Ga naar inhoud

Programma's verdwenen door Trojan Horse


Aanbevolen berichten

Hieronder de combofix.

Er was in eerste instantie 1 probleempje (ik meld het maar even). Er staat ergens een hele oude map met iets van AVG 7.5.484 op en die blijkt niet te verwijderen. Ik moest de waarschuwing hierover nu dus wel negeren. Hoop dat dat goedgekomen is?!

En mag ik nu de firewall en Avast weer aanzetten?!

ComboFix 12-03-09.05 - Administrator 09-03-2012 15:55:35.1.2 - x86 NETWORK

Microsoft Windows XP Home Edition 5.1.2600.3.1252.31.1043.18.1022.698 [GMT 1:00]

Gestart vanuit: C:\ComboFix.exe

AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}

AV: AVG 7.5.484 *Enabled/Updated* {41564737-3200-1071-989B-0000E87B4FB1}

.

.

(((((((((((((((((((((((((((((((((( Andere Verwijderingen )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\documents and settings\All Users\Application Data\TEMP

c:\program files\Common Files\Real\WeatherBug\MiniBugTransporter.dll

c:\windows\IsUn0413.exe

.

.

(((((((((((((((((((( Bestanden Gemaakt van 2012-02-09 to 2012-03-09 ))))))))))))))))))))))))))))))

.

.

2164-08-25 18:48 . 2164-08-25 18:48 -------- d-----w- c:\windows\DED53B0BB67C4244AE6AD6FD3C28D1EF.TMP

2164-08-25 18:48 . 2164-08-25 18:48 -------- d-----w- c:\program files\Common Files\Wise Installation Wizard

2164-08-25 18:47 . 2164-08-25 18:47 -------- d-----w- c:\documents and settings\All Users\Application Data\Grisoft

2164-08-25 18:34 . 2164-08-25 18:45 -------- d-----w- c:\windows\LastGood(2)

2164-08-25 18:17 . 2010-02-09 16:30 -------- d-----w- c:\program files\Alwil Software

2012-03-09 08:26 . 2012-03-09 08:26 -------- d-----w- C:\tdsskiller

2012-03-09 08:01 . 2012-03-09 08:01 389024 ----a-w- C:\unhide.exe

2012-03-08 22:10 . 2012-03-08 22:10 388608 ----a-w- C:\HijackThis.exe

2012-03-08 18:33 . 2011-06-21 04:09 200976 ----a-w- c:\windows\system32\drivers\tmcomm.sys

2012-03-08 18:15 . 2012-03-09 13:21 -------- d-----w- c:\documents and settings\Administrator.EERSTE

2012-03-08 16:47 . 2012-03-08 20:32 -------- d-----r- c:\documents and settings\Linda\Onlangs geopend

2012-02-26 09:46 . 2012-02-26 09:46 -------- d-sh--w- c:\documents and settings\NetworkService\IETldCache

2012-02-22 10:05 . 2012-02-22 10:05 -------- d-----w- c:\program files\Common Files\Skype

2012-02-15 19:37 . 2012-01-11 19:07 3072 -c----w- c:\windows\system32\dllcache\iacenc.dll

2012-02-15 19:37 . 2012-01-11 19:07 3072 ------w- c:\windows\system32\iacenc.dll

.

.

.

((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-03-09 08:26 . 2012-03-09 08:26 2044980 ----a-w- C:\tdsskiller.zip

2012-03-07 00:15 . 2010-06-29 15:23 41184 ----a-w- c:\windows\avastSS.scr

2012-03-07 00:15 . 2007-08-25 21:09 201352 ----a-w- c:\windows\system32\aswBoot.exe

2012-03-07 00:03 . 2011-02-28 21:02 612184 ----a-w- c:\windows\system32\drivers\aswSnx.sys

2012-03-07 00:03 . 2008-04-05 08:01 337880 ----a-w- c:\windows\system32\drivers\aswSP.sys

2012-03-07 00:02 . 2007-08-25 21:09 35672 ----a-w- c:\windows\system32\drivers\aswRdr.sys

2012-03-07 00:01 . 2007-08-25 21:09 53848 ----a-w- c:\windows\system32\drivers\aswTdi.sys

2012-03-07 00:01 . 2007-08-25 21:09 95704 ----a-w- c:\windows\system32\drivers\aswmon2.sys

