Ga naar inhoud

Aanbevolen berichten

Geplaatst:

hallo Kape,

ik lees net je vorige bericht. dus vandaar start ik het nu in dit forum. bij deze mijn log file. hoplijk heb je even tijd, het zou enorm helpen.

bvd

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 10:36:13, on 21-4-2008

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\rundll32.exe

C:\WINDOWS\System32\pctspk.exe

C:\windows\system\hpsysdrv.exe

C:\HP\KBD\KBD.EXE

C:\PROGRA~1\ESET\ESETSM~1\egui.exe

C:\PROGRA~1\Java\JRE16~2.0_0\bin\jusched.exe

C:\keawaia.exe

C:\PROGRA~1\MSNMES~1\MsnMsgr.Exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI~1.EXE

C:\WINDOWS\system32\glock32.exe

C:\WINDOWS\system32\drivers\spools.exe

C:\WINDOWS\System32\svchost.exe

C:\PROGRA~1\Sandisk\Common\Bin\WINCIN~1.EXE

C:\Program Files\FinePixViewer\QuickDCF2.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\ESET\ESET Smart Security\ekrn.exe

C:\WINDOWS\System32\svchost.exe

C:\PROGRA~1\TRENDM~1\HIJACK~1\HIJACK~1.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Ajax Showtime

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen

O2 - BHO: e404 helper - {c03fd59d-9104-44b7-929a-9eaa0ba05211} - C:\Program Files\Helper\1208510662.dll

O2 - BHO: Min stor proj. - {FFFFFFFF-D71D-41e4-A699-F506DBD097F0} - msindc.dll (file missing)

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [s3TRAY2] S3tray2.exe

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"

O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe

O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\Eigenaar\cftmon.exe

O4 - HKLM\..\Run: [advap32] c:\dgfus.exe/r

O4 - HKLM\..\Run: [nmdorels] rundll32.exe "C:\DOCUME~1\Eigenaar\LOCALS~1\Temp\ahsjmlkf.dll" WLEntryPoint

O4 - HKLM\..\Run: [Glock Suite 1.1] C:\WINDOWS\system32\glock32.exe

O4 - HKCU\..\Run: [PnPUI Registrator] "C:\Program Files\Common Files\Sitecom Shared\PnP Universal Installer\PnPUIReg.exe" -s

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe

O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\Eigenaar\cftmon.exe

O4 - HKCU\..\Run: [WintelUpdate] C:\keawaia.exe

O4 - HKLM\..\Policies\Explorer\Run: [ralgjihg] rundll32.exe "C:\WINDOWS\System32\jqpgnatgj.drv" WLEntryPoint

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe (User 'Default user')

O4 - HKUS\.DEFAULT\..\Run: [autoload] C:\Documents and Settings\LocalService\cftmon.exe (User 'Default user')

O4 - Global Startup: WinCinema Manager.lnk = C:\Program Files\Sandisk\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: Adobe Acrobat Snelle start.lnk = ?

O4 - Global Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Snelle start.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O4 - Global Startup: eFax 4.2.lnk = C:\Program Files\eFax Messenger 4.2\J2GTray.exe

O4 - Global Startup: ExifLauncher2.lnk = C:\Program Files\FinePixViewer\QuickDCF2.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O10 - Unknown file in Winsock LSP: c:\windows\system32\bmdgb.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\bmdgb.dll

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab

O20 - AppInit_DLLs: C:\WINDOWS\System32\wmfhotfix.dll

O20 - Winlogon Notify: nqdsf - C:\WINDOWS\SYSTEM32\nqdsf.dll

O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll

O23 - Service: Eset HTTP Server (EhttpSrv) - Unknown owner - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe

O23 - Service: ICF (icf) - Unknown owner - C:\WINDOWS\System32\svchost.exe:exe.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Task Scheduler (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\spools.exe

--

End of file - 6032 bytes

Geplaatst:

Download SDFix en klik op "uitvoeren".

