Mystart Incredibar shit verwijderen: wie kan mij helpen?

lexr · 28 augustus 2012

Ha kape, asus,

Dank!

Heb instructies gevolgd (volgens mij), maar helaas is mystart nog steeds aanwezig.

Ik had wel tijfels of ik de eerste 2 intructies goed heb uitgevoerd. Ik heb de vette regels letterlijk ingestikt bij Styart - Uitvoeren etc:

sc stop "Web Assistant Updater" (daarna op enter gedrukt)

sc delete "Web Assistant Updater" (idem)

Beied keren verscheen een zwart schermpje in een flits. Klopt dat?

mbam log is nu:

Malwarebytes Anti-Malware (Versión de Prueba) 1.62.0.1300

Malwarebytes : Free anti-malware download

Versión de la Base de Datos: v2012.08.28.04

Windows XP Service Pack 2 x86 NTFS

Internet Explorer 8.0.6001.18702

Arietman :: ALEX [administrador]

Protección: Habilitado

28/08/2012 11:45:23

mbam-log-2012-08-28 (11-45-23).txt

Tipos de Análisis: Análisis Rápido

Opciones de análisis desactivados: P2P

Objetos examinados: 211344

Tiempo transcurrido: 8 minuto(s), 49 segundo(s)

Procesos en Memoria Detectados: 0

(No se han detectado elementos maliciosos)

Módulos de Memoria Detectados: 0

(No se han detectado elementos maliciosos)

Claves del Registro Detectados: 0

(No se han detectado elementos maliciosos)

Valores del Registro Detectados: 0

(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Detectados: 2

HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Malo: (1) Bueno: (0) -> En cuarentena y reparado con éxito.

HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Malo: (1) Bueno: (0) -> En cuarentena y reparado con éxito.

Carpetas Detectadas: 0

(No se han detectado elementos maliciosos)

Archivos Detectados: 1

C:\WINDOWS\nigzss.txt (Malware.Trace) -> En cuarentena y eliminado con éxito.

fin)

HijackThis log:

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 12:46:04, on 28/08/2012

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\eEBSVC.exe

C:\Archivos de programa\Archivos comunes\ABBYY\FineReaderSprint\9.00\Licensing\NetworkLicenseServer.exe

C:\Archivos de programa\Java\jre6\bin\jqs.exe

C:\Archivos de programa\Malwarebytes' Anti-Malware\mbamservice.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Archivos de programa\VIAudioi\SBADeck\ADeck.exe

C:\WINDOWS\system32\VTTimer.exe

C:\WINDOWS\system32\VTtrayp.exe

C:\Archivos de programa\Browser MOUSE\mouse32a.exe

C:\Archivos de programa\NOBRAND\802.11g Wireless USB Adapter\PRISMSVR.EXE

C:\Archivos de programa\USB Disk Win98 Driver\Res.EXE

C:\Archivos de programa\Epson Software\Event Manager\EEventManager.exe

C:\program files\real\realplayer\update\realsched.exe

C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe

C:\Archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe

C:\Archivos de programa\Malwarebytes' Anti-Malware\mbamgui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIGAE.EXE

C:\Archivos de programa\NOBRAND\802.11g Wireless USB Adapter\NB11GUTI.exe

C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Documents and Settings\Arietman\Datos de programa\Dropbox\bin\Dropbox.exe

C:\Archivos de programa\Archivos comunes\Nikon\Monitor\NkMonitor.exe

C:\Archivos de programa\OpenOffice.org 2.2\program\soffice.exe

C:\Archivos de programa\OpenOffice.org 2.2\program\soffice.BIN

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Mozilla Firefox\plugin-container.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Archivos de programa\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Hotmail, Messenger, het laatste nieuws en entertainment | MSN.NL

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Hotmail, Messenger, het laatste nieuws en entertainment | MSN.NL

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Yahoo! Nederland

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1:9421;<local>

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Documents and Settings\All Users\Datos de programa\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre6\bin\ssv.dll

O2 - BHO: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Archivos de programa\Epson Software\Easy Photo Print\EPTBL.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Archivos de programa\Epson Software\Easy Photo Print\EPTBL.dll

O4 - HKLM\..\Run: [AudioDeck] C:\Archivos de programa\VIAudioi\SBADeck\ADeck.exe 1

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Archivos de programa\Browser MOUSE\mouse32a.exe

O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Archivos de programa\NOBRAND\802.11g Wireless USB Adapter\PRISMSVR.EXE" /APPLY

O4 - HKLM\..\Run: [uSB Storage Toolbox] C:\Archivos de programa\USB Disk Win98 Driver\Res.EXE

O4 - HKLM\..\Run: [EEventManager] "C:\Archivos de programa\Epson Software\Event Manager\EEventManager.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\program files\real\realplayer\update\realsched.exe" -osboot