2012-03-07 00:01 . 2007-08-25 21:09 89048 ----a-w- c:\windows\system32\drivers\aswmon.sys

2012-03-07 00:01 . 2008-04-05 08:01 20696 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys

2012-03-06 23:58 . 2007-08-25 21:09 24920 ----a-w- c:\windows\system32\drivers\aavmker4.sys

2012-01-12 17:20 . 2005-10-27 06:15 1860096 ----a-w- c:\windows\system32\win32k.sys

2011-12-17 19:42 . 2005-10-27 06:15 916992 ----a-w- c:\windows\system32\wininet.dll

2011-12-17 19:42 . 2005-10-27 06:15 43520 ----a-w- c:\windows\system32\licmgr10.dll

2011-12-17 19:42 . 2005-10-27 06:15 1469440 ------w- c:\windows\system32\inetcpl.cpl

2011-12-16 12:23 . 2005-10-27 06:15 385024 ----a-w- c:\windows\system32\html.iec

.

.

((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond

REGEDIT4

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]

@="{472083B0-C522-11CF-8763-00608CC02F24}"

[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]

2012-03-07 00:15 123536 ----a-w- c:\program files\Alwil Software\Avast5\ashShell.dll

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CmUCRRun"="c:\windows\system32\CmUCReye.exe" [2005-10-12 241664]

"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]

"CHotkey"="mHotkey.exe" [2004-12-08 550912]

"ledpointer"="CNYHKey.exe" [2005-11-10 5585408]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-10-10 7286784]

"InstantOn"="c:\program files\CyberLink\PowerCinema Linux\ion_install.exe" [2005-09-22 93640]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2005-11-07 155648]

"snpstd"="c:\windows\vsnpstd.exe" [2003-12-31 40960]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"c:\\WINDOWS\\system32\\sessmgr.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=

"c:\\WINDOWS\\system32\\fxsclnt.exe"=

"c:\\Program Files\\NetMeeting\\Conf.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Common Files\\Nero\\Nero Web\\SetupX.exe"=

"c:\\Documents and Settings\\Linda\\Mijn documenten\\SopCast\\adv\\SopAdver.exe"=

"c:\\Documents and Settings\\Linda\\Mijn documenten\\SopCast\\SopCast.exe"=

"d:\\Programma's\\Programs\\RM.exe"=

"d:\\Programma's\\Programs\\PMSRegisterFile.exe"=

"d:\\Programma's\\Programs\\umi.exe"=

"d:\\Programma's\\Programs\\VideoSpin.exe"=

"c:\\Program Files\\FrostWire 5\\FrostWire.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"5985:TCP"= 5985:TCP:*:Disabled:Windows Remote Management

.

R3 CMISTOR;CMIUCR.SYS CM220 Card Reader Driver;c:\windows\system32\drivers\cmiucr.SYS [4-10-2005 17:37 72320]

S0 rseb;rseb; [x]

S1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [28-2-2011 22:02 612184]

S1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [5-4-2008 9:01 337880]

S2 AdvancedSystemCareService;Advanced SystemCare Service;c:\program files\IObit\Advanced SystemCare 4\ASCService.exe [6-2-2012 20:57 353168]

S2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [5-4-2008 9:01 20696]

S2 gupdate;Google Updateservice (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2-2-2010 17:53 135664]

S2 SkypeUpdate;Skype Updater;c:\program files\Skype\Updater\Updater.exe [15-2-2012 13:30 158856]

S3 3xHybrid;3xHybrid service;c:\windows\system32\drivers\3xHybrid.sys [18-10-2005 14:01 826752]

S3 camvid20;Philips ToUcam Camera; Video;c:\windows\system32\drivers\camdrv21.sys [25-1-2008 17:42 223232]

S3 F-Secure Standalone Minifilter;F-Secure Standalone Minifilter;\??\c:\docume~1\Linda\LOCALS~1\Temp\OnlineScanner\Anti-Virus\fsgk.sys --> c:\docume~1\Linda\LOCALS~1\Temp\OnlineScanner\Anti-Virus\fsgk.sys [?]

