

2011-09-28 07:06 . 1979-12-31 23:00 602624 ----a-w- c:\windows\system32\crypt32.dll

2011-09-26 10:41 . 2008-07-29 18:59 614912 ----a-w- c:\windows\system32\uiautomationcore.dll

2011-09-26 10:41 . 1979-12-31 23:00 23040 ----a-w- c:\windows\system32\oleaccrc.dll

2011-09-26 10:41 . 1979-12-31 23:00 220160 ----a-w- c:\windows\system32\oleacc.dll

.

.

((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond

REGEDIT4

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"AVG_TRAY"="d:\utilitys\AVG 2012\avgtray.exe" [2011-12-03 2415456]

"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-06-06 937920]

"Browser companion helper"="c:\program files\BrowserCompanion\BCHelper.exe" [2011-11-29 182576]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

.

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]

BootExecute REG_MULTI_SZ autocheck autochk *\0d:\utilitys\AVG201~1\avgrsx.exe /sync /restart

.

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programma's^Opstarten^Adobe Gamma Loader.lnk]

backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup

.

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programma's^Opstarten^Microsoft Office.lnk]

backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]

2011-06-06 11:55 937920 ----a-w- c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Disk Monitor]

2003-06-18 10:57 466944 ----a-w- c:\program files\Generic\USB Card Reader Driver v1.9e3\Disk_Monitor.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]

2003-09-23 08:09 57344 ----a-w- c:\windows\SOUNDMAN.EXE

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

2011-06-09 12:06 254696 ----a-w- c:\program files\Common Files\Java\Java Update\jusched.exe

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=

"d:\\Utilitys\\AVG 2012\\avgnsx.exe"=

"d:\\Utilitys\\AVG 2012\\avgdiagex.exe"=

"d:\\Utilitys\\AVG 2012\\avgmfapx.exe"=

"d:\\Utilitys\\AVG 2012\\avgemcx.exe"=

.

R0 AVGIDSEH;AVGIDSEH;c:\windows\system32\drivers\AVGIDSEH.sys [11/07/2011 1:14 23120]

R0 Avgrkx86;AVG Anti-Rootkit Driver;c:\windows\system32\drivers\avgrkx86.sys [13/09/2011 6:30 32592]

R1 Avgldx86;AVG AVI Loader Driver;c:\windows\system32\drivers\avgldx86.sys [7/10/2011 6:23 230608]

R1 Avgtdix;AVG TDI Driver;c:\windows\system32\drivers\avgtdix.sys [11/07/2011 1:14 295248]

R2 avgwd;AVG WatchDog;d:\utilitys\AVG 2012\avgwdsvc.exe [2/08/2011 6:09 192776]

R3 AVGIDSDriver;AVGIDSDriver;c:\windows\system32\drivers\AVGIDSDriver.sys [11/07/2011 1:14 134608]

R3 AVGIDSFilter;AVGIDSFilter;c:\windows\system32\drivers\AVGIDSFilter.sys [11/07/2011 1:14 24272]

R3 AVGIDSShim;AVGIDSShim;c:\windows\system32\drivers\AVGIDSShim.sys [4/10/2011 6:21 16720]

S2 AVGIDSAgent;AVGIDSAgent;d:\utilitys\AVG 2012\AVGIDSAgent.exe [12/10/2011 6:25 4433248]

S3 esgiguard;esgiguard;\??\c:\program files\Enigma Software Group\SpyHunter\esgiguard.sys --> c:\program files\Enigma Software Group\SpyHunter\esgiguard.sys [?]

.

--- Andere Services/Drivers In Geheugen ---

.

*Deregistered* - mchInjDrv

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

getPlusHelper REG_MULTI_SZ getPlusHelper

.

.

------- Bijkomende Scan -------

.

uStart Page = hxxp://www.google.be/

uInternet Connection Wizard,ShellNext = hxxp://global.acer.com/

IE: E&xporteren naar Microsoft Excel - d:\suite\office\Office10\EXCEL.EXE/3000

TCP: DhcpNameServer = 195.130.131.1 195.130.130.129

Handler: base64 - {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} - c:\program files\BrowserCompanion\tdataprotocol.dll

Handler: chrome - {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} - c:\program files\BrowserCompanion\tdataprotocol.dll

Handler: prox - {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} - c:\program files\BrowserCompanion\tdataprotocol.dll

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2011-12-19 20:37

Windows 5.1.2600 Service Pack 3 NTFS

.

scannen van verborgen processen ...