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Archivos de programa\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [YouSendIt.exe] C:\Archivos de programa\YouSendIt\Express\YouSendIt.exe -ui none

O4 - HKCU\..\Run: [Akamai NetSession Interface] "C:\Documents and Settings\Arietman\Configuración local\Datos de programa\Akamai\netsession_win.exe"

O4 - HKCU\..\Run: [Epson Stylus SX525WD(Red)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIGAE.EXE /FU "C:\WINDOWS\TEMP\E_S28B.tmp" /EF "HKCU"

O4 - HKCU\..\Run: [bubble Dock] "C:\Documents and Settings\Arietman\Datos de programa\Nosibay\Bubble Dock\LBubble Dock.exe" /winstartup

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Startup: Dropbox.lnk = C:\Documents and Settings\Arietman\Datos de programa\Dropbox\bin\Dropbox.exe

O4 - Startup: Nikon Monitor.lnk = C:\Archivos de programa\Archivos comunes\Nikon\Monitor\NkMonitor.exe

O4 - Startup: OpenOffice.org 2.2.lnk = C:\Archivos de programa\OpenOffice.org 2.2\program\quickstart.exe

O4 - Global Startup: 802.11g Wireless USB Adapter Utility.lnk = C:\Archivos de programa\NOBRAND\802.11g Wireless USB Adapter\NB11GUTI.exe

O4 - Global Startup: DSLMON.lnk = C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe

O8 - Extra context menu item: Append Link Target to Existing PDF - res://C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O9 - Extra button: Estadísticas de protección del tráfico Web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O20 - AppInit_DLLs: C:\ARCHIV~1\KASPER~1\KASPER~1\kloehk.dll

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: ABBYY FineReader 9.0 Sprint Licensing Service (ABBYY.Licensing.FineReader.Sprint.9.0) - ABBYY - C:\Archivos de programa\Archivos comunes\ABBYY\FineReaderSprint\9.00\Licensing\NetworkLicenseServer.exe

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: EpsonBidirectionalService - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\eEBSVC.exe

O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Fax - Unknown owner - C:\WINDOWS\system32\fxssvc.exe

O23 - Service: Servicio Google Update (gupdate) (gupdate) - Unknown owner - C:\Archivos de programa\Google\Update\GoogleUpdate.exe

O23 - Service: Servicio de Google Update (gupdatem) (gupdatem) - Unknown owner - C:\Archivos de programa\Google\Update\GoogleUpdate.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe

O23 - Service: MBAMService - Malwarebytes Corporation - C:\Archivos de programa\Malwarebytes' Anti-Malware\mbamservice.exe

O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Archivos de programa\Mozilla Maintenance Service\maintenanceservice.exe

O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe

O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--

End of file - 10848 bytes

Hoop dat je hier iets mee kunt..

Dank alvast!

Lexr

kape · 28 augustus 2012

De bewerking van de "Web Assistant Updater" is perfect verlopen. Het zwarte schermpje volstaat om deze service te stoppen en te verwijderen. Om nog verder naar MyStart/Incredibar te speuren, mag je eerst dit doen :

Download AdwCleaner by Xplode naar je Bureaublad.

Sluit alle openstaande vensters
Rechtsklik op AdwCleaner en selecteer als Administrator uitvoeren...
Klik vervolgens op Delete
Klik bij AdwCleaner – Information op OK
Klik bij AdwCleaner – Restart Required op OK

Alle icoontjes verdwijnen van het Bureaublad, Dit is normaal

Je PC word opnieuw opgestart en er een opent logfile (C:\ AdwCleaner[xx].txt ) post de inhoud hier in een volgende bericht.

lexr · 28 augustus 2012

Dank kape, hier de logfile:

# AdwCleaner v1.801 - Logfile created 08/28/2012 at 17:27:26

# Updated 14/08/2012 by Xplode

# Operating system : Microsoft Windows XP Service Pack 2 (32 bits)

# User : Arietman - ALEX

# Boot Mode : Normal

# Running from : C:\Documents and Settings\Arietman\Escritorio\adwcleaner.exe

# Option [Delete]

***** [services] *****

***** [Files / Folders] *****

Folder Deleted : C:\Documents and Settings\Arietman\Datos de programa\Nosibay

Folder Deleted : C:\Documents and Settings\Arietman\Datos de programa\OfferBox

Folder Deleted : C:\Archivos de programa\Web Assistant

File Deleted : C:\user.js

***** [Registry] *****

Key Deleted : HKCU\Software\IM

Key Deleted : HKCU\Software\ImInstaller

Key Deleted : HKCU\Software\Nosibay

Key Deleted : HKCU\Software\Offerbox

Key Deleted : HKCU\Software\Softonic

Key Deleted : HKCU\Software\Web Assistant

Key Deleted : HKLM\SOFTWARE\Classes\AppID\escort.DLL

Key Deleted : HKLM\SOFTWARE\Classes\AppID\escortApp.DLL

Key Deleted : HKLM\SOFTWARE\Classes\AppID\escortEng.DLL

Key Deleted : HKLM\SOFTWARE\Classes\AppID\escorTlbr.DLL

Key Deleted : HKLM\SOFTWARE\Classes\AppID\esrv.EXE

Key Deleted : HKLM\SOFTWARE\Classes\AppID\Extension.DLL

Key Deleted : HKLM\SOFTWARE\Classes\escort.escortIEPane

Key Deleted : HKLM\SOFTWARE\Classes\escort.escortIEPane.1

Key Deleted : HKLM\SOFTWARE\Classes\esrv.IncredibarESrvc

Key Deleted : HKLM\SOFTWARE\Classes\esrv.IncredibarESrvc.1

Key Deleted : HKLM\SOFTWARE\Classes\Extension.ExtensionHelperObject

Key Deleted : HKLM\SOFTWARE\Classes\Extension.ExtensionHelperObject.1

Key Deleted : HKLM\SOFTWARE\Classes\I

Key Deleted : HKLM\SOFTWARE\Classes\Incredibar.dskBnd

Key Deleted : HKLM\SOFTWARE\Classes\Incredibar.dskBnd.1

Key Deleted : HKLM\SOFTWARE\Classes\Incredibar.IncredibarHlpr

Key Deleted : HKLM\SOFTWARE\Classes\Incredibar.IncredibarHlpr.1

Key Deleted : HKLM\SOFTWARE\Classes\IncredibarApp.appCore

Key Deleted : HKLM\SOFTWARE\Classes\IncredibarApp.appCore.1

Key Deleted : HKLM\SOFTWARE\Conduit

Key Deleted : HKLM\SOFTWARE\Google\Chrome\Extensions\dlnembnfbcpjnepmfjmngjenhhajpdfd

Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{336D0C35-8A85-403a-B9D2-65C292C39087}_is1

Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\incredibar

Key Deleted : HKLM\SOFTWARE\Offerbox

Key Deleted : HKLM\SOFTWARE\Web Assistant

Value Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Run [bubble Dock]

Value Deleted : HKLM\SOFTWARE\Mozilla\Firefox\extensions [{336D0C35-8A85-403a-B9D2-65C292C39087}]

***** [Registre - GUID] *****

Key Deleted : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}

Key Deleted : HKLM\SOFTWARE\Classes\AppID\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}

Key Deleted : HKLM\SOFTWARE\Classes\AppID\{608D3067-77E8-463D-9084-908966806826}

Key Deleted : HKLM\SOFTWARE\Classes\AppID\{B12E99ED-69BD-437C-86BE-C862B9E5444D}

Key Deleted : HKLM\SOFTWARE\Classes\AppID\{B302A1BD-0157-49FA-90F1-4E94F22C7B4B}

Key Deleted : HKLM\SOFTWARE\Classes\AppID\{CFE8AAFD-A0F3-4329-84E9-6B679EC93EC2}

Key Deleted : HKLM\SOFTWARE\Classes\AppID\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}

Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{C01315C7-B4E2-4864-B43D-5FAFC414D179}

Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{C1545464-C77C-4130-A572-1C619E2895FE}

Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{ED0E67AD-926C-4008-87E5-03CF72AA2A7E}

Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{EF7FEC6D-451B-4452-9D26-7E10C6B5DB6E}

Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{F9639E4A-801B-4843-AEE3-03D9DA199E77}

Key Deleted : HKLM\SOFTWARE\Classes\Interface\{22B0769F-794B-4422-AC84-47B123C8986D}

Key Deleted : HKLM\SOFTWARE\Classes\Interface\{255E0B2A-D747-4EEF-B7CE-159D73A3656D}

Key Deleted : HKLM\SOFTWARE\Classes\Interface\{28ED590D-F5ED-4E05-A87F-1D759F1C6169}

Key Deleted : HKLM\SOFTWARE\Classes\Interface\{45D5B93F-E2ED-4AF2-915E-DCDDBDA8C33C}

Key Deleted : HKLM\SOFTWARE\Classes\Interface\{771B99AB-636F-4A11-9039-8DFEB927B061}

Key Deleted : HKLM\SOFTWARE\Classes\Interface\{A36867C6-302D-49FC-9D8E-1EB037B5F1AB}

Key Deleted : HKLM\SOFTWARE\Classes\Interface\{A8321AA2-2227-40C7-8525-6C2F4E1B0EBE}

Key Deleted : HKLM\SOFTWARE\Classes\Interface\{AA41A731-6814-4A70-A6F1-C0A20FBBFBD5}

Key Deleted : HKLM\SOFTWARE\Classes\Interface\{ABBB8A9E-D8AF-40D1-94BE-5175077465FC}