S3 gupdatem;Google Update-service (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2-2-2010 17:53 135664]

S3 WinRM;Windows Remote Management (WS-Management);c:\windows\system32\svchost.exe -k WINRM [27-10-2005 7:15 14336]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

WINRM REG_MULTI_SZ WINRM

.

Inhoud van de 'Gedeelde Taken' map

.

2012-03-09 c:\windows\Tasks\ASC4_PerformanceMonitor.job

- c:\program files\IObit\Advanced SystemCare 4\PMonitor.exe [2012-02-06 13:46]

.

2012-03-09 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-02 16:53]

.

2012-03-09 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-02 16:53]

.

.

------- Bijkomende Scan -------

.

uStart Page = hxxp://www.google.nl/

IE: &Google Search - c:\program files\google\GoogleToolbar2.dll/cmsearch.html

IE: &Translate English Word - c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html

IE: Backward Links - c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

IE: Cached Snapshot of Page - c:\program files\google\GoogleToolbar2.dll/cmcache.html

IE: Similar Pages - c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

IE: Translate Page into English - c:\program files\google\GoogleToolbar2.dll/cmtrans.html

TCP: DhcpNameServer = 192.168.2.254

FF - ProfilePath -

.

- - - - ORPHANS VERWIJDERD - - - -

.

HKU-Default-Run-AVG7_Run - c:\progra~1\Grisoft\AVGFRE~1\avgw.exe

AddRemove-Microsoft Interactive Training - c:\windows\IsUn0413.exe

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2012-03-09 15:59

Windows 5.1.2600 Service Pack 3 NTFS

.

scannen van verborgen processen ...

.

scannen van verborgen autostart items ...

.

scannen van verborgen bestanden ...

.

Scan succesvol afgerond

verborgen bestanden: 0

.

**************************************************************************

.

--------------------- VERGRENDELDE REGISTER SLEUTELS ---------------------

.

[HKEY_USERS\S-1-5-21-1524927123-3976088883-2678113515-500\Software\Microsoft\Internet Explorer\User Preferences]

@Denied: (2) (Administrator)

"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,

d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,40,16,dc,5b,b2,1a,6b,4e,a9,94,a2,\

"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,

d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,40,16,dc,5b,b2,1a,6b,4e,a9,94,a2,\

.

Voltooingstijd: 2012-03-09 16:00:57

ComboFix-quarantined-files.txt 2012-03-09 15:00

.

Pre-Run: 83.571.326.976 bytes beschikbaar

Post-Run: 83.655.958.528 bytes beschikbaar

.

WindowsXP-KB310994-SP2-Home-BootDisk-NLD.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

.

- - End Of File - - A174DBD09CE95ED69ADC86B78784E6AC

aangepast door Tanja99
Link naar reactie
Delen op andere sites

  • Reacties 45
  • Aangemaakt
  • Laatste reactie

Beste reacties in dit topic

Beste reacties in dit topic

Open een kladblokbestand.

Kopieer en plak daarin de onderstaande vetgedrukte tekst.

File::

c:\windows\DED53B0BB67C4244AE6AD6FD3C28D1EF.TMP

C:\unhide.exe

C:\tdsskiller.zip

Folder::

C:\tdsskiller

Driver::

rseb

Sla dit bestand op je bureaublad op als CFScript.

Sleep CFScript.txt in ComboFix.exe

Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt.

Post na herstart de inhoud van de Combofix.txt in je volgende bericht.

Link naar reactie
Delen op andere sites

Dit ging anders dan de 1e keer. Na de scan kwam ik opeens uit in m'n gewone omgeving (niet meer veilige modus) en er stonden weer wat pictogrammen op het bureaublad. Dit gaat de goede kant op heb ik het idee. Hierbij de inhoud van Combofix.txt.

Ik zit trouwens nog steeds zonder firewall en Avast: goed?

ComboFix 12-03-09.05 - Administrator 09-03-2012 18:06:57.2.2 - x86 NETWORK

Microsoft Windows XP Home Edition 5.1.2600.3.1252.31.1043.18.1022.743 [GMT 1:00]

Gestart vanuit: C:\ComboFix.exe

gebruikte Opdracht switches :: C:\CFScript.txt

AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}

AV: AVG 7.5.484 *Enabled/Updated* {41564737-3200-1071-989B-0000E87B4FB1}

.

