Spyware en virussen??

[Vlietje]

//////////////////////////////////////////

Avenger Pre-Processor log

//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)

Sun Dec 18 20:33:38 2011

20:33:38: Error: Invalid script. A valid script must begin with a command directive.

Aborting execution!

//////////////////////////////////////////

//////////////////////////////////////////

Avenger Pre-Processor log

//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)

Sun Dec 18 20:33:43 2011

20:33:43: Error: Invalid script. A valid script must begin with a command directive.

Aborting execution!

//////////////////////////////////////////

Logfile of The Avenger Version 2.0, © by Swandog46

Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.

Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

No rootkits found!

Folder "d:\documenten en settings\Daniëlle van Vliet\Application Data\searchqutoolbar" deleted successfully.

Folder "d:\documenten en settings\Daniëlle van Vliet\Application Data\searchquband" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

[kape]

Zet dan even - ter controle - een nieuw logje van Combofix in een volgend bericht.

[Vlietje]

ComboFix 11-12-19.01 - Dennis van Vliet 19-12-2011 16:22:09.5.2 - x86

Microsoft Windows XP Home Edition 5.1.2600.3.1252.31.1043.18.1023.410 [GMT 1:00]

Gestart vanuit: d:\documenten en settings\Dennis van Vliet\Bureaublad\ComboFix.exe

AV: Microsoft Security Essentials *Disabled/Updated* {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}

.

.

(((((((((((((((((((((((((((((((((( Andere Verwijderingen )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

C:\zip.exe

.

.

(((((((((((((((((((( Bestanden Gemaakt van 2011-11-19 to 2011-12-19 ))))))))))))))))))))))))))))))

.

.

2011-12-19 12:11 . 2011-12-19 12:11 29904 ----a-w- d:\documenten en settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{345ABB5F-FBCB-4E8D-85FA-4CAD3032C6C1}\MpKsl8ce0380c.sys

2011-12-19 12:11 . 2011-12-19 12:11 56200 ----a-w- d:\documenten en settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{345ABB5F-FBCB-4E8D-85FA-4CAD3032C6C1}\offreg.dll

2011-12-18 19:39 . 2011-11-21 10:47 6823496 ----a-w- d:\documenten en settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{345ABB5F-FBCB-4E8D-85FA-4CAD3032C6C1}\mpengine.dll

2011-12-18 19:34 . 2011-12-18 19:34 574 ----a-w- C:\cleanup.bat

2011-12-18 19:34 . 2011-12-18 19:34 19286 ----a-w- C:\cleanup.exe

2011-12-15 20:31 . 2011-12-15 20:31 388096 ----a-r- d:\documenten en settings\Dennis van Vliet\Application Data\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe

2011-12-07 20:44 . 2011-12-07 20:44 -------- d-----r- d:\documenten en settings\NetworkService\Favorieten

2011-12-07 20:36 . 2011-12-07 20:36 -------- d-----w- d:\documenten en settings\Daniëlle van Vliet\AppData

2011-12-07 20:31 . 2011-12-07 20:31 -------- d-----w- d:\documenten en settings\MyCom\AppData

2011-12-06 20:48 . 2011-12-06 20:48 -------- d-----w- d:\documenten en settings\Dennis van Vliet\Application Data\FinalTorrent

2011-12-06 20:13 . 2011-12-06 20:13 -------- d-----w- d:\documenten en settings\Dennis van Vliet\Application Data\Fighters

2011-12-06 16:26 . 2011-12-06 16:26 -------- d-----w- c:\program files\File Type Assistant

2011-12-06 16:23 . 2011-12-06 16:24 -------- d-----w- d:\documenten en settings\All Users\Application Data\Fighters

2011-12-06 16:22 . 2011-12-06 16:22 -------- d-----w- c:\program files\Chrome

2011-12-06 13:33 . 2011-12-06 13:33 -------- d-----w- d:\documenten en settings\All Users\Application Data\Premium

2011-12-06 13:33 . 2011-12-06 17:59 -------- d-----w- d:\documenten en settings\All Users\Application Data\InstallMate

.

.

.

