Computerproblemen - een virus?

[kape]

1. laatste script haalt inderdaad tmp- en exe-bestanden weg.

2. drivers zijn van McAfee en je werkt nu met Comodo als antivirus.

3. Portefolio is niet gewijzigd ... enkel een restbestand (de uninstall) is weggehaald.

4. Mailwasher startte op met een link en niet via het exe-bestand. Indien je dit wil laten opstarten moet je rechtstreeks de .exe laten opstarten in c:\users\Dany\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

5. Mailwasher als programma is alvast niet verwijderd, dus dat zou je nog moeten kunnen vinden.

6. Je beginprobleem was een Trojaans paard ... behoorlijke besmetting, toch.

7. Een deel van de gewijzigde instellingen wordt teruggezet na afhandeling van de behandeling met Combofix. Pas daarna kunnen we bekijken of er daar nog problemen van overblijven.

[amazone]

Dank je Kape voor de uitleg. Ik weet toch wel graag wat er op mijn pc gebeurt.

Heb gedaan wat je mij hebt uitgelegd en combofix is inderdaad weer gestart.

Ik plak op het einde de Combofix tekst.

Uitvoeren was alweer uit het menu start : wat heeft Combofix daar tegen? Maar heb dat al geregeld.

Een Trojaans paard : hola da's wel erg. Ik heb nog nooit een virus gehad met Comodo. MBAM had wel iets aangegeven maar voor we Combofix lieten draaien had ik het weer laten draaien en gaf het niets meer (dat was weliswaar snelle scan).

Ook superantispyware gaf niets aan.

Waaraan heb jij het gezien?

Ik zou graag uitzoeken waar het van gekomen is.

Nu zie ik dat er een nieuwe map in C zit: Qoobox - dat is blijkbaar van Combofix.

Daar zit een Quarantine map en een file ComboFix-quarantined-files.txt

Als ik daarin lees zie ik o.a.

C:\Qoobox\Quarantine\Registry_backups\MSConfigStartUp-adm_tray.reg.dat

Ik denk dat daardoor uitvoeren weg was

er staat ook iets van Portefolio:

C:\Qoobox\Quarantine\Registry_backups\AddRemove-Portfolio2000 - KBC.reg.dat

Wat heeft dat gedaan?

De andere weet ik niet zo - zullen we die ook eens overlopen?

ComboFix 12-10-11.03 - Dany 13/10/2012 16:09:53.2.2 - x86

Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1252.32.1043.18.3069.1897 [GMT 2:00]

Gestart vanuit: s:\downloadsallepc\ComboFix.exe

gebruikte Opdracht switches :: d:\desktop\CFScript.txt

AV: COMODO Antivirus *Disabled/Updated* {458BB331-2324-0753-3D5F-1472EB102AC0}

FW: COMODO Firewall *Disabled* {7DB03214-694B-060B-1600-BD4715C36DBB}

SP: COMODO Defense+ *Disabled/Updated* {FEEA52D5-051E-08DD-07EF-2F009097607D}

.

FILE ::

"c:\program files\GUM3EF3.tmp"

"c:\program files\GUMD4AC.tmp"

"c:\program files\GUMFFE7.tmp"

"c:\users\Dany\AppData\Local\Temp\016648~1.EXE"

.

.

(((((((((((((((((((((((((((((((((( Andere Verwijderingen )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

-------\Legacy_0166481267635846MCINSTCLEANUP

-------\Service_0166481267635846mcinstcleanup

.

.

(((((((((((((((((((( Bestanden Gemaakt van 2012-09-13 to 2012-10-13 ))))))))))))))))))))))))))))))

.

.

2012-10-13 14:24 . 2012-10-13 14:24 -------- d-----w- c:\users\Default\AppData\Local\temp

2012-10-13 14:24 . 2012-10-13 14:24 -------- d-----w- c:\users\Dany\AppData\Local\temp

2012-10-02 17:56 . 2012-10-02 17:56 -------- d-----w- c:\users\Dany\AppData\Roaming\ChemTable Software

2012-10-02 17:56 . 2012-10-02 17:56 -------- d-----w- c:\program files\Reg Organizer

2012-10-02 17:56 . 2012-10-02 17:56 -------- d-----w- c:\users\Dany\AppData\Local\ChemTable Software

2012-10-02 17:16 . 2012-10-02 17:17 -------- d-----w- c:\program files\Microsoft IntelliPoint