FILE ::

"C:\tdsskiller.zip"

"C:\unhide.exe"

"c:\windows\DED53B0BB67C4244AE6AD6FD3C28D1EF.TMP"

.

.

(((((((((((((((((((((((((((((((((( Andere Verwijderingen )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

C:\tdsskiller

C:\tdsskiller.zip

c:\tdsskiller\eula.txt

c:\tdsskiller\TDSSKiller.exe

C:\unhide.exe

.

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

-------\Service_rseb

.

.

(((((((((((((((((((( Bestanden Gemaakt van 2012-02-09 to 2012-03-09 ))))))))))))))))))))))))))))))

.

.

2164-08-25 18:48 . 2164-08-25 18:48 -------- d-----w- c:\windows\DED53B0BB67C4244AE6AD6FD3C28D1EF.TMP

2164-08-25 18:48 . 2164-08-25 18:48 -------- d-----w- c:\program files\Common Files\Wise Installation Wizard

2164-08-25 18:47 . 2164-08-25 18:47 -------- d-----w- c:\documents and settings\All Users\Application Data\Grisoft

2164-08-25 18:34 . 2164-08-25 18:45 -------- d-----w- c:\windows\LastGood(2)

2164-08-25 18:17 . 2010-02-09 16:30 -------- d-----w- c:\program files\Alwil Software

2012-03-08 22:10 . 2012-03-08 22:10 388608 ----a-w- C:\HijackThis.exe

2012-03-08 18:33 . 2011-06-21 04:09 200976 ----a-w- c:\windows\system32\drivers\tmcomm.sys

2012-03-08 18:15 . 2012-03-09 13:21 -------- d-----w- c:\documents and settings\Administrator.EERSTE

2012-03-08 16:47 . 2012-03-08 20:32 -------- d-----r- c:\documents and settings\Linda\Onlangs geopend

2012-02-26 09:46 . 2012-02-26 09:46 -------- d-sh--w- c:\documents and settings\NetworkService\IETldCache

2012-02-22 10:05 . 2012-02-22 10:05 -------- d-----w- c:\program files\Common Files\Skype

2012-02-15 19:37 . 2012-01-11 19:07 3072 -c----w- c:\windows\system32\dllcache\iacenc.dll

2012-02-15 19:37 . 2012-01-11 19:07 3072 ------w- c:\windows\system32\iacenc.dll

.

.

.

((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-03-07 00:15 . 2010-06-29 15:23 41184 ----a-w- c:\windows\avastSS.scr

2012-03-07 00:15 . 2007-08-25 21:09 201352 ----a-w- c:\windows\system32\aswBoot.exe

2012-03-07 00:03 . 2011-02-28 21:02 612184 ----a-w- c:\windows\system32\drivers\aswSnx.sys

2012-03-07 00:03 . 2008-04-05 08:01 337880 ----a-w- c:\windows\system32\drivers\aswSP.sys

2012-03-07 00:02 . 2007-08-25 21:09 35672 ----a-w- c:\windows\system32\drivers\aswRdr.sys

2012-03-07 00:01 . 2007-08-25 21:09 53848 ----a-w- c:\windows\system32\drivers\aswTdi.sys

2012-03-07 00:01 . 2007-08-25 21:09 95704 ----a-w- c:\windows\system32\drivers\aswmon2.sys

2012-03-07 00:01 . 2007-08-25 21:09 89048 ----a-w- c:\windows\system32\drivers\aswmon.sys

2012-03-07 00:01 . 2008-04-05 08:01 20696 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys

2012-03-06 23:58 . 2007-08-25 21:09 24920 ----a-w- c:\windows\system32\drivers\aavmker4.sys

2012-01-12 17:20 . 2005-10-27 06:15 1860096 ----a-w- c:\windows\system32\win32k.sys

2011-12-17 19:42 . 2005-10-27 06:15 916992 ----a-w- c:\windows\system32\wininet.dll

2011-12-17 19:42 . 2005-10-27 06:15 43520 ----a-w- c:\windows\system32\licmgr10.dll

2011-12-17 19:42 . 2005-10-27 06:15 1469440 ------w- c:\windows\system32\inetcpl.cpl

2011-12-16 12:23 . 2005-10-27 06:15 385024 ----a-w- c:\windows\system32\html.iec

.

.