Key Deleted : HKLM\SOFTWARE\Classes\Interface\{BF737694-56F6-46FA-9FDC-FA99A5B25FAD}

Key Deleted : HKLM\SOFTWARE\Classes\Interface\{CFCD164E-8AC9-478E-9ECC-B616A932016C}

Key Deleted : HKLM\SOFTWARE\Classes\Interface\{D5961CC0-B442-4567-8030-67E241EF4CC2}

Key Deleted : HKLM\SOFTWARE\Classes\Interface\{E450067F-1C93-41A7-928E-07E5C2EEC680}

Key Deleted : HKLM\SOFTWARE\Classes\Interface\{F977D9F2-4BDC-44A6-B508-7C0284C61EED}

Key Deleted : HKLM\SOFTWARE\Classes\TypeLib\{1D5A4199-956E-49BC-B89F-6A35C57C0D13}

Key Deleted : HKLM\SOFTWARE\Classes\TypeLib\{48C9C8B0-A546-46C1-A81F-47A31E623E9D}

Key Deleted : HKLM\SOFTWARE\Classes\TypeLib\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}

Key Deleted : HKLM\SOFTWARE\Classes\TypeLib\{CFE8AAFD-A0F3-4329-84E9-6B679EC93EC2}

Key Deleted : HKLM\SOFTWARE\Classes\TypeLib\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}

Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{74C36554-31F0-49DD-8857-ED6A64DF45BE}

Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{336D0C35-8A85-403a-B9D2-65C292C39087}

Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{6E13DDE1-2B6E-46CE-8B66-DC8BF36F6B99}

Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{F9639E4A-801B-4843-AEE3-03D9DA199E77}

Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{336D0C35-8A85-403a-B9D2-65C292C39087}

Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6E13DDE1-2B6E-46CE-8B66-DC8BF36F6B99}

Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F9639E4A-801B-4843-AEE3-03D9DA199E77}

***** [internet Browsers] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Registry is clean.

*************************

AdwCleaner[s1].txt - [6138 octets] - [28/08/2012 17:27:26]

########## EOF - C:\AdwCleaner[s1].txt - [6266 octets] ##########

kape · 28 augustus 2012

Is MyStart/Incredibar nu nog ergens merkbaar aanwezig ?

lexr · 29 augustus 2012

Helaas wel. Ik gebruik de besmette pc nu zo weinig mogelijk. Zojuist opgestart en bij opstarten Firefox doet-ie er lang over, alsof hij opnieuw mystart installeert ofzo. Het voordeel is dat ik elke dag weer ergens een prijs van een miljoen kan afhalen ;-). Maar wat een tuig, die mystartmaffia!

kape · 29 augustus 2012

Download ComboFix van één van deze locaties:

Link 1

Link 2

* BELANGRIJK !!! Sla ComboFix.exe op je Bureaublad op

1. Schakel alle antivirus- en antispywareprogramma's uit, want anders kunnen ze misschien conflicteren met ComboFix. Hier is een handleiding over hoe je ze kan uitschakelen:

Klik hier

Als het je niet lukt om ze uit te schakelen, ga dan gewoon door naar de volgende stap.

2. Dubbelklik op ComboFix.exe en volg de meldingen op het scherm.

3. ComboFix zal controleren of dat de Microsoft Windows Recovery Console reeds is geïnstalleerd.

**Let op: Als de Microsoft Windows Recovery Console al is geïnstalleerd, dan krijg je de volgende schermen niet te zien en zal ComboFix automatisch verder gaan met het scannen naar malware.

4. Volg de meldingen op het scherm om ComboFix de Microsoft Windows Recovery Console te laten downloaden en installeren.

Je krijgt de volgende melding te zien wanneer ComboFix de Microsoft Windows Recovery Console succesvol heeft geïnstalleerd:

Klik op Ja om verder te gaan met het scannen naar malware.

5. Wanneer ComboFix klaar is, zal het een logbestand voor je maken. Post de inhoud van dit logbestand (te vinden als C:\ComboFix.txt) in je volgende bericht.

lexr · 29 augustus 2012

Ha kape, hier is het logbestand:

ComboFix 12-08-28.03 - Arietman 29/08/2012 19:49:45.1.1 - x86

Microsoft Windows XP Home Edition 5.1.2600.2.1252.34.3082.18.1503.704 [GMT 2:00]

Running from: c:\documents and settings\Arietman\Escritorio\ComboFix.exe

FW: Norton Internet Worm Protection *Disabled* {990F9400-4CEE-43EA-A83A-D013ADD8EA6E}

