Ga naar inhoud

Slaapstand XP home werkt niet (meer)


RMB24

Aanbevolen berichten

Malwarebytes heeft een hoop rotzooi opgeruimd en het logje van hijackthis ziet er goed uit.

Download ComboFix van één van deze locaties:

Link 1

Link 2

* BELANGRIJK !!! Sla ComboFix.exe op je Bureaublad op

  • Schakel alle antivirus- en antispywareprogramma's uit, want anders kunnen ze misschien conflicteren met ComboFix. Hier is een handleiding over hoe je ze kan uitschakelen:
    Klik hier
    Als het je niet lukt om ze uit te schakelen, ga dan gewoon door naar de volgende stap.
  • Dubbelklik op ComboFix.exe en volg de meldingen op het scherm.
  • ComboFix zal controleren of dat de Microsoft Windows Recovery Console reeds is geïnstalleerd.
    **Let op: Als de Microsoft Windows Recovery Console al is geïnstalleerd, dan krijg je de volgende schermen niet te zien en zal ComboFix automatisch verder gaan met het scannen naar malware.
  • Volg de meldingen op het scherm om ComboFix de Microsoft Windows Recovery Console te laten downloaden en installeren.

cf-rc-auto.jpg

Je krijgt de volgende melding te zien wanneer ComboFix de Microsoft Windows Recovery Console succesvol heeft geïnstalleerd:

rc-auto-done.jpg

Klik op Ja om verder te gaan met het scannen naar malware.

Noot !!! Als er een error wordt getoond met de melding "Illegal operation attempted on a registery key that has been marked for deletion", herstart dan de computer.

Wanneer ComboFix klaar is, zal het het een logbestand voor je maken. Post de inhoud van dit logbestand (te vinden als C:\ComboFix.txt) in je volgende bericht.

Indien je problemen hebt bij het uitvoeren van ComboFix, gelieve dit te melden.

Link naar reactie
Delen op andere sites

  • Reacties 29
  • Aangemaakt
  • Laatste reactie

Beste reacties in dit topic

Beste reacties in dit topic

Geplaatste afbeeldingen

Nou, dat ging alles bij elkaar vrij snel. De "Recovery Console" is al geïnstalleerd, dus de scan begon meteen zonder haperingen en/of foutmeldingen.

Na de herstart ging het opstarten al een stuk sneller als de laatste tijd gebruikelijk was.

Hieronder de logfile:

**********************************************************************

ComboFix 12-04-05.06 - Ron 05-04-2012 21:29:40.1.1 - x86

Microsoft Windows XP Home Edition 5.1.2600.3.1252.31.1043.18.1918.1102 [GMT 2:00]

Gestart vanuit: c:\documents and settings\Ron\Bureaublad\ComboFix.exe

AV: AVG Anti-Virus Free Edition 2012 *Disabled/Updated* {17DDD097-36FF-435F-9E1B-52D74245D6BF}

AV: Microsoft Security Essentials *Disabled/Updated* {BCF43643-A118-4432-AEDE-D861FCBCFCDF}

FW: Norton Internet Worm Protection *Disabled* {990F9400-4CEE-43EA-A83A-D013ADD8EA6E}

.

.

(((((((((((((((((((((((((((((((((( Andere Verwijderingen )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\documents and settings\All Users\Application Data\TEMP

c:\documents and settings\Ron\Application Data\AdobeDLM.log

c:\documents and settings\Ron\Application Data\PriceGong

c:\documents and settings\Ron\Application Data\PriceGong\Data\1.txt

c:\documents and settings\Ron\Application Data\PriceGong\Data\a.txt

c:\documents and settings\Ron\Application Data\PriceGong\Data\b.txt

c:\documents and settings\Ron\Application Data\PriceGong\Data\c.txt

c:\documents and settings\Ron\Application Data\PriceGong\Data\d.txt

c:\documents and settings\Ron\Application Data\PriceGong\Data\e.txt

c:\documents and settings\Ron\Application Data\PriceGong\Data\f.txt

c:\documents and settings\Ron\Application Data\PriceGong\Data\g.txt

c:\documents and settings\Ron\Application Data\PriceGong\Data\h.txt

c:\documents and settings\Ron\Application Data\PriceGong\Data\i.txt

c:\documents and settings\Ron\Application Data\PriceGong\Data\j.txt

c:\documents and settings\Ron\Application Data\PriceGong\Data\k.txt

c:\documents and settings\Ron\Application Data\PriceGong\Data\l.txt

c:\documents and settings\Ron\Application Data\PriceGong\Data\m.txt

c:\documents and settings\Ron\Application Data\PriceGong\Data\mru.xml

c:\documents and settings\Ron\Application Data\PriceGong\Data\n.txt

c:\documents and settings\Ron\Application Data\PriceGong\Data\o.txt

c:\documents and settings\Ron\Application Data\PriceGong\Data\p.txt

c:\documents and settings\Ron\Application Data\PriceGong\Data\q.txt

c:\documents and settings\Ron\Application Data\PriceGong\Data\r.txt

c:\documents and settings\Ron\Application Data\PriceGong\Data\s.txt

c:\documents and settings\Ron\Application Data\PriceGong\Data\t.txt

c:\documents and settings\Ron\Application Data\PriceGong\Data\u.txt

c:\documents and settings\Ron\Application Data\PriceGong\Data\v.txt

c:\documents and settings\Ron\Application Data\PriceGong\Data\w.txt

c:\documents and settings\Ron\Application Data\PriceGong\Data\wlu.txt

c:\documents and settings\Ron\Application Data\PriceGong\Data\x.txt

c:\documents and settings\Ron\Application Data\PriceGong\Data\y.txt

c:\documents and settings\Ron\Application Data\PriceGong\Data\z.txt

c:\documents and settings\Ron\Bureaublad\Security Center.lnk

c:\documents and settings\Ron\Menu Start\Programma's\Opstarten\OpenOffice.org 3.3 .lnk