((((((((((((((((((((((((((((( SnapShot@2012-03-09_14.59.32 )))))))))))))))))))))))))))))))))))))))))

.

+ 2012-03-09 17:11 . 2012-03-09 17:11 16384 c:\windows\temp\Perflib_Perfdata_7e8.dat

.

((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond

REGEDIT4

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]

@="{472083B0-C522-11CF-8763-00608CC02F24}"

[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]

2012-03-07 00:15 123536 ----a-w- c:\program files\Alwil Software\Avast5\ashShell.dll

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"POP Peeper"="c:\program files\POP Peeper\POPPeeper.exe" [2011-11-16 1613824]

"Advanced SystemCare 4"="c:\program files\IObit\Advanced SystemCare 4\ASCTray.exe" [2011-05-28 412560]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CmUCRRun"="c:\windows\system32\CmUCReye.exe" [2005-10-12 241664]

"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]

"CHotkey"="mHotkey.exe" [2004-12-08 550912]

"ledpointer"="CNYHKey.exe" [2005-11-10 5585408]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-10-10 7286784]

"InstantOn"="c:\program files\CyberLink\PowerCinema Linux\ion_install.exe" [2005-09-22 93640]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2005-11-07 155648]

"snpstd"="c:\windows\vsnpstd.exe" [2003-12-31 40960]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"c:\\WINDOWS\\system32\\sessmgr.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=

"c:\\WINDOWS\\system32\\fxsclnt.exe"=

"c:\\Program Files\\NetMeeting\\Conf.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Common Files\\Nero\\Nero Web\\SetupX.exe"=

"c:\\Documents and Settings\\Linda\\Mijn documenten\\SopCast\\adv\\SopAdver.exe"=

"c:\\Documents and Settings\\Linda\\Mijn documenten\\SopCast\\SopCast.exe"=

"d:\\Programma's\\Programs\\RM.exe"=

"d:\\Programma's\\Programs\\PMSRegisterFile.exe"=

"d:\\Programma's\\Programs\\umi.exe"=

"d:\\Programma's\\Programs\\VideoSpin.exe"=

"c:\\Program Files\\FrostWire 5\\FrostWire.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"5985:TCP"= 5985:TCP:*:Disabled:Windows Remote Management

.

R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [28-2-2011 22:02 612184]

R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [5-4-2008 9:01 337880]

R2 AdvancedSystemCareService;Advanced SystemCare Service;c:\program files\IObit\Advanced SystemCare 4\ASCService.exe [6-2-2012 20:57 353168]

R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [5-4-2008 9:01 20696]

R3 3xHybrid;3xHybrid service;c:\windows\system32\drivers\3xHybrid.sys [18-10-2005 14:01 826752]

R3 CMISTOR;CMIUCR.SYS CM220 Card Reader Driver;c:\windows\system32\drivers\cmiucr.SYS [4-10-2005 17:37 72320]

S2 gupdate;Google Updateservice (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2-2-2010 17:53 135664]

S2 SkypeUpdate;Skype Updater;c:\program files\Skype\Updater\Updater.exe [15-2-2012 13:30 158856]

S3 camvid20;Philips ToUcam Camera; Video;c:\windows\system32\drivers\camdrv21.sys [25-1-2008 17:42 223232]

S3 F-Secure Standalone Minifilter;F-Secure Standalone Minifilter;\??\c:\docume~1\Linda\LOCALS~1\Temp\OnlineScanner\Anti-Virus\fsgk.sys --> c:\docume~1\Linda\LOCALS~1\Temp\OnlineScanner\Anti-Virus\fsgk.sys [?]

S3 gupdatem;Google Update-service (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2-2-2010 17:53 135664]

S3 WinRM;Windows Remote Management (WS-Management);c:\windows\system32\svchost.exe -k WINRM [27-10-2005 7:15 14336]

.

--- Andere Services/Drivers In Geheugen ---

.

*NewlyCreated* - WS2IFSL

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

WINRM REG_MULTI_SZ WINRM

.

Inhoud van de 'Gedeelde Taken' map

.

2012-03-09 c:\windows\Tasks\ASC4_PerformanceMonitor.job

- c:\program files\IObit\Advanced SystemCare 4\PMonitor.exe [2012-02-06 13:46]

.

2012-03-09 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-02 16:53]

.