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\archivos de programa\Incredibar.com

c:\archivos de programa\Incredibar.com\incredibar\1.5.11.14\incredibarApp.dll

c:\archivos de programa\Incredibar.com\incredibar\1.5.11.14\incredibarEng.dll

c:\archivos de programa\Incredibar.com\incredibar\1.5.11.14\incredibarsrv.exe

c:\archivos de programa\Incredibar.com\incredibar\1.5.11.14\incredibarTlbr.dll

c:\archivos de programa\Incredibar.com\incredibar\1.5.11.14\uninstall.exe

c:\windows\system32\URTTemp

c:\windows\system32\URTTemp\fusion.dll

c:\windows\system32\URTTemp\mscoree.dll

c:\windows\system32\URTTemp\mscoree.dll.local

c:\windows\system32\URTTemp\mscorsn.dll

c:\windows\system32\URTTemp\mscorwks.dll

c:\windows\system32\URTTemp\msvcr71.dll

c:\windows\system32\URTTemp\regtlib.exe

.

((((((((((((((((((((((((( Files Created from 2012-07-28 to 2012-08-29 )))))))))))))))))))))))))))))))

.

2012-08-28 09:38 . 2012-08-28 09:38 -------- d-----w- c:\documents and settings\Arietman\Datos de programa\Malwarebytes

2012-08-28 09:38 . 2012-08-28 09:38 -------- d-----w- c:\documents and settings\All Users\Datos de programa\Malwarebytes

2012-08-28 09:38 . 2012-08-28 09:38 -------- d-----w- c:\archivos de programa\Malwarebytes' Anti-Malware

2012-08-28 09:38 . 2012-07-03 11:46 22344 ----a-w- c:\windows\system32\drivers\mbam.sys

2012-08-22 16:21 . 2012-08-22 16:21 388096 ----a-r- c:\documents and settings\Arietman\Datos de programa\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe

2012-08-22 16:21 . 2012-08-22 16:21 -------- d-----w- c:\archivos de programa\Trend Micro

2012-08-16 18:16 . 2012-08-16 18:16 -------- d-----w- c:\documents and settings\Arietman\Datos de programa\Incredibar.com

2012-08-14 19:26 . 2012-08-14 19:33 -------- d-----w- c:\archivos de programa\Free Video Converter

2012-08-14 19:26 . 2012-08-14 19:27 -------- d-----w- c:\documents and settings\Arietman\Datos de programa\FreeVideoConverter

2012-08-14 19:15 . 2012-08-16 12:51 -------- d-----w- c:\archivos de programa\Boilsoft ASF Converter

2012-07-31 14:09 . 2012-07-31 14:09 -------- d-----w- c:\documents and settings\Arietman\.LocalCooling

2012-07-31 14:09 . 2012-07-31 14:09 -------- d--h--w- c:\documents and settings\Arietman\Configuración local\Datos de programa\{7C24407D-548F-4211-9AD3-2549A100B03D}

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-08-16 11:25 . 2012-03-29 10:24 426184 ----a-w- c:\windows\system32\FlashPlayerApp.exe

2012-08-16 11:25 . 2011-05-22 08:19 70344 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl

2012-07-24 16:09 . 2012-07-24 16:09 82432 ----a-w- c:\documents and settings\Arietman\Datos de programa\Microsoft\MSXML2\msxml4r.dll

2012-07-24 16:09 . 2012-07-24 16:09 44544 ----a-w- c:\documents and settings\Arietman\Datos de programa\Microsoft\MSXML2\msxml4a.dll

2012-07-24 16:09 . 2012-07-24 16:09 1275392 ----a-w- c:\documents and settings\Arietman\Datos de programa\Microsoft\MSXML2\msxml4.dll

2012-06-07 13:46 . 2007-05-28 21:36 73728 ----a-w- c:\windows\system32\javacpl.cpl

2012-06-07 13:46 . 2012-06-07 13:47 476960 ----a-w- c:\windows\system32\npdeployJava1.dll

2012-06-07 13:46 . 2012-06-07 13:47 472864 ----a-w- c:\windows\system32\deployJava1.dll

2012-07-20 11:12 . 2012-03-26 04:28 136672 ----a-w- c:\archivos de programa\mozilla firefox\components\browsercomps.dll

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]

@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]

2011-02-18 05:12 94208 ----a-w- c:\documents and settings\Arietman\Datos de programa\Dropbox\bin\DropboxExt.14.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]

@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]

2011-02-18 05:12 94208 ----a-w- c:\documents and settings\Arietman\Datos de programa\Dropbox\bin\DropboxExt.14.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]

@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]

2011-02-18 05:12 94208 ----a-w- c:\documents and settings\Arietman\Datos de programa\Dropbox\bin\DropboxExt.14.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]

@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"

[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]

2011-02-18 05:12 94208 ----a-w- c:\documents and settings\Arietman\Datos de programa\Dropbox\bin\DropboxExt.14.dll