c:\documents and settings\Ron\WINDOWS

c:\program files\Setup.exe

c:\windows\IsUn0413.exe

c:\windows\system32\_000006_.tmp.dll

c:\windows\system32\_000009_.tmp.dll

c:\windows\system32\_000010_.tmp.dll

c:\windows\system32\Cache

c:\windows\system32\Cache\0e05126bcc84929d.fb

c:\windows\system32\Cache\16af256c7d35bd0a.fb

c:\windows\system32\Cache\272512937d9e61a4.fb

c:\windows\system32\Cache\287204568329e189.fb

c:\windows\system32\Cache\28bc8f716fd76a47.fb

c:\windows\system32\Cache\2c53092c95605355.fb

c:\windows\system32\Cache\3917078cb68ec657.fb

c:\windows\system32\Cache\590ba23ce359fd0c.fb

c:\windows\system32\Cache\610289e025a3ee9a.fb

c:\windows\system32\Cache\651c5d3cdbfb8bd1.fb

c:\windows\system32\Cache\6c59ac5e7e7a3ad0.fb

c:\windows\system32\Cache\a8556537add6dfc5.fb

c:\windows\system32\Cache\ad10a52aff5e038d.fb

c:\windows\system32\Cache\c4d28dca2e7648be.fb

c:\windows\system32\Cache\d201ef9910cd39de.fb

c:\windows\system32\Cache\d2e94710a5708128.fb

c:\windows\system32\Cache\d79b9dfe81484ec4.fb

c:\windows\system32\Cache\e0de16f883bea794.fb

c:\windows\system32\Cache\e1888ce4060cc79d.fb

c:\windows\system32\ikhcore.log

c:\windows\system32\PowerToyReadme.htm

c:\windows\system32\SET137.tmp

c:\windows\system32\SET13A.tmp

c:\windows\system32\SET13F.tmp

c:\windows\system32\SET146.tmp

c:\windows\system32\SET164.tmp

c:\windows\system32\SET169.tmp

c:\windows\system32\SET16B.tmp

c:\windows\system32\SET16E.tmp

c:\windows\system32\SET17.tmp

c:\windows\system32\SET170.tmp

c:\windows\system32\SET171.tmp

c:\windows\system32\SET172.tmp

c:\windows\system32\SET173.tmp

c:\windows\system32\SET178.tmp

c:\windows\system32\SET180.tmp

c:\windows\system32\SET182.tmp

c:\windows\system32\SET1AC.tmp

c:\windows\system32\SET1AF.tmp

c:\windows\system32\SET1B0.tmp

c:\windows\system32\SET1B2.tmp

c:\windows\system32\SET1B5.tmp

c:\windows\system32\SET1BA.tmp

c:\windows\system32\SET1BB.tmp

c:\windows\system32\SET1BC.tmp

c:\windows\system32\SET1BD.tmp

c:\windows\system32\SET1BE.tmp

c:\windows\system32\SET22.tmp

c:\windows\system32\SET24.tmp

c:\windows\system32\SET27.tmp

c:\windows\system32\SET2A.tmp

c:\windows\system32\SET2B.tmp

c:\windows\system32\SET32.tmp

c:\windows\system32\SET33.tmp

c:\windows\system32\SET4C.tmp

c:\windows\system32\SET4E.tmp

c:\windows\system32\SET58.tmp

c:\windows\system32\SET64.tmp

c:\windows\system32\SETA7.tmp

c:\windows\system32\SETAC.tmp

c:\windows\system32\Thumbs.db

.

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

-------\Service_xcpip

.

.

(((((((((((((((((((( Bestanden Gemaakt van 2012-03-05 to 2012-04-05 ))))))))))))))))))))))))))))))

.

.

2012-04-05 19:45 . 2012-04-05 19:45 -------- d--h--r- c:\documents and settings\Ron\Onlangs geopend

2012-04-03 10:07 . 2012-04-03 10:07 -------- d-----w- c:\documents and settings\Ron\Application Data\Malwarebytes

2012-04-03 10:07 . 2012-04-03 10:07 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2012-04-03 10:07 . 2011-12-10 13:24 20464 ----a-w- c:\windows\system32\drivers\mbam.sys

2012-04-03 10:07 . 2012-04-03 10:07 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2012-04-02 22:03 . 2012-04-02 22:03 -------- d-----w- c:\documents and settings\Ron\Application Data\SUPERAntiSpyware.com

2012-04-02 22:02 . 2012-04-02 22:03 -------- d-----w- c:\program files\SUPERAntiSpyware

2012-04-02 22:02 . 2012-04-02 22:02 -------- d-----w- c:\documents and settings\All Users\Application Data\SUPERAntiSpyware.com

2012-04-02 14:16 . 2012-04-02 14:16 388096 ----a-r- c:\documents and settings\Ron\Application Data\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe

2012-04-02 14:16 . 2012-04-02 14:16 -------- d-----w- c:\program files\Trend Micro

2012-03-31 15:45 . 2012-03-31 16:11 418464 ----a-w- c:\windows\system32\FlashPlayerApp.exe

2012-03-30 22:46 . 2012-03-30 22:46 -------- d-----w- c:\program files\CCleaner

2012-03-30 15:34 . 2012-04-01 21:05 227 ----a-w- c:\windows\system.tmp

2012-03-30 15:34 . 2012-04-01 21:05 1063 ----a-w- c:\windows\win.tmp

2012-03-30 14:50 . 2012-04-02 22:01 -------- d-----w- c:\program files\Spyware Doctor

2012-03-29 22:49 . 2012-03-29 22:49 -------- d-----w- C:\Preventon

2012-03-29 19:15 . 2012-03-29 19:45 -------- d-----w- c:\documents and settings\All Users\Application Data\clp

2012-03-29 18:50 . 2012-03-29 18:50 -------- d-----w- c:\program files\Conduit

2012-03-29 18:50 . 2012-03-29 19:11 -------- d-----w- c:\documents and settings\Ron\Local Settings\Application Data\Conduit

2012-03-22 15:38 . 2012-03-22 15:38 -------- d-----w- c:\documents and settings\LocalService\Application Data\TuneUp Software

2012-03-16 20:16 . 2012-03-16 20:16 592824 ----a-w- c:\program files\Mozilla Firefox\gkmedias.dll

2012-03-16 20:16 . 2012-03-16 20:16 44472 ----a-w- c:\program files\Mozilla Firefox\mozglue.dll

2012-03-15 15:36 . 2012-03-16 13:25 -------- d-----w- c:\documents and settings\Ron\Application Data\TuneUp Software

2012-03-15 15:35 . 2012-03-15 15:37 -------- d-----w- c:\documents and settings\All Users\Application Data\TuneUp Software

2012-03-15 15:34 . 2012-03-15 15:34 -------- d-sh--w- c:\documents and settings\All Users\Application Data\{32364CEA-7855-4A3C-B674-53D8E9B97936}

.

.

.

((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-03-31 16:11 . 2011-05-24 17:28 70304 -c--a-w- c:\windows\system32\FlashPlayerCPLApp.cpl

2012-02-03 09:57 . 2004-09-10 16:23 1860224 ----a-w- c:\windows\system32\win32k.sys

2012-01-11 19:07 . 2012-02-14 21:46 3072 ------w- c:\windows\system32\iacenc.dll

2012-01-09 16:20 . 2004-09-10 16:44 139784 ----a-w- c:\windows\system32\drivers\rdpwd.sys

2008-05-29 20:38 . 2008-05-29 20:38 4374016 -c--a-w- c:\program files\openofficeorg24.msi

2002-03-11 09:06 . 2002-03-11 09:06 1822520 -c--a-w- c:\program files\instmsiw.exe

2002-03-11 08:45 . 2002-03-11 08:45 1708856 -c--a-w- c:\program files\instmsia.exe

2012-03-16 20:16 . 2011-10-02 18:50 97208 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll

.

.

((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond

REGEDIT4

.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{95B7759C-8C7F-4BF1-B163-73684A933233}]

2012-03-12 19:21 1869152 ----a-w- c:\program files\AVG Secure Search\10.2.0.3\AVG Secure Search_toolbar.dll

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{95B7759C-8C7F-4BF1-B163-73684A933233}"= "c:\program files\AVG Secure Search\10.2.0.3\AVG Secure Search_toolbar.dll" [2012-03-12 1869152]

.

[HKEY_CLASSES_ROOT\clsid\{95b7759c-8c7f-4bf1-b163-73684a933233}]

[HKEY_CLASSES_ROOT\AVG Secure Search.PugiObj.1]

[HKEY_CLASSES_ROOT\AVG Secure Search.PugiObj]

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-05-29 68856]

"ccleaner"="c:\program files\CCleaner\CCleaner.exe" [2012-03-27 2773824]

"SUPERAntiSpyware"="c:\program files\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2012-03-07 3905920]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"vProt"="c:\program files\AVG Secure Search\vprot.exe" [2012-03-12 982880]

"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-04-28 766041]

"SkyTel"="SkyTel.EXE" [2006-05-16 2879488]

"RTHDCPL"="RTHDCPL.EXE" [2006-07-21 16261632]

"ROC_roc_dec12"="c:\program files\AVG Secure Search\ROC_roc_dec12.exe" [2012-01-16 928096]

"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952]

"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2010-06-09 49208]

"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]

"AzMixerSel"="c:\program files\Realtek\InstallShield\AzMixerSel.exe" [2005-06-11 53248]

"AVG_TRAY"="c:\program files\AVG\AVG2012\avgtray.exe" [2012-01-24 2416480]

"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

.

c:\documents and settings\All Users\Menu Start\Programma's\Opstarten\

HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2004-5-28 241664]

.

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2011-07-19 113024]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]

2011-05-04 17:54 551296 ----a-w- c:\program files\SUPERAntiSpyware\SASWINLO.DLL

.

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]

BootExecute REG_MULTI_SZ autocheck autochk *\0c:\progra~1\AVG\AVG2012\avgrsx.exe /sync /restart

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\!SASCORE]

@=""

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

@="Driver"

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]

@="Service"

.

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programma's^Opstarten^Adobe Reader Snelle start.lnk]

backup=c:\windows\pss\Adobe Reader Snelle start.lnkCommon Startup

.