2012-03-09 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-02 16:53]

.

.

------- Bijkomende Scan -------

.

uStart Page = hxxp://www.google.nl/

uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8

uSearchAssistant = hxxp://www.google.com/ie

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~4\Office10\EXCEL.EXE/3000

IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_7461B1589E8B4FB7.dll/cmsidewiki.html

Trusted Zone: kpn.com\www

Trusted Zone: postbank.nl

TCP: DhcpNameServer = 192.168.2.254

FF - ProfilePath - c:\documents and settings\Linda\Application Data\Mozilla\Firefox\Profiles\43f0x8yt.default\

FF - prefs.js: browser.search.selectedEngine - Yahoo

FF - prefs.js: keyword.URL - hxxp://nl.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=685749&p=

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}

FF - Ext: vShare: vshare@toolbar - %profile%\extensions\vshare@toolbar

FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}

FF - Ext: Java Quick Starter: jqs@sun.com - c:\program files\Java\jre6\lib\deploy\jqs\ff

FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension

.

- - - - ORPHANS VERWIJDERD - - - -

.

WebBrowser-{EFA17369-CDC0-4927-9AFC-BAAD1F96B2AE} - (no file)

WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2012-03-09 18:12

Windows 5.1.2600 Service Pack 3 NTFS

.

scannen van verborgen processen ...

.

scannen van verborgen autostart items ...

.

scannen van verborgen bestanden ...

.

Scan succesvol afgerond

verborgen bestanden: 0

.

**************************************************************************

.

--------------------- DLLs Geladen Onder Lopende Processen ---------------------

.

- - - - - - - > 'explorer.exe'(3660)

c:\windows\system32\webcheck.dll

.

------------------------ Andere Aktieve Processen ------------------------

.

c:\program files\Alwil Software\Avast5\AvastSvc.exe

c:\program files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe

c:\program files\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe

c:\program files\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe

c:\program files\Java\jre6\bin\jqs.exe

c:\program files\Common Files\LightScribe\LSSrvc.exe

c:\program files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

c:\program files\Nero\Nero8\Nero BackItUp\NBService.exe

c:\windows\system32\nvsvc32.exe

c:\program files\CyberLink\Shared Files\RichVideo.exe

c:\windows\system32\wdfmgr.exe

c:\progra~1\COMMON~1\X10\Common\x10nets.exe

c:\program files\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe

c:\program files\Canon\CAL\CALMAIN.exe

c:\windows\system32\wbem\wmiapsrv.exe

c:\windows\mHotkey.exe

c:\windows\CNYHKey.exe

c:\windows\system32\wscntfy.exe

.

**************************************************************************

.

Voltooingstijd: 2012-03-09 18:15:57 - machine werd herstart

ComboFix-quarantined-files.txt 2012-03-09 17:15

ComboFix2.txt 2012-03-09 15:00

.

Pre-Run: 83.644.809.216 bytes beschikbaar

Post-Run: 82.351.271.936 bytes beschikbaar

.

- - End Of File - - A94D9F6EC54FA612963CBFDD41951023

Link naar reactie
Delen op andere sites

Firewall en antivirus mag je opnieuw inschakelen.

Kan je dit bestand nog manueel verwijderen : c:\windows\DED53B0BB67C4244AE6AD6FD3C28D1EF.TMP

En dan het volgende :

Download de Emsisoft Emergency Kit naar het bureaublad en pak het ZIP bestand uit.

  • Open de map "EmsisoftEmergencyKit" en dubbelklik op "Start.exe"
  • Klik nu op "Emergency Kit Scanner" u krijg nu een melding dat het is aanbevolen om eerst te updaten sta dit toe door te klikken op "Ja"
  • Als de update gereed is en de melding "Update process is succesvol afgerond" verschijnt klikt u op "menu" en dan op "Scan PC"
  • Selecteer de optie "Diep" als deze niet standaard al zo is ingesteld.
  • Klik Nu op de knop "Scan" en doe verder niets op de computer tijdens het scannen, deze scan kan een geruime tijd in beslag nemen dus wacht dit geduldig af.
  • Het venster met de waarschuwing over een verhoogd risico kunt u sluiten als de scan gereed is.
    Opmerking:
    Als u deze melding ziet.
    C:\Documents and Settings\username\Bureaublad\ComboFix.exe/$0\List.bat Verwijderd Virus.Win32.HTML!IK
    Wanneer het bestand in het venster met scanresultaten staat kun je rechtsklikken op die detectie en kiezen voor "Versturen als vals alarm (False Positive)".
  • Zorg ervoor dat alle gevonden items zijn aangevinkt en druk dan op de knop "verwijder geselecteerde" u zal nu de volgende melding krijgen maar klik hier op "Ja"
    Als het verwijderen gereed is klikt u op de knop "View report" en selecteert u het tekstbestand van deze scan met de naam zoals: a2scan_110730-111615.txt
  • Plaats de inhoud van dit LOG bestand straks in uw volgende bericht.
  • Herstart nu de computer.