2012-10-02 17:04 . 2009-07-14 17:45 445008 ----a-w- c:\windows\system32\drivers\Wdf01000.sys

2012-10-02 17:04 . 2009-07-14 17:45 38480 ----a-w- c:\windows\system32\drivers\WdfLdr.sys

2012-09-27 18:29 . 2012-09-27 18:29 -------- d-----w- c:\users\Dany\AppData\Roaming\VOS

2012-09-25 07:35 . 2012-09-25 07:35 -------- d-----w- c:\program files\GUM3EF3.tmp

2012-09-23 20:11 . 2012-09-27 13:32 -------- d-----w- c:\users\Dany\AppData\Local\Downloaded Installations

.

.

.

((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-10-13 14:29 . 2012-01-20 19:17 29 ----a-w- c:\windows\system32\TempWmicBatchFile.bat

2012-09-07 15:04 . 2009-06-25 11:38 22856 ----a-w- c:\windows\system32\drivers\mbam.sys

.

.

((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]

"Zentimo xStorage Manager"="c:\program files\Zentimo\Zentimo.exe" [2011-12-01 2068112]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"COMODO Internet Security"="c:\program files\COMODO\COMODO Internet Security\cfp.exe" [2012-03-11 6749512]

"WinPatrol"="c:\program files\BillP Studios\WinPatrol\winpatrol.exe" [2012-04-15 374368]

"IntelliPoint"="c:\program files\Microsoft IntelliPoint\ipoint.exe" [2011-08-01 1821576]

.

c:\users\Dany\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

MailWasherPro.lnk - c:\program files\MailWasher Pro\MailWasher.exe [2008-6-12 19291304]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableUIADesktopToggle"= 0 (0x0)

"EnableLinkedConnections"= 1 (0x1)

"HideFastUserSwitching"= 0 (0x0)

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"NoResolveTrack"= 1 (0x1)

"NoFileAssociate"= 0 (0x0)

.

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\SharedTaskScheduler]

"{1984DD45-52CF-49cd-AB77-18F378FEA264}"= "c:\program files\Stardock\Fences\FencesMenu.dll" [2010-06-22 202088]

.

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2011-07-19 113024]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]

2011-05-04 17:54 551296 ----a-w- c:\program files\SUPERAntiSpyware\SASWINLO.DLL

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=c:\windows\System32\guard32.dll

.

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]

BootExecute REG_MULTI_SZ autocheck autochk *\0SmartDefragBootTime.exe

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\!SASCORE]

@=""

.

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Google Updater.lnk]

backup=c:\windows\pss\Google Updater.lnk.CommonStartup

backupExtension=.CommonStartup

.

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^RVS 2010.lnk]

backup=c:\windows\pss\RVS 2010.lnk.CommonStartup

backupExtension=.CommonStartup

.

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^WDDMStatus.lnk]

backup=c:\windows\pss\WDDMStatus.lnk.CommonStartup

backupExtension=.CommonStartup

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acronis Scheduler2 Service]

2009-10-27 17:20 365560 ----a-w- c:\program files\Common Files\Acronis\Schedule2\schedhlp.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AcronisTimounterMonitor]

2007-10-30 18:11 909208 ----a-w- c:\program files\Acronis\TrueImageHome\TimounterMonitor.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Advanced SystemCare 5]

2011-12-13 16:29 619352 ----a-w- c:\program files\IObit\Advanced SystemCare 5\ASCTray.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICustomerCare]

2007-10-04 16:38 307200 ----a-w- c:\program files\ATI\ATICustomerCare\ATICustomerCare.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ehTray.exe]

2008-01-19 07:33 125952 ----a-w- c:\windows\ehome\ehtray.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RtHDVCpl]

2007-11-12 12:56 4706304 ----a-w- c:\windows\RtHDVCpl.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]

2008-01-21 10:17 61440 ----a-w- c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartupDelayer]

2011-06-09 05:21 4100096 ----a-w- c:\program files\r2 Studios\Startup Delayer\Startup Delayer.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrueImageMonitor.exe]

2007-10-30 18:06 2595616 ----a-w- c:\program files\Acronis\TrueImageHome\TrueImageMonitor.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Mobile-based device management]

2006-11-02 09:45 215552 ----a-w- c:\windows\WindowsMobile\wmdSync.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WMPNSCFG]

2008-01-19 07:33 202240 ----a-w- c:\program files\Windows Media Player\wmpnscfg.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]

"AntiVirusOverride"=dword:00000001

.