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programma's^Opstarten^Google Updater.lnk]

backup=c:\windows\pss\Google Updater.lnkCommon Startup

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"SysmonLog"=3 (0x3)

"RSVP"=3 (0x3)

"mnmsrvc"=3 (0x3)

"Alerter"=2 (0x2)

.

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"Skype"="c:\apps\skype\phone\Skype.exe" /nosplash /minimized

"SmpcSys"=c:\apps\SMP\SmpSys.exe

"NokiaOviSuite2"=c:\program files\Nokia\Nokia Ovi Suite\NokiaOviSuite.exe -tray

"WMPNSCFG"=c:\program files\Windows Media Player\WMPNSCFG.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" -atboottime

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

"PCMService"="c:\apps\Powercinema\PCMService.exe"

"PHIME2002ASync"=c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

"PHIME2002A"=c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

"ISUSPM Startup"=c:\progra~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe -startup

"DetectorApp"=c:\program files\Sonic\DigitalMedia LE v7\MyDVD LE\DetectorApp.exe

"HP Component Manager"="c:\program files\HP\hpcoretech\hpcmpmgr.exe"

"NokiaMServer"=c:\program files\Common Files\Nokia\MPlatform\NokiaMServer /watchfiles startup

"ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" -start

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\WINDOWS\\system32\\mshta.exe"=

"c:\\WINDOWS\\system32\\dpvsetup.exe"=

"c:\\Program Files\\FileZilla FTP Client\\filezilla.exe"=

"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"c:\\Program Files\\Java\\jre6\\bin\\java.exe"=

"c:\\Program Files\\Nokia\\Nokia Software Updater\\nsu_ui_client.exe"=

"c:\\Program Files\\Common Files\\Nokia\\Service Layer\\A\\nsl_host_process.exe"=

"c:\\Program Files\\Google\\Google Earth\\plugin\\geplugin.exe"=

"c:\\Program Files\\IVT Corporation\\BlueSoleil\\BlueSoleil_.exe"=

"c:\\Program Files\\AVG\\AVG2012\\avgmfapx.exe"=

"c:\\Program Files\\Microsoft Office\\OFFICE11\\WINWORD.EXE"=

"c:\\Program Files\\AVG\\AVG2012\\avgnsx.exe"=

"c:\\Program Files\\AVG\\AVG2012\\avgdiagex.exe"=

"c:\\Program Files\\AVG\\AVG2012\\avgemcx.exe"=

"c:\\APPS\\skype\\phone\\Skype.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3389:TCP"= 3389:TCP:Remote Desktop

"65533:TCP"= 65533:TCP:Services

"52344:TCP"= 52344:TCP:Services

.

R0 AVGIDSEH;AVGIDSEH;c:\windows\system32\drivers\AVGIDSEH.sys [13-9-2010 17:27 23120]

R0 Avgrkx86;AVG Anti-Rootkit Driver;c:\windows\system32\drivers\avgrkx86.sys [7-9-2010 4:48 32592]

R1 Avgldx86;AVG AVI Loader Driver;c:\windows\system32\drivers\avgldx86.sys [7-9-2010 4:48 230608]

R1 Avgtdix;AVG TDI Driver;c:\windows\system32\drivers\avgtdix.sys [7-9-2010 4:49 295248]

R1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\sasdifsv.sys [22-7-2011 18:27 12880]

R1 SAS***IL;SAS***IL;c:\program files\SUPERAntiSpyware\SAS***IL.SYS [12-7-2011 23:55 67664]

R2 !SASCORE;SAS Core Service;c:\program files\SUPERAntiSpyware\SASCore.exe [12-8-2011 1:38 116608]

R2 AVGIDSAgent;AVGIDSAgent;c:\program files\AVG\AVG2012\AVGIDSAgent.exe [12-10-2011 7:25 4433248]

R2 avgwd;AVG WatchDog;c:\program files\AVG\AVG2012\avgwdsvc.exe [2-8-2011 7:09 192776]

R2 BBSvc;Bing Bar Update Service;c:\program files\Microsoft\BingBar\BBSvc.EXE [21-10-2011 16:23 196176]

R2 BBUpdate;BBUpdate;c:\program files\Microsoft\BingBar\SeaPort.EXE [13-10-2011 18:21 249648]

R3 AVGIDSDriver;AVGIDSDriver;c:\windows\system32\drivers\AVGIDSDriver.sys [19-8-2010 22:42 134608]

R3 AVGIDSFilter;AVGIDSFilter;c:\windows\system32\drivers\AVGIDSFilter.sys [19-8-2010 22:42 24272]

R3 AVGIDSShim;AVGIDSShim;c:\windows\system32\drivers\AVGIDSShim.sys [19-8-2010 22:42 16720]

R3 PAC207;SoC PC-Camer@;c:\windows\system32\drivers\PFC027.sys [24-2-2005 12:29 162176]

R3 xpsec;IPSEC-stuurprogramma;c:\windows\system32\drivers\xpsec.sys --> c:\windows\system32\drivers\xpsec.sys [?]

S2 gupdate;Google Updateservice (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [6-2-2010 16:08 135664]

S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [31-3-2012 17:45 253600]

S3 AVFSFilter;AVFSFilter;c:\windows\system32\DRIVERS\avfsfilter.sys --> c:\windows\system32\DRIVERS\avfsfilter.sys [?]

S3 AVG Security Toolbar Service;AVG Security Toolbar Service;c:\program files\AVG\AVG10\Toolbar\ToolbarBroker.exe [10-5-2011 11:48 1025352]

S3 gupdatem;Google Update-service (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [6-2-2010 16:08 135664]

S3 ysnii.sys;ysnii.sys;\??\c:\windows\system32\drivers\ysnii.sys --> c:\windows\system32\drivers\ysnii.sys [?]

.

--- Andere Services/Drivers In Geheugen ---

.

*NewlyCreated* - WS2IFSL

.

Inhoud van de 'Gedeelde Taken' map

.

2012-04-05 c:\windows\Tasks\Adobe Flash Player Updater.job

- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-03-31 16:11]

.

2012-03-30 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2011-06-01 15:57]

.

2012-04-05 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-06 22:43]

.

2012-04-05 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-06 22:43]

.

2012-03-31 c:\windows\Tasks\MalAware.job

- c:\documents and settings\Ron\Mijn documenten\Mijn ontvangen bestanden\MalAware.exe [2012-03-31 19:31]

.

2011-09-05 c:\windows\Tasks\Schijfopruiming.job

- c:\windows\system32\cleanmgr.exe [2004-09-10 17:02]

.

2012-04-05 c:\windows\Tasks\User_Feed_Synchronization-{8A94A62F-49C4-4AF7-9F6A-5543484A913E}.job

- c:\windows\system32\msfeedssync.exe [2006-10-17 02:31]

.

.

------- Bijkomende Scan -------

.

uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8

uInternet Settings,ProxyOverride = *.local

uSearchAssistant = hxxp://www.google.com/ie

uSearchURL,(Default) = hxxp://us.rd.yahoo.com/clientapps/AutoSearch/SearchUrl/YSetSearch/*Yahoo! Nederland

IE: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

IE: E&xporteren naar Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

Trusted Zone: microsoft.com\update

Trusted Zone: ziggo.nl\thuishelp

TCP: DhcpNameServer = 212.54.40.25 212.54.35.25

Handler: viprotocol - {B658800C-F66E-4EF3-AB85-6C0C227862A9} - c:\program files\Common Files\AVG Secure Search\ViProtocolInstaller\10.2.0\ViProtocol.dll

DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} - hxxp://www.pixaco.nl/static/download/pixacodndupload.cab

DPF: {91F52A42-C10D-49A7-B941-882C657C604F} - hxxp://kitcentral.wanadoo.nl/download/install/win32/nl/instwact/instwact.dll

DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} - hxxp://as.photoprintit.de/ips-opdata/74914090/activex/IPSUploader4.cab

DPF: {E862C832-3A5F-4CEB-BFAA-167B22010A71} - hxxp://support.packardbell.com/files/activex/InfosFinder2.CAB

FF - ProfilePath - c:\documents and settings\Ron\Application Data\Mozilla\Firefox\Profiles\adl0edl8.default\

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: browser.startup.homepage - hxxp://nl.msn.com/?ocid=iehp

FF - prefs.js: keyword.URL - hxxp://isearch.avg.com/search?cid=%7Bc94b1c36-1991-4ad4-921e-b72c5e3d7b9d%7D&mid=d24a7c384e75230e84c00ced58a870f0-06ce4fc639803a2e3563922518183d8e94088cb9&ds=AVG&v=9.0.0.18.1〈=nl&pr=fr&d=2011-11-01%2016%3A25%3A38&sap=ku&q=

FF - user.js: network.http.max-connections-per-server - 8

FF - user.js: network.http.max-persistent-connections-per-server - 4

FF - user.js: nglayout.initialpaint.delay - 600

FF - user.js: content.notify.interval - 600000

FF - user.js: content.max.tokenizing.time - 1800000

FF - user.js: content.switch.threshold - 600000

.