Versie 1.40 en hoger zal de uitgepakte SDFix map automatisch naar je systeemdrive verplaatsen (waarschijnlijk: C:\SDFix).

Start Hijackthis op en kies voor 'Do a system scan only'. Selecteer alleen de items hieronder genoemd:

O2 - BHO: e404 helper - {c03fd59d-9104-44b7-929a-9eaa0ba05211} - C:\Program Files\Helper\1208510662.dll

O2 - BHO: Min stor proj. - {FFFFFFFF-D71D-41e4-A699-F506DBD097F0} - msindc.dll (file missing)

O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe

O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\Eigenaar\cftmon.exe

O4 - HKLM\..\Run: [advap32] c:\dgfus.exe/r

O4 - HKLM\..\Run: [nmdorels] rundll32.exe "C:\DOCUME~1\Eigenaar\LOCALS~1\Temp\ahsjmlkf.d ll" WLEntryPoint

O4 - HKCU\..\Run: [PnPUI Registrator] "C:\Program Files\Common Files\Sitecom Shared\PnP Universal Installer\PnPUIReg.exe" -s

O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe

O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\Eigenaar\cftmon.exe

O4 - HKCU\..\Run: [WintelUpdate] C:\keawaia.exe

O4 - HKLM\..\Policies\Explorer\Run: [ralgjihg] rundll32.exe "C:\WINDOWS\System32\jqpgnatgj.drv" WLEntryPoint

O4 - HKUS\.DEFAULT\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe (User 'Default user

O4 - HKUS\.DEFAULT\..\Run: [autoload] C:\Documents and Settings\LocalService\cftmon.exe (User 'Default user')

O10 - Unknown file in Winsock LSP: c:\windows\system32\bmdgb.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\bmdgb.dll

O20 - Winlogon Notify: nqdsf - C:\WINDOWS\SYSTEM32\nqdsf.dll

O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll

O23 - Service: ICF (icf) - Unknown owner - C:\WINDOWS\System32\svchost.exe:exe.exe

O23 - Service: Task Scheduler (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\spools.exe

Klik op 'Fix checked' om de items te verwijderen.

Herstart je PC in veilige modus.

Open de SDFix map en dubbelklik op RunThis.bat om het tooltje te starten.

Typ Y om het schoonmaakproces te starten.

Er zullen Trojan Services en/of Registry Entries worden verwijderd als ze worden gevonden en je zult een toets voor herstart moeten indrukken.

De computer zal dan herstarten (dit duurt langer dan gewoonlijk).

Wanneer de pc herstart zal het tooltje opnieuw runnen en het verwijderingsproces vervolgen, tot de melding Finished getoond wordt. Druk dan op eender welke toets om het script te beëindigen en je bureaubladiconen weer te laden.

Wanneer je bureaubladiconen verschijnen zal het rapportje van SDFix openen. Dit zal dan ook te vinden zijn in de SDFix map als Report.txt.

Start je PC terug op in normale modus.

Plak de inhoud van dat rapportje van SDFix hier met een nieuw HJT-log.

Geplaatst:

oke dankje vor de snelle reactie! ik ben nu zover dat ik in het menu zit bij runthis van sdfix. nu kan ik kiezen uit a,b,c,d,1,2,3 en 4. als ik typ Y dan sluit het venster zich en gebeurt er niks. kun je me nog wat duidelijkheid verschaffen?

bvd!

awr

Download SDFix en klik op "uitvoeren".

Versie 1.40 en hoger zal de uitgepakte SDFix map automatisch naar je systeemdrive verplaatsen (waarschijnlijk: C:\SDFix).