R3 !SASCORE;SAS Core Service;c:\program files\SUPERAntiSpyware\SASCORE.EXE [x]

S2 AdvancedSystemCareService5;Advanced SystemCare Service 5;c:\program files\IObit\Advanced SystemCare 5\ASCService.exe [x]

.

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache

bthsvcs REG_MULTI_SZ BthServ

WindowsMobile REG_MULTI_SZ wcescomm rapimgr

LocalServiceRestricted REG_MULTI_SZ WcesComm RapiMgr

.

Inhoud van de 'Gedeelde Taken' map

.

2012-10-05 c:\windows\Tasks\Google Software Updater.job

- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-06-12 07:39]

.

2012-10-12 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-04 14:55]

.

2012-10-12 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-04 14:55]

.

2012-10-11 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3053347038-3038983606-3769375406-1000Core.job

- c:\users\Dany\AppData\Local\Google\Update\GoogleUpdate.exe [2011-10-04 13:56]

.

2012-10-13 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3053347038-3038983606-3769375406-1000UA.job

- c:\users\Dany\AppData\Local\Google\Update\GoogleUpdate.exe [2011-10-04 13:56]

.

2012-10-12 c:\windows\Tasks\SyncBack Dag BU Doc naar S.job

- c:\program files\SyncBack\SyncBack.exe [2008-09-17 14:42]

.

2012-10-12 c:\windows\Tasks\SyncBack Dag BU Doc naar T (verwijderde weg uit doel).job

- c:\program files\SyncBack\SyncBack.exe [2008-09-17 14:42]

.

2012-10-12 c:\windows\Tasks\SyncBack Dag BU Doc naar WD.job

- c:\program files\SyncBack\SyncBack.exe [2008-09-17 14:42]

.

2012-10-12 c:\windows\Tasks\SyncBack Dag BU Mon,Out naar S.job

- c:\program files\SyncBack\SyncBack.exe [2008-09-17 14:42]

.

2012-10-12 c:\windows\Tasks\SyncBack Dag BU Mon,Out naar T (verwijder uit doel als uit bron weg).job

- c:\program files\SyncBack\SyncBack.exe [2008-09-17 14:42]

.

2012-10-12 c:\windows\Tasks\SyncBack Dag BU Mon,Out naar WD.job

- c:\program files\SyncBack\SyncBack.exe [2008-09-17 14:42]

.

2012-09-28 c:\windows\Tasks\SyncBack Maand BU P naar S.job

- c:\program files\SyncBack\SyncBack.exe [2008-09-17 14:42]

.

2012-09-28 c:\windows\Tasks\SyncBack Maand BU P naar WD.job

- c:\program files\SyncBack\SyncBack.exe [2008-09-17 14:42]

.

2012-10-05 c:\windows\Tasks\SyncBack Wek BU D naar S.job

- c:\program files\SyncBack\SyncBack.exe [2008-09-17 14:42]

.

2012-10-05 c:\windows\Tasks\SyncBack Wek BU D naar WD.job

- c:\program files\SyncBack\SyncBack.exe [2008-09-17 14:42]

.

.

------- Bijkomende Scan -------

.

uStart Page = hxxp://www.google.be/ig?refresh=1

uInternet Settings,ProxyServer = proxy.telenet.be:8080

IE: &ieSpell Options - c:\program files\ieSpell\iespell.dll/SPELLOPTION.HTM

IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200

IE: Check &Spelling - c:\program files\ieSpell\iespell.dll/SPELLCHECK.HTM

IE: E&xporteren naar Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

IE: LastPass - file://c:\program files\LastPass\context.html?cmd=lastpass

IE: LastPass Fill Forms - file://c:\program files\LastPass\context.html?cmd=fillforms

IE: LastPass Invulformulieren - file://c:\program files\LastPass\context.html?cmd=fillforms

IE: Lookup on Merriam Webster - file://c:\program files\ieSpell\Merriam Webster.HTM

IE: Lookup on Wikipedia - file://c:\program files\ieSpell\wikipedia.HTM

Trusted Zone: //directnet.dexia.be/

Trusted Zone: bancopopular.es

Trusted Zone: dexia.be

Trusted Zone: recordbank.be\www.homebank

TCP: DhcpNameServer = 195.130.131.2 195.130.130.130

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2012-10-13 16:31

Windows 6.0.6002 Service Pack 2 NTFS

.

detected NTDLL code modification:

ZwClose

.

scannen van verborgen processen ...