((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-11-23 14:40 . 2006-03-02 12:00 1859712 ----a-w- c:\windows\system32\win32k.sys

2011-11-21 10:47 . 2011-11-03 20:23 6823496 ----a-w- d:\documenten en settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll

2011-11-15 13:29 . 2011-11-02 18:39 222080 ------w- c:\windows\system32\MpSigStub.exe

2011-11-04 19:13 . 2006-03-02 12:00 916992 ----a-w- c:\windows\system32\wininet.dll

2011-11-04 19:13 . 2006-03-02 12:00 43520 ----a-w- c:\windows\system32\licmgr10.dll

2011-11-04 19:13 . 2006-03-02 12:00 1469440 ------w- c:\windows\system32\inetcpl.cpl

2011-11-04 11:25 . 2006-03-02 12:00 385024 ----a-w- c:\windows\system32\html.iec

2011-11-01 16:07 . 2006-03-02 12:00 1288192 ----a-w- c:\windows\system32\ole32.dll

2011-10-28 05:32 . 2006-03-02 12:00 33280 ----a-w- c:\windows\system32\csrsrv.dll

2011-10-26 10:50 . 2006-03-02 12:00 2153472 ----a-w- c:\windows\system32\ntoskrnl.exe

2011-10-26 10:50 . 2004-08-04 00:58 2031616 ----a-w- c:\windows\system32\ntkrnlpa.exe

2011-10-18 18:13 . 2011-10-18 18:13 1409 ----a-w- c:\windows\QTFont.for

2011-10-18 11:13 . 2006-03-02 12:00 186880 ----a-w- c:\windows\system32\encdec.dll

2011-10-10 14:22 . 2005-09-16 18:26 692736 ----a-w- c:\windows\system32\inetcomm.dll

2011-09-28 07:06 . 2006-03-02 12:00 602624 ----a-w- c:\windows\system32\crypt32.dll

2011-09-26 09:41 . 2008-07-29 17:59 614912 ----a-w- c:\windows\system32\uiautomationcore.dll

2011-09-26 09:41 . 2006-03-02 12:00 23040 ----a-w- c:\windows\system32\oleaccrc.dll

2011-09-26 09:41 . 2006-03-02 12:00 220160 ----a-w- c:\windows\system32\oleacc.dll

.

.

((((((((((((((((((((((((((((( SnapShot@2011-12-16_07.51.04 )))))))))))))))))))))))))))))))))))))))))

.

+ 2011-12-19 12:11 . 2011-12-19 12:11 16384 c:\windows\Temp\Perflib_Perfdata_730.dat

.

((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-01-07 68856]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-09-17 13574144]

"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]

"Adobe Photo Downloader"="c:\program files\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-22 63712]

"Google Updater"="c:\program files\Google\Google Updater\GoogleUpdater.exe" [2011-09-06 161336]

"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-08 61952]

"MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2011-06-15 997920]

"Malwarebytes' Anti-Malware"="d:\malwarebytes' anti-malware\mbamgui.exe" [2011-08-31 449608]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

.

d:\documenten en settings\Daniëlle van Vliet\Menu Start\Programma's\Opstarten\

Nieuwsbal.lnk - c:\program files\VI Nieuwsbal\Nieuwsbal.exe [N/A]

.

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]

.

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]

BootExecute REG_MULTI_SZ autocheck autochk *\0sprestrt

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS]

@=""

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]

@="Service"

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"c:\\WINDOWS\\system32\\dpvsetup.exe"=

"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\SAGENT4.EXE"=

"d:\\spellen\\TrackMania Original\\TmOriginal.exe"=

"c:\\WINDOWS\\system32\\PnkBstrA.exe"=

"c:\\WINDOWS\\system32\\PnkBstrB.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=

.