Start Hijackthis op en kies voor 'Do a system scan only'. Selecteer alleen de items hieronder genoemd:

O2 - BHO: e404 helper - {c03fd59d-9104-44b7-929a-9eaa0ba05211} - C:\Program Files\Helper\1208510662.dll

O2 - BHO: Min stor proj. - {FFFFFFFF-D71D-41e4-A699-F506DBD097F0} - msindc.dll (file missing)

O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe

O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\Eigenaar\cftmon.exe

O4 - HKLM\..\Run: [advap32] c:\dgfus.exe/r

O4 - HKLM\..\Run: [nmdorels] rundll32.exe "C:\DOCUME~1\Eigenaar\LOCALS~1\Temp\ahsjmlkf.d ll" WLEntryPoint

O4 - HKCU\..\Run: [PnPUI Registrator] "C:\Program Files\Common Files\Sitecom Shared\PnP Universal Installer\PnPUIReg.exe" -s

O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe

O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\Eigenaar\cftmon.exe

O4 - HKCU\..\Run: [WintelUpdate] C:\keawaia.exe

O4 - HKLM\..\Policies\Explorer\Run: [ralgjihg] rundll32.exe "C:\WINDOWS\System32\jqpgnatgj.drv" WLEntryPoint

O4 - HKUS\.DEFAULT\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe (User 'Default user

O4 - HKUS\.DEFAULT\..\Run: [autoload] C:\Documents and Settings\LocalService\cftmon.exe (User 'Default user')

O10 - Unknown file in Winsock LSP: c:\windows\system32\bmdgb.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\bmdgb.dll

O20 - Winlogon Notify: nqdsf - C:\WINDOWS\SYSTEM32\nqdsf.dll

O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll

O23 - Service: ICF (icf) - Unknown owner - C:\WINDOWS\System32\svchost.exe:exe.exe

O23 - Service: Task Scheduler (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\spools.exe

Klik op 'Fix checked' om de items te verwijderen.

Herstart je PC in veilige modus.

Open de SDFix map en dubbelklik op RunThis.bat om het tooltje te starten.

Typ Y om het schoonmaakproces te starten.

Er zullen Trojan Services en/of Registry Entries worden verwijderd als ze worden gevonden en je zult een toets voor herstart moeten indrukken.

De computer zal dan herstarten (dit duurt langer dan gewoonlijk).

Wanneer de pc herstart zal het tooltje opnieuw runnen en het verwijderingsproces vervolgen, tot de melding Finished getoond wordt. Druk dan op eender welke toets om het script te beëindigen en je bureaubladiconen weer te laden.

Wanneer je bureaubladiconen verschijnen zal het rapportje van SDFix openen. Dit zal dan ook te vinden zijn in de SDFix map als Report.txt.

Start je PC terug op in normale modus.

Plak de inhoud van dat rapportje van SDFix hier met een nieuw HJT-log.

Geplaatst:
oke dankje vor de snelle reactie! ik ben nu zover dat ik in het menu zit bij runthis van sdfix. nu kan ik kiezen uit a,b,c,d,1,2,3 en 4. als ik typ Y dan sluit het venster zich en gebeurt er niks. kun je me nog wat duidelijkheid verschaffen?
Heb je de PC opgestart in veilige modus ? Het is daar dat je moet kiezen voor Y in runthis.bat.
Geplaatst:

het report van sdfix.

catchme 0.3.1353.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-04-22 10:15:45

Windows 5.1.2600 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vtq46]

"Type"=dword:00000001

"Tag"=dword:00000001

"Group"="System Reserved\0Boot Bus Extender\0Security Extender\0System Bus Extender\0SCSI miniport\0Port\0Primary Disk\0SCSI Class\0SCSI CDROM Class\0FSFilter Infrastructure\0FSFilter System\0FSFilter Bottom\0FSFilter Copy Protection\0FSFilter Security Enhancer\0FSFilter Open File\0FSFilter Physical Quota Management\0FSFilter Encryption\0FSFilter Compression\0FSFilter HSM\0FSFilter Cluster File System\0FSFilter System Recovery\0FSFilter Quota Management\0FSFilter Content Screener\0FSFilter Continuous Backup\0FSFilter Replication\0FSFilter Anti-Virus\0FSFilter Undelete\0FSFilter Activity Monitor\0FSFilter Top\0Filter\0Boot File System\0Base\0Pointer Port\0Keyboard Port\0Pointer Class\0Keyboard Class\0Video Init\0Video\0Video Save\0File System\0Event Log\0Streams Drivers\0NDIS Wrapper\0COM Infrastructure\0UIGroup\0LocalValidation\0PlugPlay\0PNP_TDI\0NDIS\0TDI\0NetBIOSGroup\0ShellSvcGroup\0SchedulerGroup\0SpoolerGroup\0AudioGroup\0NetworkProvider\0RemoteValidation\0NetDDEGroup\0Parallel arbitrator\0Extended Base\0PCI Configuration\0MS Transactions\0"