- - - - ORPHANS VERWIJDERD - - - -

.

WebBrowser-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)

WebBrowser-{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - (no file)

SafeBoot-WudfPf

SafeBoot-WudfRd

AddRemove-Microsoft Interactive Training - c:\windows\IsUn0413.exe

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2012-04-05 21:48

Windows 5.1.2600 Service Pack 3 NTFS

.

scannen van verborgen processen ...

.

scannen van verborgen autostart items ...

.

scannen van verborgen bestanden ...

.

Scan succesvol afgerond

verborgen bestanden: 0

.

**************************************************************************

"ImagePath"="\"c:\apps\Powercinema\Kernel\TV\CLCapSvc.exe\"\00\00\00\00\02\00\00\000

[%\00«Ô‘|\00\00\00\00P\1f2\03\00\00\00\00 \1d2\03\00\00+\03pè\13\00pè\13\00À\01"

.

.

--------------------- VERGRENDELDE REGISTER SLEUTELS ---------------------

.

[HKEY_USERS\S-1-5-21-3729811165-971479950-3529006228-1006\Software\Microsoft\SystemCertificates\AddressBook*]

@Allowed: (Read) (RestrictedCode)

@Allowed: (Read) (RestrictedCode)

.

[HKEY_USERS\S-1-5-21-3729811165-971479950-3529006228-1006\Software\Policies\Microsoft\SystemCertificates\AddressBook*]

@Allowed: (Read) (S-1-5-21-3729811165-971479950-3529006228-1006)

@Allowed: (Read) (S-1-5-21-3729811165-971479950-3529006228-1006)

@Allowed: (Read) (RestrictedCode)

@Allowed: (Read) (RestrictedCode)

.

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•9~*]

"3140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

.

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–}|ÿÿÿÿÀ•}|ù•9~*]

"3140710900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

.

--------------------- DLLs Geladen Onder Lopende Processen ---------------------

.

- - - - - - - > 'winlogon.exe'(1460)

c:\program files\SUPERAntiSpyware\SASWINLO.DLL

c:\windows\system32\Ati2evxx.dll

.

- - - - - - - > 'explorer.exe'(3044)

c:\progra~1\WINDOW~2\wmpband.dll

c:\windows\system32\msls31.dll

c:\windows\system32\webcheck.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Andere Aktieve Processen ------------------------

.

c:\progra~1\AVG\AVG2012\avgrsx.exe

c:\program files\AVG\AVG2012\avgcsrvx.exe

c:\windows\system32\Ati2evxx.exe

c:\windows\system32\Ati2evxx.exe

c:\windows\RTHDCPL.EXE

c:\windows\system32\rundll32.exe

c:\program files\Bonjour\mDNSResponder.exe

c:\apps\Powercinema\Kernel\TV\CLCapSvc.exe

c:\program files\AVG\AVG2012\avgnsx.exe

c:\apps\Powercinema\Kernel\CLML_NTService\CLMLServer.exe

c:\program files\Java\jre6\bin\jqs.exe

c:\windows\System32\PAStiSvc.exe

c:\program files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

c:\program files\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe

c:\program files\Common Files\AVG Secure Search\vToolbarUpdater\10.2.0\ToolbarUpdater.exe

c:\program files\Windows Media Player\WMPNetwk.exe

c:\apps\Powercinema\Kernel\TV\CLSched.exe

.

**************************************************************************

.

Voltooingstijd: 2012-04-05 21:54:31 - machine werd herstart

ComboFix-quarantined-files.txt 2012-04-05 19:54

.

Pre-Run: 9.494.790.144 bytes beschikbaar

Post-Run: 9.602.072.576 bytes beschikbaar

.

- - End Of File - - 17C1C685C7C8AF143656B84549D17062

######################################################################

Ben benieuwd naar de vervolgacties, en niet onbelangrijk...

Ik ben uiterst tevreden over de hulp die mij hier geboden wordt.

Daar had ik zelf nooit uitgekomen. Hulde tot nu toe...

Gr,

Ron

Link naar reactie
Delen op andere sites

Dit is wat ik overigens steeds aantref in het AVG log. Een "TROJAANS PAARD"

##################################################################

"";"C:\WINDOWS\system32\winlogon.exe (1460):\memory_00c80000";"Trojaans paard PSW.Agent.AUET";"Geïnfecteerd"

"";"C:\WINDOWS\system32\winlogon.exe (1460)";"Trojaans paard PSW.Agent.AUET";"Geïnfecteerd"

"";"C:\WINDOWS\system32\svchost.exe (1960):\memory_006c0000";"Trojaans paard PSW.Agent.AUET";"Geïnfecteerd"

"";"C:\WINDOWS\system32\svchost.exe (1960)";"Trojaans paard PSW.Agent.AUET";"Geïnfecteerd"

"";"C:\WINDOWS\system32\svchost.exe (1880):\memory_00b30000";"Trojaans paard PSW.Agent.AUET";"Geïnfecteerd"

"";"C:\WINDOWS\system32\svchost.exe (1880)";"Trojaans paard PSW.Agent.AUET";"Geïnfecteerd"

"";"C:\WINDOWS\system32\svchost.exe (1808):\memory_00a80000";"Trojaans paard PSW.Agent.AUET";"Geïnfecteerd"

"";"C:\WINDOWS\system32\svchost.exe (1808)";"Trojaans paard PSW.Agent.AUET";"Geïnfecteerd"

"";"C:\WINDOWS\system32\svchost.exe (144):\memory_00640000";"Trojaans paard PSW.Agent.AUET";"Geïnfecteerd"

"";"C:\WINDOWS\system32\svchost.exe (144)";"Trojaans paard PSW.Agent.AUET";"Geïnfecteerd"

#################################################################

Als ik daarna op "ALLE NIET HERSTELDE ITEMS" druk, blijft het volgende over:

########################################################################

"";"C:\WINDOWS\system32\winlogon.exe (1460):\memory_00c80000";"Trojaans paard PSW.Agent.AUET";"Object is niet toegankelijk."

"";"C:\WINDOWS\system32\winlogon.exe (1460)";"Trojaans paard PSW.Agent.AUET";""

"";"C:\WINDOWS\system32\svchost.exe (1960):\memory_006c0000";"Trojaans paard PSW.Agent.AUET";"Object is niet toegankelijk."

"";"C:\WINDOWS\system32\svchost.exe (1960)";"Trojaans paard PSW.Agent.AUET";""

"";"C:\WINDOWS\system32\svchost.exe (1880):\memory_00b30000";"Trojaans paard PSW.Agent.AUET";"Object is niet toegankelijk."

"";"C:\WINDOWS\system32\svchost.exe (1880)";"Trojaans paard PSW.Agent.AUET";""

"";"C:\WINDOWS\system32\svchost.exe (1808):\memory_00a80000";"Trojaans paard PSW.Agent.AUET";"Object is niet toegankelijk."

"";"C:\WINDOWS\system32\svchost.exe (1808)";"Trojaans paard PSW.Agent.AUET";""

"";"C:\WINDOWS\system32\svchost.exe (144):\memory_00640000";"Trojaans paard PSW.Agent.AUET";"Object is niet toegankelijk."