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"YouSendIt.exe"="c:\archivos de programa\YouSendIt\Express\YouSendIt.exe" [2009-06-30 82432]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"AudioDeck"="c:\archivos de programa\VIAudioi\SBADeck\ADeck.exe" [2005-09-06 450560]

"VTTimer"="VTTimer.exe" [2005-03-08 53248]

"VTTrayp"="VTtrayp.exe" [2005-08-03 163840]

"NeroCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"FLMOFFICE4DMOUSE"="c:\archivos de programa\Browser MOUSE\mouse32a.exe" [2006-11-21 360448]

"PRISMSVR.EXE"="c:\archivos de programa\NOBRAND\802.11g Wireless USB Adapter\PRISMSVR.EXE" [2005-06-20 295001]

"USB Storage Toolbox"="c:\archivos de programa\USB Disk Win98 Driver\Res.EXE" [2005-09-14 65536]

"EEventManager"="c:\archivos de programa\Epson Software\Event Manager\EEventManager.exe" [2009-12-03 976320]

"TkBellExe"="c:\program files\real\realplayer\update\realsched.exe" [2012-04-30 296056]

"SunJavaUpdateSched"="c:\archivos de programa\Archivos comunes\Java\Java Update\jusched.exe" [2012-01-18 254696]

"Adobe Reader Speed Launcher"="c:\archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-03-27 37296]

"Adobe ARM"="c:\archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712]

"Malwarebytes' Anti-Malware"="c:\archivos de programa\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-07-03 462920]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-20 15360]

.

c:\documents and settings\Mafuta\Menú Inicio\Programas\Inicio\

OpenOffice.org 2.2.lnk - c:\archivos de programa\OpenOffice.org 2.2\program\quickstart.exe [2007-2-2 393216]

.

c:\documents and settings\Arietman\Menú Inicio\Programas\Inicio\

Adobe Gamma.lnk - c:\archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]

Dropbox.lnk - c:\documents and settings\Arietman\Datos de programa\Dropbox\bin\Dropbox.exe [2012-5-24 27112840]

Nikon Monitor.lnk - c:\archivos de programa\Archivos comunes\Nikon\Monitor\NkMonitor.exe [2007-10-18 479232]

OpenOffice.org 2.2.lnk - c:\archivos de programa\OpenOffice.org 2.2\program\quickstart.exe [2007-2-2 393216]

.

c:\documents and settings\All Users\Menú Inicio\Programas\Inicio\

802.11g Wireless USB Adapter Utility.lnk - c:\archivos de programa\NOBRAND\802.11g Wireless USB Adapter\NB11GUTI.exe [2005-6-20 323584]

DSLMON.lnk - c:\archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe [2009-5-4 962661]

.

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"MSMSGS"="c:\archiv~1\MESSEN~1\Msmsgs.exe" /background

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"QuickTime Task"="c:\archivos de programa\QuickTime\qttask.exe" -atboottime

"Adobe Reader Speed Launcher"="c:\archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Archivos de programa\\Skype\\Plugin Manager\\skypePM.exe"=

"c:\\Documents and Settings\\Arietman\\Datos de programa\\Dropbox\\bin\\Dropbox.exe"=

"c:\\Archivos de programa\\Spotify\\spotify.exe"=

"c:\\Archivos de programa\\TeamViewer\\Version7\\TeamViewer.exe"=

"c:\\Archivos de programa\\TeamViewer\\Version7\\TeamViewer_Service.exe"=

"c:\\Archivos de programa\\Skype\\Phone\\Skype.exe"=

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"5437:TCP"= 5437:TCP:wsjpf

.

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [29/01/2008 19:29 36880]

R1 tidnet;TID NDIS Protocol Driver;c:\windows\system32\drivers\tidnet.sys [16/08/2007 10:19 19200]

R2 ABBYY.Licensing.FineReader.Sprint.9.0;ABBYY FineReader 9.0 Sprint Licensing Service;c:\archivos de programa\Archivos comunes\ABBYY\FineReaderSprint\9.00\Licensing\NetworkLicenseServer.exe [14/05/2009 18:07 759048]

R2 MBAMService;MBAMService;c:\archivos de programa\Malwarebytes' Anti-Malware\mbamservice.exe [28/08/2012 11:38 655944]

R3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\system32\drivers\klfltdev.sys [13/03/2008 20:02 26640]

R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [14/09/2009 14:42 32272]

R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [28/08/2012 11:38 22344]

S2 gupdate;Servicio Google Update (gupdate);c:\archivos de programa\Google\Update\GoogleUpdate.exe [12/11/2010 18:54 136176]

S3 A4501A;802.11g Wireless USB Adapter Driver;c:\windows\system32\drivers\A4501A.sys [07/02/2007 19:06 357408]

S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [29/03/2012 12:24 250056]

S3 gupdatem;Servicio de Google Update (gupdatem);c:\archivos de programa\Google\Update\GoogleUpdate.exe [12/11/2010 18:54 136176]