Link naar reactie
Delen op andere sites

Okee, ik ga weer doen wat je schrijft.

Kun je alleen even aangeven hoe ik c:\windows\DED53B0BB67C4244AE6AD6FD3C28D1EF.TMP kan verwijderen? Ik weet even niet hoe ik dat moet doen. Dan ga ik nu verder met het nieuwe programma.

De scan loopt nog wel even. Ondertussen bedacht ik me dat ik bij "zoeken" bovenstaande link in kon vullen en de map dan deleten. Heb ik dat juist gedaan, of had het moeilijker gemoeten via een programma? Hij zit nog in de prullenbak voor het geval het zo niet goed is.

aangepast door Tanja99
Link naar reactie
Delen op andere sites

Hieronder eindelijk de scan. Het duurde even maar het leverde ook wat op!

Wil je ook m'n vorige bericht beantwoorden, of ik het goed gedaan heb met die C-schijf regel?

Emsisoft Emergency Kit - Versie 1.0

Laatste Update: 9-3-2012 19:02:18

Scaninstellingen:

Scantype: Diepe Scan

Objecten: Geheugen, Sporen, Cookies, C:\, D:\, E:\

Scan archieven: Aan

Heuristieken: Uit

ADS Scan: Aan

Scan gestart: 9-3-2012 19:02:58

C:\Documents and Settings\Linda\Application Data\Mozilla\Firefox\Profiles\43f0x8yt.default\cookies.sqlite:1325607899343000 Ontdekt: Trace.TrackingCookie.stat.onestat!A2

C:\Documents and Settings\Linda\Application Data\Mozilla\Firefox\Profiles\43f0x8yt.default\cookies.sqlite:1325607899343001 Ontdekt: Trace.TrackingCookie.stat.onestat!A2

C:\Program Files\NCH Swift Sound\Switch\switch.exe Ontdekt: Virus.Win32.Virut!IK

C:\Program Files\NCH Swift Sound\Switch\uninst.exe Ontdekt: Virus.Win32.Virut!IK

C:\Program Files\Vragenbank\setup\gendel32.ex_ Ontdekt: Trojan.Win32.Gendel.AMN!A2

Gescand

Bestanden: 198892

Sporen: 457444

Cookies: 27

Processen: 42

Gevonden

Bestanden: 3

Sporen: 0

Cookies: 4

Processen: 0

Registersleutels: 0

Scan Geëindigd: 9-3-2012 21:32:05

Scantijd: 2:29:07

C:\Program Files\Vragenbank\setup\gendel32.ex_ Verwijderd Trojan.Win32.Gendel.AMN!A2

C:\Program Files\NCH Swift Sound\Switch\switch.exe Verwijderd Virus.Win32.Virut!IK

C:\Program Files\NCH Swift Sound\Switch\uninst.exe Verwijderd Virus.Win32.Virut!IK

C:\Documents and Settings\Linda\Application Data\Mozilla\Firefox\Profiles\43f0x8yt.default\cookies.sqlite:1325607899343000 Verwijderd Trace.TrackingCookie.stat.onestat!A2

C:\Documents and Settings\Linda\Application Data\Mozilla\Firefox\Profiles\43f0x8yt.default\cookies.sqlite:1325607899343001 Verwijderd Trace.TrackingCookie.stat.onestat!A2

Verwijderd

Bestanden: 3

Sporen: 0

Cookies: 2

Link naar reactie
Delen op andere sites

Goedemorgen Kape, net startte ik de pc vandaag voor het eerst op en toen bleef hij hangen. Bij de tweede keer opstarten deed hij het wel. Het Avast tekentje verdwijnt wel steeds bij het opnieuw opstarten rechts onderin de blauwe balk en moet ik aldoor opnieuw opzoeken. Trouwens, is er een beter gratis anti virus programma, want zoals je begrijpt heb ik hier niet veel vertrouwen meer in?!