"";"C:\WINDOWS\system32\svchost.exe (144)";"Trojaans paard PSW.Agent.AUET";""

###########################################################################

Is dat een ernstige bedreiging? Op "Google" vind ik niets over deze Trojan PSW.Agent.AUET, en wordt deze blijkbaar door alle tot nu toe gedane scans ook niet als hinderlijk/gevaarlijk gezien.

Maar dat 'ie in svchost.exe zit, zit me niet helemaal lekker....

Maar wat vinden de experts?? Ik hoor het graag.

Gr,

Ron

Link naar reactie
Delen op andere sites

Nee, geen idee waarvoor deze dient. Er zit een map in genaamd "Virus", en daarin een leeg document "WatchService.txt".

Ik heb de hele map met inhoud naar de prullenbak verwezen.

Het opstarten ging vandaag weer erg traag. Tussen het Windows logo, met de blauwe loopbalk en het windows "WELKOM"scherm, bleef de laptop "hangen", en moest ik de computer handmatig uitschakelen en weer opnieuw opstarten. Daarna ging het goed, maar duurde het weer erg lang voordat alle icons weer op het buroblad stonden (>5 minuten) Allen de achtergrond was er snel, maar het laden van de icons duurde dus zo lang. En wederom die Trojan PSW.Agent.AUET die door AVG werd gedetecteerd in svchost.exe bestanden.

Is er al een analyse van mijn ComboFix bestand uit post #12 ??

aangepast door RMB24
Aanvulling.
Link naar reactie
Delen op andere sites

Ik wou eerst duidelijkheid over die ene map om deze eventueel mee te nemen in de fix, maar je hebt hem dus zelf al verwijderd.

Open een nieuw kladblokbestand.

Kopieer en plak daarin de onderstaande vetgedrukte tekst.

File::

c:\windows\system.tmp

c:\windows\win.tmp

c:\windows\system32\drivers\ysnii.sys

Folder::

c:\program files\Conduit

c:\documents and settings\Ron\Local Settings\Application Data\Conduit

c:\documents and settings\All Users\Application Data\{32364CEA-7855-4A3C-B674-53D8E9B97936}

Driver::

ysnii.sys

FCOPY::

c:\windows\ServicePackFiles\i386\winlogon.exe |c:\windows\System32\winlogon.exe

c:\windows\ServicePackFiles\i386\svchost.exe |c:\windows\System32\svchost.exe

Sla dit bestand op je bureaublad op als CFScript

Sleep CFScript.txt in ComboFix.exe

Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt.

Post na herstart de inhoud van de Combofix.txt in je volgende bericht

Wat zegt AVG nu nog?

Link naar reactie
Delen op andere sites

Hierbij de logfile:

ComboFix 12-04-08.01 - Ron 09-04-2012 1:27.2.1 - x86

Microsoft Windows XP Home Edition 5.1.2600.3.1252.31.1043.18.1918.1387 [GMT 2:00]

Gestart vanuit: c:\documents and settings\Ron\Bureaublad\ComboFix.exe

gebruikte Opdracht switches :: c:\documents and settings\Ron\Bureaublad\CFScript.txt

AV: AVG Anti-Virus Free Edition 2012 *Disabled/Updated* {17DDD097-36FF-435F-9E1B-52D74245D6BF}

AV: Microsoft Security Essentials *Disabled/Updated* {BCF43643-A118-4432-AEDE-D861FCBCFCDF}

FW: Norton Internet Worm Protection *Disabled* {990F9400-4CEE-43EA-A83A-D013ADD8EA6E}

.

FILE ::

"c:\windows\system.tmp"

"c:\windows\system32\drivers\ysnii.sys"

"c:\windows\win.tmp"

.

.

(((((((((((((((((((((((((((((((((( Andere Verwijderingen )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\documents and settings\All Users\Application Data\{32364CEA-7855-4A3C-B674-53D8E9B97936}

c:\documents and settings\All Users\Application Data\{32364CEA-7855-4A3C-B674-53D8E9B97936}\{D3742F82-1C1A-4DCC-ABBD-0E831C0185CC}.msi

c:\documents and settings\Ron\Local Settings\Application Data\Conduit

c:\documents and settings\Ron\Local Settings\Application Data\Conduit\Community Alerts\Dialogs\AppNotificationDialog\AppNotification.js

c:\documents and settings\Ron\Local Settings\Application Data\Conduit\Community Alerts\Dialogs\AppNotificationDialog\Images\dark\close.png

c:\documents and settings\Ron\Local Settings\Application Data\Conduit\Community Alerts\Dialogs\AppNotificationDialog\Images\dark\Next.png

c:\documents and settings\Ron\Local Settings\Application Data\Conduit\Community Alerts\Dialogs\AppNotificationDialog\Images\dark\Next_hover.png

c:\documents and settings\Ron\Local Settings\Application Data\Conduit\Community Alerts\Dialogs\AppNotificationDialog\Images\dark\powered-by.png

c:\documents and settings\Ron\Local Settings\Application Data\Conduit\Community Alerts\Dialogs\AppNotificationDialog\Images\dark\Prev.png

c:\documents and settings\Ron\Local Settings\Application Data\Conduit\Community Alerts\Dialogs\AppNotificationDialog\Images\dark\Prev_hover.png

c:\documents and settings\Ron\Local Settings\Application Data\Conduit\Community Alerts\Dialogs\AppNotificationDialog\Images\dark\settings.png

c:\documents and settings\Ron\Local Settings\Application Data\Conduit\Community Alerts\Dialogs\AppNotificationDialog\Images\light\close.png

c:\documents and settings\Ron\Local Settings\Application Data\Conduit\Community Alerts\Dialogs\AppNotificationDialog\Images\light\Next.png

c:\documents and settings\Ron\Local Settings\Application Data\Conduit\Community Alerts\Dialogs\AppNotificationDialog\Images\light\Next_hover.png

c:\documents and settings\Ron\Local Settings\Application Data\Conduit\Community Alerts\Dialogs\AppNotificationDialog\Images\light\powered-by.png

c:\documents and settings\Ron\Local Settings\Application Data\Conduit\Community Alerts\Dialogs\AppNotificationDialog\Images\light\Prev.png

c:\documents and settings\Ron\Local Settings\Application Data\Conduit\Community Alerts\Dialogs\AppNotificationDialog\Images\light\Prev_hover.png

c:\documents and settings\Ron\Local Settings\Application Data\Conduit\Community Alerts\Dialogs\AppNotificationDialog\Images\light\settings.png

c:\documents and settings\Ron\Local Settings\Application Data\Conduit\Community Alerts\Dialogs\AppNotificationDialog\Images\light\Thumbs.db

c:\documents and settings\Ron\Local Settings\Application Data\Conduit\Community Alerts\Dialogs\AppNotificationDialog\Images\Thumbs.db

c:\documents and settings\Ron\Local Settings\Application Data\Conduit\Community Alerts\Dialogs\AppNotificationDialog\initialNotification.html

c:\documents and settings\Ron\Local Settings\Application Data\Conduit\Community Alerts\Dialogs\AppNotificationDialog\main.html

c:\documents and settings\Ron\Local Settings\Application Data\Conduit\Community Alerts\Dialogs\AppNotificationDialog\NotificationDialogStyle.css

c:\documents and settings\Ron\Local Settings\Application Data\Conduit\Community Alerts\Dialogs\AppNotificationDialog\sampleNotification.html

c:\documents and settings\Ron\Local Settings\Application Data\Conduit\Community Alerts\Dialogs\DialogsAPI.js

c:\documents and settings\Ron\Local Settings\Application Data\Conduit\Community Alerts\Dialogs\PIE.htc

c:\documents and settings\Ron\Local Settings\Application Data\Conduit\Community Alerts\Dialogs\settings.js

c:\documents and settings\Ron\Local Settings\Application Data\Conduit\Community Alerts\Dialogs\version.txt

c:\documents and settings\Ron\Local Settings\Application Data\Conduit\Community Alerts\DynamicDialogs.zip

c:\documents and settings\Ron\Local Settings\Application Data\Conduit\Community Alerts\Feeds\http___alerts_conduit-services_com_root_1613210_1606743_NL.xml

c:\documents and settings\Ron\Local Settings\Application Data\Conduit\Community Alerts\LanguagePacks\en.xml

c:\documents and settings\Ron\Local Settings\Application Data\Conduit\Toolbar\Facebook\http___facebook_conduit-services_com_Settings_ashx_locale=en&browserType=IE&toolbarVersion=6_8_8_8.xml

c:\program files\Conduit

c:\program files\Conduit\Community Alerts\Alert.dll

c:\windows\system.tmp

c:\windows\win.tmp

.