S3 MozillaMaintenance;Mozilla Maintenance Service;c:\archivos de programa\Mozilla Maintenance Service\maintenanceservice.exe [25/04/2012 12:58 113120]

S3 NWUSBCDFIL;Novatel Wireless Installation CD;c:\windows\system32\drivers\NwUsbCdFil.sys [17/12/2007 21:00 11776]

S3 NWUSBPort2;Novatel Wireless USB Status2 Port Driver;c:\windows\system32\drivers\nwusbser2.sys [12/10/2007 16:04 99200]

S3 NWVSCR;Novatel Wireless USB SmartCardReader Driver;c:\windows\system32\drivers\NWVSCR.sys [19/09/2007 11:42 24448]

.

--- Other Services/Drivers In Memory ---

.

*NewlyCreated* - WS2IFSL

.

Contents of the 'Scheduled Tasks' folder

.

2012-08-29 c:\windows\Tasks\Adobe Flash Player Updater.job

- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-03-29 11:25]

.

2012-05-26 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\archivos de programa\Apple Software Update\SoftwareUpdate.exe [2007-06-03 11:42]

.

2012-08-29 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\archivos de programa\Google\Update\GoogleUpdate.exe [2010-11-12 16:53]

.

2012-08-29 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\archivos de programa\Google\Update\GoogleUpdate.exe [2010-11-12 16:53]

.

2012-08-29 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-3906588396-2626370909-1237344090-1006.job

- c:\archivos de programa\Real\RealUpgrade\realupgrade.exe [2012-03-30 13:39]

.

2012-08-21 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-3906588396-2626370909-1237344090-1006.job

- c:\archivos de programa\Real\RealUpgrade\realupgrade.exe [2012-03-30 13:39]

.

------- Supplementary Scan -------

.

uStart Page = about:blank

uInternet Settings,ProxyOverride = 127.0.0.1:9421;<local>

uSearchURL,(Default) = hxxp://red.clientapps.yahoo.com/customize/fuji/defaults/su/*Yahoo! Nederland

IE: Append Link Target to Existing PDF - c:\archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

TCP: DhcpNameServer = 192.168.2.1

FF - ProfilePath - c:\documents and settings\Arietman\Datos de programa\Mozilla\Firefox\Profiles\m7dtc3di.default\

FF - prefs.js: browser.search.defaulturl - hxxp://search.babylon.com/web/{searchTerms}?babsrc=browsersearch

FF - prefs.js: browser.search.selectedEngine - MyStart Search

FF - prefs.js: browser.startup.homepage - hxxp://publico.es/

FF - prefs.js: keyword.URL - hxxp://mystart.incredibar.com/mb165/?loc=IB_DS&a=6OyL24fBUp&&i=26&search=

FF - user.js: extensions.incredibar_i.newTab - false

FF - user.js: extensions.incredibar_i.tlbrSrchUrl - hxxp://mystart.Incredibar.com/?a=6OyL24fBUp&loc=IB_TB&i=26&search=

FF - user.js: extensions.incredibar_i.id - d83517390000000000000013d3ce94da

FF - user.js: extensions.incredibar_i.instlDay - 15566

FF - user.js: extensions.incredibar_i.vrsn - 1.5.11.14

FF - user.js: extensions.incredibar_i.vrsni - 1.5.11.14

FF - user.js: extensions.incredibar_i.vrsnTs - 1.5.11.1421:16

FF - user.js: extensions.incredibar_i.prtnrId - Incredibar

FF - user.js: extensions.incredibar_i.prdct - incredibar

FF - user.js: extensions.incredibar_i.aflt - orgnl

FF - user.js: extensions.incredibar_i.smplGrp - none

FF - user.js: extensions.incredibar_i.tlbrId - base

FF - user.js: extensions.incredibar_i.instlRef -

FF - user.js: extensions.incredibar_i.dfltLng -

FF - user.js: extensions.incredibar_i.excTlbr - false

FF - user.js: extensions.incredibar_i.ms_url_id -

FF - user.js: extensions.incredibar_i.upn2 - 6OyL24fBUp

FF - user.js: extensions.incredibar_i.upn2n - 92261930959601285

FF - user.js: extensions.incredibar_i.productid - 26

FF - user.js: extensions.incredibar_i.installerproductid - 26

FF - user.js: extensions.incredibar_i.did - 10665

FF - user.js: extensions.incredibar_i.ppd -

.

- - - - ORPHANS REMOVED - - - -

.

HKCU-Run-Akamai NetSession Interface - c:\documents and settings\Arietman\Configuración local\Datos de programa\Akamai\netsession_win.exe

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2012-08-29 19:58

Windows 5.1.2600 Service Pack 2 NTFS

.

scanning hidden processes ...

.

scanning hidden autostart entries ...