"ErrorControl"=dword:00000001

"Start"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\zsqalpdt]

"Type"=dword:00000001

"Start"=dword:00000001

"ErrorControl"=dword:00000000

"ImagePath"=str(2):"\??\C:\WINDOWS\zsqalpdt.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\zsqalpdt\security]

"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\vtq46]

"Type"=dword:00000001

"Tag"=dword:00000001

"Group"="System Reserved\0Boot Bus Extender\0Security Extender\0System Bus Extender\0SCSI miniport\0Port\0Primary Disk\0SCSI Class\0SCSI CDROM Class\0FSFilter Infrastructure\0FSFilter System\0FSFilter Bottom\0FSFilter Copy Protection\0FSFilter Security Enhancer\0FSFilter Open File\0FSFilter Physical Quota Management\0FSFilter Encryption\0FSFilter Compression\0FSFilter HSM\0FSFilter Cluster File System\0FSFilter System Recovery\0FSFilter Quota Management\0FSFilter Content Screener\0FSFilter Continuous Backup\0FSFilter Replication\0FSFilter Anti-Virus\0FSFilter Undelete\0FSFilter Activity Monitor\0FSFilter Top\0Filter\0Boot File System\0Base\0Pointer Port\0Keyboard Port\0Pointer Class\0Keyboard Class\0Video Init\0Video\0Video Save\0File System\0Event Log\0Streams Drivers\0NDIS Wrapper\0COM Infrastructure\0UIGroup\0LocalValidation\0PlugPlay\0PNP_TDI\0NDIS\0TDI\0NetBIOSGroup\0ShellSvcGroup\0SchedulerGroup\0SpoolerGroup\0AudioGroup\0NetworkProvider\0RemoteValidation\0NetDDEGroup\0Parallel arbitrator\0Extended Base\0PCI Configuration\0MS Transactions\0"

"ErrorControl"=dword:00000001

"Start"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\zsqalpdt]

"Type"=dword:00000001

"Start"=dword:00000001

"ErrorControl"=dword:00000000

"ImagePath"=str(2):"\??\C:\WINDOWS\zsqalpdt.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\zsqalpdt\security]

"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,..

scanning hidden registry entries ...

scanning hidden files ...

C:\WINDOWS\SYSTEM32\drivers\Vtq46.sys 120832 bytes executable

scan completed successfully

hidden processes: 0

hidden services: 1

hidden files: 19

het log file van hjt komt nog in de loop van deze dag. bedankt voor de medewerking! echt super!

awr

Heb je de PC opgestart in veilige modus ? Het is daar dat je moet kiezen voor Y in runthis.bat.
Geplaatst:

hier het file van hijackthis...graag hoor ik van je.

bedankt!

awr

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:42:45, on 22-4-2008

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI~1.EXE

C:\windows\system\hpsysdrv.exe

C:\PROGRA~1\Java\JRE16~2.0_0\bin\jusched.exe

C:\HP\KBD\KBD.EXE

C:\WINDOWS\System32\pctspk.exe

C:\PROGRA~1\ESET\ESETSM~1\egui.exe

C:\PROGRA~1\FINEPI~1\QUICKD~1.EXE

C:\PROGRA~1\MSNMES~1\MsnMsgr.Exe

C:\PROGRA~1\Sandisk\Common\Bin\WINCIN~1.EXE

C:\Program Files\ESET\ESET Smart Security\ekrn.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\MSN Messenger\usnsvc.exe