.

scannen van verborgen autostart items ...

.

scannen van verborgen bestanden ...

.

Scan succesvol afgerond

verborgen bestanden: 0

.

**************************************************************************

.

--------------------- VERGRENDELDE REGISTER SLEUTELS ---------------------

.

[HKEY_USERS\S-1-5-21-3053347038-3038983606-3769375406-1000\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{ED327A43-7395-20DC-AA6D-6E68DAE97589}*]

"majbbkncolbdfpodleabgfbinc"=hex:6a,61,70,68,63,68,6a,65,6b,68,6f,6f,62,6d,67,

67,63,68,66,69,00,f9

"nadchepjbkfddeojfabcfdclaolj"=hex:6a,61,6d,68,67,68,70,63,6d,6d,62,6c,6e,6d,

70,6e,65,6a,62,67,00,00

"hapbhiplglmmdohk"=hex:61,62,61,65,6c,63,6c,69,6f,6c,6a,63,65,66,6e,6a,66,6a,

62,6a,64,70,62,61,67,6c,70,68,65,67,63,63,68,66,00,77

"hapbhipldclialee"=hex:6f,61,66,68,63,6d,65,6c,63,6f,66,64,6d,62,68,6a,69,63,

65,6f,64,6b,64,65,66,65,6c,64,6d,62,00,63

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\system\VritualRoot\iexplore.exe\MACHINE\Software\Classes\TypeLib\{D27CDB6B-AE6D-11CF-96B8-444553540000}]

@Denied: (A 2) (Everyone)

@SACL=(02 0001)

@Ace=(0x11) (1) (S-1-16-4096)

.

[HKEY_LOCAL_MACHINE\system\VritualRoot\iexplore.exe\MACHINE\Software\Classes\TypeLib\{D27CDB6B-AE6D-11CF-96B8-444553540000}\1.0]

@SACL=(02 0001)

@Ace=(0x11) (1) (S-1-16-4096)

.

[HKEY_LOCAL_MACHINE\system\VritualRoot\iexplore.exe\MACHINE\Software\Classes\TypeLib\{FAB3E735-69C7-453B-A446-B6823C6DF1C9}]

@Denied: (A 2) (Everyone)

.

--------------------- DLLs Geladen Onder Lopende Processen ---------------------

.

- - - - - - - > 'winlogon.exe'(1276)

c:\program files\ThreatFire\TFWAH.dll

.

- - - - - - - > 'lsass.exe'(1084)

c:\windows\system32\guard32.dll

c:\windows\system32\relog_ap.dll

c:\program files\ThreatFire\TFWAH.dll

.

- - - - - - - > 'Explorer.exe'(2708)

c:\windows\system32\guard32.dll

c:\program files\ThreatFire\TfWah.dll

c:\program files\AnVir Task Manager\AnvirHook65.dll

c:\program files\Stardock\Fences\FencesMenu.dll

c:\program files\stardock\fences\DesktopDock.dll

c:\windows\system32\wlanutil.dll

c:\windows\system32\FunDisc.dll

c:\windows\System32\msxml3.dll

c:\windows\system32\taskschd.dll

.

------------------------ Andere Aktieve Processen ------------------------

.

c:\program files\Zentimo\ZentimoService.exe

c:\program files\COMODO\COMODO Internet Security\cmdagent.exe

c:\windows\system32\Ati2evxx.exe

c:\windows\system32\Ati2evxx.exe

c:\program files\Chameleon Clock\settime.exe

c:\prey\platform\windows\cronsvc.exe

c:\program files\Genie-Soft\Genie Timeline\GenieTimelineService.exe

c:\program files\ThreatFire\TFService.exe

c:\program files\Genie-Soft\Genie Timeline\GSTimeLineAgent.exe

c:\program files\AnVir Task Manager\anvir.exe

c:\windows\system32\conime.exe

c:\program files\Genie-Soft\Genie Timeline\WebServer\PHP\php-cgi.exe

c:\program files\Chameleon Clock\ChamClock.exe

c:\windows\ehome\ehmsas.exe

c:\program files\ThreatFire\TFUN.exe

c:\program files\Microsoft Office\OFFICE11\EXCEL.EXE

.

**************************************************************************

.

Voltooingstijd: 2012-10-13 16:39:44 - machine werd herstart

ComboFix-quarantined-files.txt 2012-10-13 14:39

.