R0 DiskSec;Magix Volume Filter Driver;c:\windows\system32\drivers\disksec.sys [31-10-2010 19:52 14208]

R0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);c:\windows\system32\drivers\sfdrv01a.sys [5-7-2006 13:46 63352]

R1 MpKsl8ce0380c;MpKsl8ce0380c;d:\documenten en settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{345ABB5F-FBCB-4E8D-85FA-4CAD3032C6C1}\MpKsl8ce0380c.sys [19-12-2011 13:11 29904]

R2 BBUpdate;BBUpdate;c:\program files\Microsoft\BingBar\SeaPort.EXE [13-10-2011 17:21 249648]

R2 MBAMService;MBAMService;d:\malwarebytes' anti-malware\mbamservice.exe [5-5-2011 10:53 366152]

R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [5-5-2011 10:53 22216]

S1 MpKsl8dbdf6b1;MpKsl8dbdf6b1;\??\d:\documenten en settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{1284D16B-603B-4B3F-AD33-178925BB82FD}\MpKsl8dbdf6b1.sys --> d:\documenten en settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{1284D16B-603B-4B3F-AD33-178925BB82FD}\MpKsl8dbdf6b1.sys [?]

S1 MpKsl8e9e377e;MpKsl8e9e377e;\??\d:\documenten en settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{1499E6B7-969D-4066-96E0-149064490D04}\MpKsl8e9e377e.sys --> d:\documenten en settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{1499E6B7-969D-4066-96E0-149064490D04}\MpKsl8e9e377e.sys [?]

S1 MpKslae521332;MpKslae521332;\??\d:\documenten en settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{EFE0FEB8-A377-48B8-8097-FE4E12570856}\MpKslae521332.sys --> d:\documenten en settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{EFE0FEB8-A377-48B8-8097-FE4E12570856}\MpKslae521332.sys [?]

S2 BBSvc;Bing Bar Update Service;c:\program files\Microsoft\BingBar\BBSvc.EXE [21-10-2011 15:23 196176]

S2 gupdate;Google Updateservice (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2-2-2010 20:22 135664]

S3 GoogleDesktopManager-051210-111108;Google Desktop Manager 5.9.1005.12335;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [15-8-2010 16:54 30192]

S3 gupdatem;Google Update-service (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2-2-2010 20:22 135664]

S3 MBAMSwissArmy;MBAMSwissArmy;\??\c:\windows\system32\drivers\mbamswissarmy.sys --> c:\windows\system32\drivers\mbamswissarmy.sys [?]

S3 PAC207;CamMaestro 3.75 HU PC Camera;c:\windows\system32\drivers\PFC027.sys [8-4-2005 9:46 162176]

S3 SynasUSB;SynasUSB;c:\windows\system32\drivers\synasUSB.sys [20-9-2009 14:59 18432]

.

--- Andere Services/Drivers In Geheugen ---

.

*NewlyCreated* - MPKSL8CE0380C

.

Inhoud van de 'Gedeelde Taken' map

.

2011-12-17 c:\windows\Tasks\Google Software Updater.job

- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-01-07 12:08]

.

2011-12-19 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-02 19:22]

.

2011-12-19 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-02 19:22]

.

2011-12-19 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2470042473-3128491902-2835929602-1012Core.job

- d:\documenten en settings\Leon van Vliet\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2011-07-02 20:48]

.

2011-12-19 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2470042473-3128491902-2835929602-1012UA.job

- d:\documenten en settings\Leon van Vliet\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2011-07-02 20:48]

.

2011-12-19 c:\windows\Tasks\MP Scheduled Scan.job

- c:\program files\Microsoft Security Client\Antimalware\MpCmdRun.exe [2011-04-27 14:39]

.

2011-12-19 c:\windows\Tasks\User_Feed_Synchronization-{612F5CDA-23AB-4660-AA75-E6FE940B7079}.job

- c:\windows\system32\msfeedssync.exe [2006-10-17 03:31]

.

.

------- Bijkomende Scan -------

.

uStart Page = hxxp://www.nu.nl/

uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8

uSearchAssistant = hxxp://www.google.com/ie

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: E&xporteren naar Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

Trusted Zone: ziggo.nl\thuishelp

TCP: DhcpNameServer = 10.0.0.1

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2011-12-19 16:31

Windows 5.1.2600 Service Pack 3 NTFS

.

scannen van verborgen processen ...