.

scannen van verborgen autostart items ...

.

scannen van verborgen bestanden ...

.

Scan succesvol afgerond

verborgen bestanden: 0

.

**************************************************************************

.

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv]

"ImagePath"="\??\c:\windows\TEMP\mc21.tmp"

.

--------------------- DLLs Geladen Onder Lopende Processen ---------------------

.

- - - - - - - > 'winlogon.exe'(952)

c:\windows\system32\Ati2evxx.dll

.

- - - - - - - > 'lsass.exe'(1016)

c:\windows\system32\relog_ap.dll

.

- - - - - - - > 'explorer.exe'(2772)

c:\progra~1\WINDOW~2\wmpband.dll

c:\windows\system32\msls31.dll

c:\windows\system32\jscript.dll

c:\windows\system32\Macromed\Flash\Flash11e.ocx

c:\windows\system32\webcheck.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

Voltooingstijd: 2011-12-19 20:51:42

ComboFix-quarantined-files.txt 2011-12-19 19:51

ComboFix2.txt 2011-12-19 17:51

.

Pre-Run: 32.205.680.640 bytes beschikbaar

Post-Run: 32.260.460.544 bytes beschikbaar

.

- - End Of File - - B251B3309A452C9201BB69ABEEE95773

[kape]

Volgende vetgedrukte map en bestand mag je manueel verwijderen :

C:\sh4ldr

c:\documents and settings\Michel\Local Settings\Application Data\Babylon

c:\documents and settings\Michel\Application Data\Babylon

c:\documents and settings\All Users\Application Data\Babylon

c:\program files\BrowserCompanion

c:\windows\1C7CC8E2CFCF41E6A8637C7A45CE8A78.TMP

En dan nog een vraagje : heb je alles van Babylon bewust gedownload ?

20 december 2011 aangepast door kape

[MDG4x4]

Hey Kape

Nee ik heb niks bewust gedownload van Babylon.Als ik me goed herinner kwam dit door spyhunter of iets dergelijks!

Map zal ik vanavond(thuis) verwijderen.

[kape]

OK, dan heb ik nog een aantal mappen toegevoegd die je ook mag verwijderen.

[MDG4x4]

Mappen zijn ondertussen verwijderd,maar het probleem lijkt nog niet opgelost te zijn !

Ik vermoed dat we hier toch wel te maken hebben met het Google Redirect virus......

[kape]

Download TDSSKiller en plaats het op je bureaublad.

Pak de bestanden in tdsskiller.zip uit.

Open de map tdsskiller en dubbelklik op TDSSKiller.exe om de tool te starten.

Windows 7 en Windows Vista gebruikers:

Rechtsklik op TDSSKiller.exe -> Uitvoeren als Administrator om de tool te starten.

Als TDSSKiller bericht geeft van een beschikbare update, dan voer je deze eerst uit.

Klik op de knop "Start Scan" en volg de instructies.

Wanneer de scan klaar is klik je op de knop "Report".

Er opent een kladblokbestand. Post de inhoud van dit bestand.

Herstart de pc als TDSSKiller die optie geeft. (Reboot now)

Wanneer er een herstart nodig was, vind je de logfile in C:\TDSSKiller.[Version]_[Date]_[Time]_log.txt

[MDG4x4]

Gedownload,ontzipt naar map en als ik dan op dieje exe dubbelklik gebeurt er niks ! Reeds meerdere keren geprobeerd....

Rechtsklikken heeft geen zin want ik heb XP .

[kape]

Gedownload,ontzipt naar map en als ik dan op dieje exe dubbelklik gebeurt er niks ! Reeds meerdere keren geprobeerd....

Rechtsklikken heeft geen zin want ik heb XP .

Vreemd ... heb met Winzip de link nog even gecheckt en deze opent normaal om het exe-bestand te kunnen aanklikken. En dan volgt de exacte werking van dit progje ?

[MDG4x4]

Vermoedelijk kan ik die nie draaen door het virus zeker:hmmmm:

Heb zelfs Tdsskiller vanop andere pc via stick hierop gezet en ook dan krijg ik het programma niet aan de praat !