.

scanning hidden files ...

.

scan completed successfully

hidden files: 0

.

**************************************************************************

.

--------------------- DLLs Loaded Under Running Processes ---------------------

.

- - - - - - - > 'explorer.exe'(2516)

c:\windows\system32\WININET.dll

c:\documents and settings\Arietman\Datos de programa\Dropbox\bin\DropboxExt.14.dll

c:\archivos de programa\Browser MOUSE\MOUDL32A.DLL

c:\windows\system32\webcheck.dll

.

------------------------ Other Running Processes ------------------------

.

c:\archivos de programa\Archivos comunes\EPSON\EBAPI\eEBSVC.exe

c:\archivos de programa\Java\jre6\bin\jqs.exe

c:\archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe

c:\windows\system32\wdfmgr.exe

c:\windows\system32\wscntfy.exe

c:\windows\system32\wbem\wmiapsrv.exe

c:\windows\system32\VTTimer.exe

c:\windows\system32\VTtrayp.exe

c:\archivos de programa\OpenOffice.org 2.2\program\soffice.exe

c:\archivos de programa\OpenOffice.org 2.2\program\soffice.BIN

.

**************************************************************************

.

Completion time: 2012-08-29 20:04:08 - machine was rebooted

ComboFix-quarantined-files.txt 2012-08-29 18:03

.

Pre-Run: 17.665.880.064 bytes libres

Post-Run: 18.009.526.272 bytes libres

.

WindowsXP-KB310994-SP2-Home-BootDisk-ENU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

.

- - End Of File - - 8CEFCC5463BE86FCE480B7FD9986D418

kape · 29 augustus 2012

Open een kladblokbestand.

Kopieer en plak daarin de onderstaande vetgedrukte tekst.

Folder::

c:\documents and settings\Arietman\Datos de programa\Incredibar.com

Firefox::

FF - ProfilePath - c:\documents and settings\Arietman\Datos de programa\Mozilla\Firefox\Profiles\m7dtc3di.default\

FF - prefs.js: browser.search.defaulturl -

FF - prefs.js: browser.search.selectedEngine -

FF - prefs.js: keyword.URL -

FF - user.js: extensions.incredibar_i.newTab - false

FF - user.js: extensions.incredibar_i.tlbrSrchUrl - hxxp://mystart.Incredibar.com/?a=6OyL24fBUp&loc=IB_TB&i=26&search=

FF - user.js: extensions.incredibar_i.id - d83517390000000000000013d3ce94da

FF - user.js: extensions.incredibar_i.instlDay - 15566

FF - user.js: extensions.incredibar_i.vrsn - 1.5.11.14

FF - user.js: extensions.incredibar_i.vrsni - 1.5.11.14

FF - user.js: extensions.incredibar_i.vrsnTs - 1.5.11.1421:16

FF - user.js: extensions.incredibar_i.prtnrId - Incredibar

FF - user.js: extensions.incredibar_i.prdct - incredibar

FF - user.js: extensions.incredibar_i.aflt - orgnl

FF - user.js: extensions.incredibar_i.smplGrp - none

FF - user.js: extensions.incredibar_i.tlbrId - base

FF - user.js: extensions.incredibar_i.instlRef -

FF - user.js: extensions.incredibar_i.dfltLng -

FF - user.js: extensions.incredibar_i.excTlbr - false

FF - user.js: extensions.incredibar_i.ms_url_id -

FF - user.js: extensions.incredibar_i.upn2 - 6OyL24fBUp

FF - user.js: extensions.incredibar_i.upn2n - 92261930959601285

FF - user.js: extensions.incredibar_i.productid - 26

FF - user.js: extensions.incredibar_i.installerproductid - 26

FF - user.js: extensions.incredibar_i.did - 10665

FF - user.js: extensions.incredibar_i.ppd -

Sla dit bestand op je bureaublad op als CFScript.

Sleep CFScript.txt in ComboFix.exe

Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt.

Post na herstart de inhoud van de Combofix.txt in je volgende bericht.

lexr · 30 augustus 2012

Goedemorgen kape, hier de nieuwe logfile:

ComboFix 12-08-28.03 - Arietman 30/08/2012 11:14:01.2.1 - x86

Microsoft Windows XP Home Edition 5.1.2600.2.1252.34.3082.18.1503.881 [GMT 2:00]

Running from: c:\documents and settings\Arietman\Escritorio\ComboFix.exe

Command switches used :: c:\documents and settings\Arietman\Escritorio\CFScript.txt

FW: Norton Internet Worm Protection *Disabled* {990F9400-4CEE-43EA-A83A-D013ADD8EA6E}

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\documents and settings\Arietman\Datos de programa\Incredibar.com

.

((((((((((((((((((((((((( Files Created from 2012-07-28 to 2012-08-30 )))))))))))))))))))))))))))))))