.

scannen van verborgen autostart items ...

.

scannen van verborgen bestanden ...

.

Scan succesvol afgerond

verborgen bestanden: 0

.

**************************************************************************

.

--------------------- VERGRENDELDE REGISTER SLEUTELS ---------------------

.

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•9~*]

"3140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

.

--------------------- DLLs Geladen Onder Lopende Processen ---------------------

.

- - - - - - - > 'winlogon.exe'(516)

c:\windows\system32\igfxdev.dll

.

Voltooingstijd: 2011-12-19 16:34:10

ComboFix-quarantined-files.txt 2011-12-19 15:34

ComboFix2.txt 2011-12-17 10:04

ComboFix3.txt 2011-12-16 11:33

ComboFix4.txt 2011-12-16 08:56

ComboFix5.txt 2011-12-19 15:20

.

Pre-Run: 25.412.116.480 bytes beschikbaar

Post-Run: 25.395.089.408 bytes beschikbaar

.

- - End Of File - - 43794987922C3467773160B197E41AE9

[kape]

Problemen van de baan, dan is het tijd voor de “grote schoonmaak” : verwijderen van gebruikte programma’s, een cleaning en het verwijderen van de besmette herstelpunten.

Verwijder Killbox en The Avenger.

Verwijder Combofix: Start -> Uitvoeren/Zoekopdracht en typ: ComboFix /Uninstall

Dit zal Combofix verwijderen + gerelateerde mappen en bestanden, herstelt de klokinstellingen opnieuw, verbergt de bestandsextensies, gaat verborgen bestanden en systeembestanden terug verbergen en maakt een nieuw herstelpunt.

Indien aanwezig mag je de map C:\Qoobox manueel verwijderen.

Download CCleaner.

Klik op “Download Latest Version” en dan start de download van CCleaner automatisch en gratis op.

Installeer het en start CCleaner op. Klik in de linkse kolom op “Cleaner”. Klik achtereenvolgens op ‘Analyseren’ en 'Schoonmaken'. Soms is 1 analyse niet voldoende. Deze procedure mag je herhalen tot de analyse geen fouten meer aangeeft. Klik vervolgens in de linkse kolom op “Register” en klik op ‘Scan naar problemen”. Als er fouten gevonden worden klik je op ”Herstel geselecteerde problemen” en ”OK”. Dan krijg je de vraag om een back-up te maken. Klik op “JA”. Kies dan “Herstel alle geselecteerde fouten”. Sluit hierna CCleaner terug af.

Wil je dit uitgebreid in beeld bekijken, klik dan hier voor de handleiding.

Het is aangewezen om de bestaande herstelpunten te verwijderen (daar zitten besmette herstelpunten tussen die je eventueel zou kunnen terugzetten) door systeemherstel tijdelijk uit te schakelen. Doe dit via Start -> Configuratiescherm -> Prestaties en Onderhoud -> Systeem -> Systeemherstel -> "Systeemherstel op alle stations uitschakelen" aanvinken. Toepassen en OK. PC herstarten en het vinkje terug weg halen.

Als dit allemaal probleemloos verlopen is, mag je hieronder definitief op "markeer als opgelost" tokkelen !

[Vlietje]

Graag zou ik het volgende nog willen weten:

In uw vorige bericht stond: "Het is aangewezen om de bestaande herstelpunten te verwijderen (daar zitten besmette herstelpunten tussen die je eventueel zou kunnen terugzetten) door systeemherstel tijdelijk uit te schakelen. Doe dit via Start -> Configuratiescherm -> Prestaties en Onderhoud -> Systeem -> Systeemherstel -> "Systeemherstel op alle stations uitschakelen" aanvinken. Toepassen en OK. PC herstarten en het vinkje terug weg halen."

Systeemherstel op alle stations uitschakelen stond bij mij al die tijd aangevinkt. Is het beter om het vinkje weg te laten??

[kape]

Indien "Systeemherstel op alle stations uitschakelen" aangevinkt staat, worden geen herstelpunten aangemaakt. En dat is geen gezonde situatie. Dus ja, vinkje weglaten is de ideale oplossing.