Verder als ik via start - programma's kijk staan daar wel heel veel mappen, maar de meesten zijn leeg.

Voor de rest kan ik wel internetten en mailen. Is het wel weer veilig om te internetten, want ik moet nodig wat "zaken" regelen via internet? En kan ik de externe schijf er nu veilig aanhangen, zonder dat daar een virus opkomt, om nog wat foto's e.d. op te slaan (tsja, had een achterstand)?

Ik ben wel benieuwd wat je bedoelt met "weinig hoopgevend", want ik was juist zo blij dat alles er nagenoeg normaal uitziet en werkt.

Graag hoor ik van je en alvast heel erg bedankt voor al je hulp.

aangepast door Tanja99
Link naar reactie
Delen op andere sites

Probleem is dat er bij de laatste scan melding gemaakt wordt van een Virut-infectie :

C:\Program Files\NCH Swift Sound\Switch\switch.exe Verwijderd Virus.Win32.Virut!IK

C:\Program Files\NCH Swift Sound\Switch\uninst.exe Verwijderd Virus.Win32.Virut!IK

Het infecteert legitieme exe-bestanden, dus ook al je programma's, enz ...

Het slechte nieuws is dat bij een Virut enkel een format en herinstallatie een goede oplossing is, alle andere pogingen zijn een verloren zaak. Lees hierover even dit verhaal :

Spyware

Kortom 80% van de exe-bestanden zijn geïnfecteerd hier. Dus, indien je een backup neemt van je bestanden vooraleer een format en herinstallatie te doen, zorg ervoor dat je geen backup neemt van exe, scr, html, htm, asp, php bestanden, want ook deze zijn allemaal geïnfecteerd.

Nu is dit gebaseerd op de scan van 1 antivirusprogramma, dus voor de zekerheid zou ik je willen adviseren om nog eens een extra on-linescan uit te voeren (hoewel die theoretisch geen nieuwe negatieve aanduidingen zou mogen geven) :

Ga naar de site van de ESET Online Scanner.

  • Klik op de knop ESET Online Scanner
  • Zet een vinkje bij YES, I accept the Terms of Use
  • Klik op Start
  • Sta het ActiveX control toe om te installeren.
  • Klik op "Advanced settings"
  • Zet een vinkje bij de volgende opties:
    • Remove found threats
    • Scan archives
    • Scan for potentially unwanted applications
    • Scan for potentially unsafe applications
    • Enable Anti-Stealth technology

    [*]Klik op Start

    [*]De computer wordt nu gescand. Dit kan best lang duren, heb dus geduld.

    [*]Je mag het venster sluiten wanneer de scan klaar is.

    [*]Gebruik Kladblok om het logje te openen. Dit logje vind je op de locatie C:\Program Files\EsetOnlineScanner\log.txt

    [*]Kopieer en plak de inhoud van dit logje in je volgende bericht.

Link naar reactie
Delen op andere sites

De scan loopt nog maar het ziet er somber uit. Hij heeft bij 30% alweer 18 infected files gevonden (Win32/AdInstaller application a variant of Win32/Kryptik.ACCQ trojan).

Ik lees dat je voorstelt om de pc leeg te maken en opnieuw alles te installeren. Ik zie hier erg tegenop en denk erover om dit door een pc winkel in het dorp te laten doen. Ook omdat hij weer op internet aangesloten moet worden. Wat vind je hiervan? Zou je deze keer snel willen reageren, want als ik hem nu wegbreng is hij vanmiddag nog klaar. Alvast bedankt!

aangepast door Tanja99
Link naar reactie
Delen op andere sites

Gast
Dit topic is nu gesloten voor nieuwe reacties.

×
×
  • Nieuwe aanmaken...

Belangrijke informatie

We hebben cookies geplaatst op je toestel om deze website voor jou beter te kunnen maken. Je kunt de cookie instellingen aanpassen, anders gaan we er van uit dat het goed is om verder te gaan.