.

--------------- FCopy ---------------

.

c:\windows\ServicePackFiles\i386\winlogon.exe --> c:\windows\System32\winlogon.exe

c:\windows\ServicePackFiles\i386\svchost.exe --> c:\windows\System32\svchost.exe

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

-------\Legacy_YSNII.SYS

-------\Service_xcpip

-------\Service_ysnii.sys

.

.

(((((((((((((((((((( Bestanden Gemaakt van 2012-03-08 to 2012-04-08 ))))))))))))))))))))))))))))))

.

.

2012-04-08 23:42 . 2012-04-08 23:42 -------- d--h--r- c:\documents and settings\Ron\Onlangs geopend

2012-04-03 10:07 . 2012-04-03 10:07 -------- d-----w- c:\documents and settings\Ron\Application Data\Malwarebytes

2012-04-03 10:07 . 2012-04-03 10:07 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2012-04-03 10:07 . 2011-12-10 13:24 20464 ----a-w- c:\windows\system32\drivers\mbam.sys

2012-04-03 10:07 . 2012-04-03 10:07 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2012-04-02 22:03 . 2012-04-02 22:03 -------- d-----w- c:\documents and settings\Ron\Application Data\SUPERAntiSpyware.com

2012-04-02 22:02 . 2012-04-02 22:03 -------- d-----w- c:\program files\SUPERAntiSpyware

2012-04-02 22:02 . 2012-04-02 22:02 -------- d-----w- c:\documents and settings\All Users\Application Data\SUPERAntiSpyware.com

2012-04-02 14:16 . 2012-04-02 14:16 388096 ----a-r- c:\documents and settings\Ron\Application Data\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe

2012-04-02 14:16 . 2012-04-02 14:16 -------- d-----w- c:\program files\Trend Micro

2012-03-31 15:45 . 2012-03-31 16:11 418464 ----a-w- c:\windows\system32\FlashPlayerApp.exe

2012-03-30 22:46 . 2012-03-30 22:46 -------- d-----w- c:\program files\CCleaner

2012-03-30 14:50 . 2012-04-02 22:01 -------- d-----w- c:\program files\Spyware Doctor

2012-03-29 19:15 . 2012-03-29 19:45 -------- d-----w- c:\documents and settings\All Users\Application Data\clp

2012-03-22 15:38 . 2012-03-22 15:38 -------- d-----w- c:\documents and settings\LocalService\Application Data\TuneUp Software

2012-03-16 20:16 . 2012-03-16 20:16 592824 ----a-w- c:\program files\Mozilla Firefox\gkmedias.dll

2012-03-16 20:16 . 2012-03-16 20:16 44472 ----a-w- c:\program files\Mozilla Firefox\mozglue.dll

2012-03-15 15:36 . 2012-03-16 13:25 -------- d-----w- c:\documents and settings\Ron\Application Data\TuneUp Software

2012-03-15 15:35 . 2012-03-15 15:37 -------- d-----w- c:\documents and settings\All Users\Application Data\TuneUp Software

.

.

.

((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-03-31 16:11 . 2011-05-24 17:28 70304 -c--a-w- c:\windows\system32\FlashPlayerCPLApp.cpl

2012-02-03 09:57 . 2004-09-10 16:23 1860224 ----a-w- c:\windows\system32\win32k.sys

2012-01-11 19:07 . 2012-02-14 21:46 3072 ------w- c:\windows\system32\iacenc.dll

2008-05-29 20:38 . 2008-05-29 20:38 4374016 -c--a-w- c:\program files\openofficeorg24.msi

2002-03-11 09:06 . 2002-03-11 09:06 1822520 -c--a-w- c:\program files\instmsiw.exe

2002-03-11 08:45 . 2002-03-11 08:45 1708856 -c--a-w- c:\program files\instmsia.exe

2012-03-16 20:16 . 2011-10-02 18:50 97208 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll

.

.

((((((((((((((((((((((((((((( SnapShot@2012-04-05_19.44.24 )))))))))))))))))))))))))))))))))))))))))

.

+ 1601-01-01 00:00 . 1601-01-01 00:00 0 c:\windows\Temp\Perflib_Perfdata_b2c.dat

+ 2012-04-08 23:43 . 2012-04-08 23:43 16384 c:\windows\Temp\Perflib_Perfdata_b4.dat

+ 2004-09-10 16:23 . 2008-04-14 17:03 14336 c:\windows\system32\dllcache\svchost.exe

+ 2012-02-23 19:42 . 2012-04-08 23:08 129592 c:\windows\system32\Restore\rstrlog.dat

+ 2004-09-10 16:23 . 2008-04-14 17:03 510464 c:\windows\system32\dllcache\winlogon.exe

+ 2012-04-08 21:24 . 2012-04-08 21:24 2208768 c:\windows\Installer\cef1e.msi

.

((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond

REGEDIT4

.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{95B7759C-8C7F-4BF1-B163-73684A933233}]

2012-03-12 19:21 1869152 ----a-w- c:\program files\AVG Secure Search\10.2.0.3\AVG Secure Search_toolbar.dll

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{95B7759C-8C7F-4BF1-B163-73684A933233}"= "c:\program files\AVG Secure Search\10.2.0.3\AVG Secure Search_toolbar.dll" [2012-03-12 1869152]

.

[HKEY_CLASSES_ROOT\clsid\{95b7759c-8c7f-4bf1-b163-73684a933233}]

[HKEY_CLASSES_ROOT\AVG Secure Search.PugiObj.1]

[HKEY_CLASSES_ROOT\AVG Secure Search.PugiObj]

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-05-29 68856]

"ccleaner"="c:\program files\CCleaner\CCleaner.exe" [2012-03-27 2773824]

"SUPERAntiSpyware"="c:\program files\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2012-03-07 3905920]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"vProt"="c:\program files\AVG Secure Search\vprot.exe" [2012-03-12 982880]

"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-04-28 766041]

"SkyTel"="SkyTel.EXE" [2006-05-16 2879488]

"RTHDCPL"="RTHDCPL.EXE" [2006-07-21 16261632]

"ROC_roc_dec12"="c:\program files\AVG Secure Search\ROC_roc_dec12.exe" [2012-01-16 928096]

"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952]

"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2010-06-09 49208]

"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]

"AzMixerSel"="c:\program files\Realtek\InstallShield\AzMixerSel.exe" [2005-06-11 53248]

"AVG_TRAY"="c:\program files\AVG\AVG2012\avgtray.exe" [2012-01-24 2416480]

"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

.

c:\documents and settings\All Users\Menu Start\Programma's\Opstarten\

HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2004-5-28 241664]

.

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2011-07-19 113024]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]

2011-05-04 17:54 551296 ----a-w- c:\program files\SUPERAntiSpyware\SASWINLO.DLL

.

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]

BootExecute REG_MULTI_SZ autocheck autochk *\0c:\progra~1\AVG\AVG2012\avgrsx.exe /sync /restart

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\!SASCORE]

@=""

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]

@="Service"

.

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programma's^Opstarten^Adobe Reader Snelle start.lnk]

backup=c:\windows\pss\Adobe Reader Snelle start.lnkCommon Startup

.

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programma's^Opstarten^Google Updater.lnk]

backup=c:\windows\pss\Google Updater.lnkCommon Startup

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"SysmonLog"=3 (0x3)

"RSVP"=3 (0x3)

"mnmsrvc"=3 (0x3)

"Alerter"=2 (0x2)

.