C:\PROGRA~1\INTERN~1\IEXPLORE.EXE

C:\PROGRA~1\LimeWire\LimeWire.exe

C:\PROGRA~1\TRENDM~1\HIJACK~1\HIJACK~1.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Ajax Showtime

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [s3TRAY2] S3tray2.exe

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"

O4 - HKLM\..\Run: [Glock Suite 1.1] C:\WINDOWS\system32\glock32.exe

O4 - HKLM\..\Run: [fjrjb] rundll32.exe "C:\DOCUME~1\Eigenaar\LOCALS~1\Temp\bbjljffnnjp.drv" WLEntryPoint

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKLM\..\Policies\Explorer\Run: [goolieko] rundll32.exe "C:\WINDOWS\System32\jqpgnatgj.drv" WLEntryPoint

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: WinCinema Manager.lnk = C:\Program Files\Sandisk\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: Adobe Acrobat Snelle start.lnk = ?

O4 - Global Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Snelle start.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O4 - Global Startup: eFax 4.2.lnk = C:\Program Files\eFax Messenger 4.2\J2GTray.exe

O4 - Global Startup: ExifLauncher2.lnk = C:\Program Files\FinePixViewer\QuickDCF2.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O10 - Unknown file in Winsock LSP: c:\windows\system32\bmdgb.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\bmdgb.dll

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab

O20 - AppInit_DLLs: C:\WINDOWS\System32\wmfhotfix.dll

O20 - Winlogon Notify: nqdsf - C:\WINDOWS\SYSTEM32\nqdsf.dll

O23 - Service: Eset HTTP Server (EhttpSrv) - Unknown owner - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--

End of file - 4820 bytes

Geplaatst:

Download Combofix en zet het op je Bureaublad.

Dubbelklik op Combofix.exe en volg de instructies, aanvaard de disclaimer door y te typen. Tijdens het runnen van de fix, NIET in het venster klikken, want dit zal je pc doen vasthangen.

Wanneer de fix voltooid is en na herstart, zal de log combofix.txt openen.

NOTA: Indien je virusscanner reageert met een melding van een scriptuitvoering, moet je dit toestaan.

Daarna open je een kladblokbestand.

Kopieer en plak daarin de onderstaande vetgedrukte tekst.

File::

c:\windows\system32\bmdgb.dll

C:\WINDOWS\SYSTEM32\nqdsf.dll

Registry::

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\vtq46]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\zsqalpdt]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\zsqalpdt\security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\v tq46]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\z sqalpdt]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\z sqalpdt\security]

Sla dit bestand op je bureaublad op als CFScript.txt.

Sleep CFScript.txt in ComboFix.exe

Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt.

Start Hijackthis op en kies voor 'Do a system scan only'. Selecteer alleen de items hieronder genoemd:

O4 - HKLM\..\Run: [fjrjb] rundll32.exe "C:\DOCUME~1\Eigenaar\LOCALS~1\Temp\bbjljffnnjp.dr v" WLEntryPoint

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Policies\Explorer\Run: [goolieko] rundll32.exe "C:\WINDOWS\System32\jqpgnatgj.drv" WLEntryPoint

O10 - Unknown file in Winsock LSP: c:\windows\system32\bmdgb.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\bmdgb.dll

O20 - Winlogon Notify: nqdsf - C:\WINDOWS\SYSTEM32\nqdsf.dll

Klik op 'Fix checked' om de items te verwijderen.

Post na herstart de inhoud van de twee logs van Combofix.txt in je volgende bericht samen met een nieuw logje van HijackThis.

  • 1 maand later...
Geplaatst:

Bij gebrek aan reactie sluiten we dit onderwerp. Mocht je dit onderwerp toch nog terug willen openen, geef dan een seintje aan één van de moderators.

Gast
Dit topic is nu gesloten voor nieuwe reacties.
×
×
  • Nieuwe aanmaken...

Belangrijke informatie

We hebben cookies geplaatst op je toestel om deze website voor jou beter te kunnen maken. Je kunt de cookie instellingen aanpassen, anders gaan we er van uit dat het goed is om verder te gaan.