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"Skype"="c:\apps\skype\phone\Skype.exe" /nosplash /minimized

"SmpcSys"=c:\apps\SMP\SmpSys.exe

"NokiaOviSuite2"=c:\program files\Nokia\Nokia Ovi Suite\NokiaOviSuite.exe -tray

"WMPNSCFG"=c:\program files\Windows Media Player\WMPNSCFG.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" -atboottime

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

"PCMService"="c:\apps\Powercinema\PCMService.exe"

"PHIME2002ASync"=c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

"PHIME2002A"=c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

"ISUSPM Startup"=c:\progra~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe -startup

"DetectorApp"=c:\program files\Sonic\DigitalMedia LE v7\MyDVD LE\DetectorApp.exe

"HP Component Manager"="c:\program files\HP\hpcoretech\hpcmpmgr.exe"

"NokiaMServer"=c:\program files\Common Files\Nokia\MPlatform\NokiaMServer /watchfiles startup

"ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" -start

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\WINDOWS\\system32\\mshta.exe"=

"c:\\WINDOWS\\system32\\dpvsetup.exe"=

"c:\\Program Files\\FileZilla FTP Client\\filezilla.exe"=

"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"c:\\Program Files\\Java\\jre6\\bin\\java.exe"=

"c:\\Program Files\\Nokia\\Nokia Software Updater\\nsu_ui_client.exe"=

"c:\\Program Files\\Common Files\\Nokia\\Service Layer\\A\\nsl_host_process.exe"=

"c:\\Program Files\\Google\\Google Earth\\plugin\\geplugin.exe"=

"c:\\Program Files\\IVT Corporation\\BlueSoleil\\BlueSoleil_.exe"=

"c:\\Program Files\\AVG\\AVG2012\\avgmfapx.exe"=

"c:\\Program Files\\Microsoft Office\\OFFICE11\\WINWORD.EXE"=

"c:\\Program Files\\AVG\\AVG2012\\avgnsx.exe"=

"c:\\Program Files\\AVG\\AVG2012\\avgdiagex.exe"=

"c:\\Program Files\\AVG\\AVG2012\\avgemcx.exe"=

"c:\\APPS\\skype\\phone\\Skype.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3389:TCP"= 3389:TCP:Remote Desktop

"65533:TCP"= 65533:TCP:Services

"52344:TCP"= 52344:TCP:Services

.

R0 AVGIDSEH;AVGIDSEH;c:\windows\system32\drivers\AVGIDSEH.sys [13-9-2010 17:27 23120]

R0 Avgrkx86;AVG Anti-Rootkit Driver;c:\windows\system32\drivers\avgrkx86.sys [7-9-2010 4:48 32592]

R1 Avgldx86;AVG AVI Loader Driver;c:\windows\system32\drivers\avgldx86.sys [7-9-2010 4:48 230608]

R1 Avgtdix;AVG TDI Driver;c:\windows\system32\drivers\avgtdix.sys [7-9-2010 4:49 295248]

R3 AVGIDSDriver;AVGIDSDriver;c:\windows\system32\drivers\AVGIDSDriver.sys [19-8-2010 22:42 134608]

R3 AVGIDSFilter;AVGIDSFilter;c:\windows\system32\drivers\AVGIDSFilter.sys [19-8-2010 22:42 24272]

R3 AVGIDSShim;AVGIDSShim;c:\windows\system32\drivers\AVGIDSShim.sys [19-8-2010 22:42 16720]

S3 AVFSFilter;AVFSFilter;c:\windows\system32\DRIVERS\avfsfilter.sys --> c:\windows\system32\DRIVERS\avfsfilter.sys [?]

.

--- Andere Services/Drivers In Geheugen ---

.

*Deregistered* - xcpip

.

Inhoud van de 'Gedeelde Taken' map

.

2012-04-08 c:\windows\Tasks\Adobe Flash Player Updater.job

- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-03-31 16:11]

.

2012-03-30 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2011-06-01 15:57]

.

2012-04-08 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-06 22:43]

.

2012-04-08 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-06 22:43]

.

2012-03-31 c:\windows\Tasks\MalAware.job

- c:\documents and settings\Ron\Mijn documenten\Mijn ontvangen bestanden\MalAware.exe [2012-03-31 19:31]

.

2011-09-05 c:\windows\Tasks\Schijfopruiming.job

- c:\windows\system32\cleanmgr.exe [2004-09-10 17:02]

.

2012-04-08 c:\windows\Tasks\User_Feed_Synchronization-{8A94A62F-49C4-4AF7-9F6A-5543484A913E}.job

- c:\windows\system32\msfeedssync.exe [2006-10-17 02:31]

.

.

------- Bijkomende Scan -------

.

uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8

uInternet Settings,ProxyOverride = *.local

uSearchAssistant = hxxp://www.google.com/ie

uSearchURL,(Default) = hxxp://us.rd.yahoo.com/clientapps/AutoSearch/SearchUrl/YSetSearch/*Yahoo! Nederland

IE: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

IE: E&xporteren naar Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

Trusted Zone: microsoft.com\update

Trusted Zone: ziggo.nl\thuishelp

TCP: DhcpNameServer = 212.54.40.25 212.54.35.25

Handler: viprotocol - {B658800C-F66E-4EF3-AB85-6C0C227862A9} - c:\program files\Common Files\AVG Secure Search\ViProtocolInstaller\10.2.0\ViProtocol.dll

DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} - hxxp://www.pixaco.nl/static/download/pixacodndupload.cab

DPF: {91F52A42-C10D-49A7-B941-882C657C604F} - hxxp://kitcentral.wanadoo.nl/download/install/win32/nl/instwact/instwact.dll

DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} - hxxp://as.photoprintit.de/ips-opdata/74914090/activex/IPSUploader4.cab

DPF: {E862C832-3A5F-4CEB-BFAA-167B22010A71} - hxxp://support.packardbell.com/files/activex/InfosFinder2.CAB

FF - ProfilePath - c:\documents and settings\Ron\Application Data\Mozilla\Firefox\Profiles\adl0edl8.default\

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: browser.startup.homepage - hxxp://nl.msn.com/?ocid=iehp

FF - prefs.js: keyword.URL - hxxp://isearch.avg.com/search?cid=%7Bc94b1c36-1991-4ad4-921e-b72c5e3d7b9d%7D&mid=d24a7c384e75230e84c00ced58a870f0-06ce4fc639803a2e3563922518183d8e94088cb9&ds=AVG&v=9.0.0.18.1〈=nl&pr=fr&d=2011-11-01%2016%3A25%3A38&sap=ku&q=

FF - user.js: network.http.max-connections-per-server - 8

FF - user.js: network.http.max-persistent-connections-per-server - 4

FF - user.js: nglayout.initialpaint.delay - 600

FF - user.js: content.notify.interval - 600000

FF - user.js: content.max.tokenizing.time - 1800000

FF - user.js: content.switch.threshold - 600000

.

- - - - ORPHANS VERWIJDERD - - - -

.

SafeBoot-Wdf01000.sys

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2012-04-09 01:45

Windows 5.1.2600 Service Pack 3 NTFS

.

scannen van verborgen processen ...

.

scannen van verborgen autostart items ...

.

scannen van verborgen bestanden ...

.

Scan succesvol afgerond

verborgen bestanden: 0

.

**************************************************************************

"ImagePath"="\"c:\apps\Powercinema\Kernel\TV\CLCapSvc.exe\"\00\00\00\00\02\00\00\000

[%\00«Ô‘|\00\00\00\00P\1f2\03\00\00\00\00 \1d2\03\00\00+\03pè\13\00pè\13\00À\01"

.

.

--------------------- VERGRENDELDE REGISTER SLEUTELS ---------------------

.

[HKEY_USERS\S-1-5-21-3729811165-971479950-3529006228-1006\Software\Microsoft\SystemCertificates\AddressBook*]

@Allowed: (Read) (RestrictedCode)

@Allowed: (Read) (RestrictedCode)

.

[HKEY_USERS\S-1-5-21-3729811165-971479950-3529006228-1006\Software\Policies\Microsoft\SystemCertificates\AddressBook*]

@Allowed: (Read) (S-1-5-21-3729811165-971479950-3529006228-1006)

@Allowed: (Read) (S-1-5-21-3729811165-971479950-3529006228-1006)

@Allowed: (Read) (RestrictedCode)

@Allowed: (Read) (RestrictedCode)

.

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•9~*]

"3140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

.

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–}|ÿÿÿÿÀ•}|ù•9~*]

"3140710900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

.

--------------------- DLLs Geladen Onder Lopende Processen ---------------------

.

- - - - - - - > 'winlogon.exe'(1140)

c:\program files\SUPERAntiSpyware\SASWINLO.DLL

c:\windows\system32\Ati2evxx.dll

.

- - - - - - - > 'explorer.exe'(2580)

c:\progra~1\WINDOW~2\wmpband.dll

c:\windows\system32\msls31.dll

c:\windows\system32\webcheck.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Andere Aktieve Processen ------------------------

.

c:\progra~1\AVG\AVG2012\avgrsx.exe

c:\program files\AVG\AVG2012\avgcsrvx.exe

c:\windows\system32\Ati2evxx.exe

c:\windows\system32\Ati2evxx.exe

c:\windows\RTHDCPL.EXE

c:\windows\system32\rundll32.exe

c:\program files\SUPERAntiSpyware\SASCORE.EXE

c:\program files\AVG\AVG2012\avgwdsvc.exe

c:\program files\Microsoft\BingBar\BBSvc.EXE

c:\program files\Microsoft\BingBar\SeaPort.EXE

c:\program files\Bonjour\mDNSResponder.exe

c:\apps\Powercinema\Kernel\TV\CLCapSvc.exe

c:\apps\Powercinema\Kernel\CLML_NTService\CLMLServer.exe

c:\program files\AVG\AVG2012\avgnsx.exe

c:\program files\Java\jre6\bin\jqs.exe

c:\windows\System32\PAStiSvc.exe

c:\program files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

c:\program files\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe

c:\program files\Common Files\AVG Secure Search\vToolbarUpdater\10.2.0\ToolbarUpdater.exe

c:\program files\Windows Media Player\WMPNetwk.exe

c:\apps\Powercinema\Kernel\TV\CLSched.exe

c:\program files\AVG\AVG2012\AVGIDSAgent.exe

.

**************************************************************************

.

Voltooingstijd: 2012-04-09 01:51:17 - machine werd herstart

ComboFix-quarantined-files.txt 2012-04-08 23:51

ComboFix2.txt 2012-04-05 19:54

.

Pre-Run: 9.479.819.264 bytes beschikbaar

Post-Run: 9.443.917.824 bytes beschikbaar

.

- - End Of File - - FA6FEB1D483B62426FFFAD32A661E9BA

###########################################################################

Ik krijg nu na het opstarten van Firefox en Windows Live Mail constant waarschuwings berichten (zonder inhoud) van AVG Resident Shield.

Deze berichten zijn NIET weg te klikken [verschijnen telkens weer] en hebben te maken met IE Explorer.

De details van het bericht zijn:

Procesnaam: C:\Program Files\Internet Explorer\iexplore.exe

Proces-ID 4896

Hoe kom ik daar nu weer vanaf???? Opnieuw opstarten??? Zal het eens proberen.

Voor de goede orde: Firefox is mijn preferred browser, maar na ComboFix wordt Windows IE automatisch opgestart als ik de link volg vanuit mijn mailbox, en dan begint de ellende met deze AVG meldingen.

Ik heb Firefox weer als preferred browser ingesteld, en zal opnieuw opstarten. Als die meldingen dan wegblijven of weer terugkomen, zal ik het hier melden.....

Gr,

Ron

NB: Na de herstart blijft de PC weer "hangen", tussen windows logo en welkom scherm.

[zwart scherm met onbeweegelijke cursor]

Na het geforceerd herstarten, krijg ik het tussenscherm, waarbij ik diverse mogelijkheden krijg, o.a. veilige modus in diverse varianten, en de optie om op te starten zoals windows het nog wel goed deed.

Dat heb ik gedaan, en dan komt na het welkoms scherm mijn buroblad achtergrond, en duurt het ruim 4 minuten voordat alle icons weer op het scherm staan, en ik verder kan.

Dan krijg ik eerst weer AVG waarschuwingen over bedreigende "cookies"van o.a. adtmt.com, die gestart worden met MSN.

Ik heb het gevoel dat ik tot nu toe niet erg veel ben opgeschoten, maar eerlijk is eerlijk: slechter is het ook niet geworden, maar.......wat nu???

Gr,

Ron

aangepast door RMB24
Melding na herstart toegevoegd.
Link naar reactie
Delen op andere sites

Verwijder Combofix: Start -> Uitvoeren en typ: ComboFix /Uninstall (met spatie voor de /)

Dit zal Combofix verwijderen + gerelateerde mappen en bestanden, herstelt de klokinstellingen opnieuw, verbergt de bestandsextensies, gaat verborgen bestanden en systeembestanden terug verbergen en maakt een nieuw herstelpunt.

Indien aanwezig mag je de map C:\Qoobox manueel verwijderen.

AVG kan je toch instellen dat bedreigende cookies in quarantaine geplaatst worden zonder melding te geven.

Open AVG en ga naar extra - geavanceerde instellingen

Klik dan in de linker kolom op de + bij antivirus; klik dan op resident shield.

Doe het vinkje weg bij vragen voor het verwijderen van bedreigingen

Sluit de instellingen af met OK

Sluit AVG.

Laat AVG een volledige scan doen.

Zitten er nu nog trojaanse paarden in winlogon en svchost?

Link naar reactie
Delen op andere sites

AVG startte vandaag zelf de volledige scan (ingesteld op Zondagen) nog voordat Combofix verwijdert werd.

Dit zijn de resultaten, en de paarden zijn er nog steeds.

Heb ComboFix nu verwijdert, en de AVG ingesteld zoals voorgesteld, en zal dan nog eens laten scannen, en de resultaten hier weer laten zien.

Opstarten duurde weer erg lang. De C:\Qoobox was niet meer aanwezig!

post-32580-1417704861,9918_thumb.jpg

=====================================================================

Update total scan na verwijdering ComboFix.

post-32580-1417704862,8821_thumb.jpg

Details Infecties Waarschuwingen

Eigenlijk is er in het hele proces vanaf het begin tot nu toe, 1 constante factor: De trojaanse paarden, die nog steeds niet zijn verdwenen.

Op naar de volgende actie??

Gr,

Ron

post-32580-1417704862,8113_thumb.jpg

post-32580-1417704862,8477_thumb.jpg

aangepast door RMB24
AVG bestand ingevoegd
Link naar reactie
Delen op andere sites

Download de Emsisoft Emergency Kit naar het bureaublad en pak het ZIP bestand uit.

  • Open de map "EmsisoftEmergencyKit" en dubbelklik op "Start.exe"
  • Klik nu op "Emergency Kit Scanner" u krijg nu een melding dat het is aanbevolen om eerst te updaten sta dit toe door te klikken op "Ja"
    EmsisoftEK11.jpg
  • Als de update gereed is en de melding "Update process is succesvol afgerond" verschijnt klikt u op "menu" en dan op "Scan PC"
  • Selecteer de optie "Diep" als deze niet standaard al zo is ingesteld.
  • Klik Nu op de knop "Scan" en doe verder niets op de computer tijdens het scannen, deze scan kan een geruime tijd in beslag nemen dus wacht dit geduldig af.
  • Het venster met de waarschuwing over een verhoogd risico kunt u sluiten als de scan gereed is.
  • Zorg ervoor dat alle gevonden items zijn aangevinkt en druk dan op de knop "verwijder geselecteerde" u zal nu de volgende melding krijgen maar klik hier op "Ja"
    EmsisoftEK2.jpg
  • Als het verwijderen gereed is klikt u op de knop "Rapport bekijken" en selecteert u het tekstbestand van deze scan met de naam zoals: a2scan_110730-111615.txt
  • Plaats de inhoud van dit LOG bestand straks in uw volgende bericht.
  • Herstart nu de computer.

Link naar reactie
Delen op andere sites

Gast
Dit topic is nu gesloten voor nieuwe reacties.

×
×
  • Nieuwe aanmaken...

Belangrijke informatie

We hebben cookies geplaatst op je toestel om deze website voor jou beter te kunnen maken. Je kunt de cookie instellingen aanpassen, anders gaan we er van uit dat het goed is om verder te gaan.