Pre-Run: 48.306.081.792 bytes beschikbaar

Post-Run: 47.663.149.056 bytes beschikbaar

.

- - End Of File - - ADC30A2FE7E01EEBF92A878706C5E63A

[kape]

Dit bestandje mag je nog manueel verwijderen: c:\program files\GUM3EF3.tmp

Verwijder Combofix: Start -> Uitvoeren/Zoekopdracht/Programma’s en bestanden zoeken en typ daar: ComboFix /Uninstall

Dit zal Combofix verwijderen + gerelateerde mappen en bestanden, herstelt de klokinstellingen opnieuw, verbergt de bestandsextensies, gaat verborgen bestanden en systeembestanden terug verbergen en maakt een nieuw herstelpunt.

Indien aanwezig mag je de map C:\Qoobox manueel verwijderen.

[amazone]

Ik had begrepen dat deze 3 files door Combofix zouden verwijderd zijn:

c:\program files\GUM3EF3.tmp

c:\program files\GUMD4AC.tmp

c:\program files\GUMFFE7.tmp

maar ze staan er nog alle 3.

Ik heb die combofix /uninstall nog niet gedraaid. Ik heb vandaag allerhande problemen gehad (o.a. blue screen) en ik lees in de combofix uitleg :

Please note that if you uninstall ComboFix it will also remove all backups and quarantines that were created when ComboFix scanned and cleaned your computer. Therefore, only uninstall ComboFix when you are a hundred percent sure that your computer is operating correctly and that you no longer need any of the files that were backed up or quarantined.

Maar: de hele map Qoobox is verdwenen. Die wou ik met jouw eens overlopen.

Ik heb hiervoor al gevraagd hoe je wist dat ik met een Trojaans paard zat.

Komt dat door de vermelding van Malwarebytes (zie eerste post):

Malwarebytes vond 3 virussen. Ik had een kopij gemaakt vande log hierover:

Bestanden gedetecteerd: 3

S:\Draagbareprogramma's\wirelesskeyview\WirelessKeyView.exe (PUP.WirelessKeyView) ->Geen actie ondernomen.

S:\DownloadsAllePC\freeopener.exe(PUP.BundleOffers.IIQ) -> Succesvol in quarantaine geplaatst en verwijderd.

T:\Temp\1jfuweif.exe(Trojan.Agent.STCGen) -> Succesvol in quarantaine geplaatst en verwijderd.

Maar die had Malwarebytes al verwijderd.

Ik vond op het internet iemand die deze 1jfuweif.exe ook op zijn computer gekregen had en die had aan de datum kunnen zien met welk ander programma het vermoedelijk gekomen was.

Toen mijn MBAM het bestand vermeldde ben ik naar de Temp file gaan kijken. Maar toen sloeg mijn comodo plots alarm op dezelfde file en heb ik hem dus laten verwijderen.

Het zit mij moeilijk dat dat virus bij mij binnengeraakt is en ik heb een vermoeden dat het door een GOTD programma komt.

Kan jij me meer info bezorgen?

14 oktober 2012 aangepast door amazone

[amazone]

[TABLE]

[TR]

[TD]Sorry Kape, ik had het fout die Qoobox file zat niet in program files maar gewoon in C en is er dus nog.

Dit staat in de Combofix quarantined files tekstfile:

[/TD]

[/TR]

[TR]

[TD]C:\Qoobox\Quarantine\Registry_backups\Legacy_0166481267635846MCINSTCLEANUP.reg.dat

[/TD]

[/TR]

[TR]

[TD]C:\Qoobox\Quarantine\catchme.txt

[/TD]

[/TR]

[TR]

[TD]C:\Qoobox\Quarantine\Registry_backups\AddRemove-Portfolio2000-KBC.reg.dat-

[/TD]

[/TR]

[TR]

[TD]C:\Qoobox\Quarantine\Registry_backups\AddRemove-AllMyNotesOrganizer.reg.dat

[/TD]

[/TR]

[TR]

[TD]C:\Qoobox\Quarantine\Registry_backups\MSConfigStartUp-adm_tray.reg.dat

[/TD]

[/TR]

[TR]

[TD]C:\Qoobox\Quarantine\Registry_backups\SafeBoot-SolutoService.reg.dat

[/TD]

[/TR]

[TR]

[TD]C:\Qoobox\Quarantine\Registry_backups\WebBrowser-{1392B8D2-5C05-419F-A8F6-B9F15A596612}.reg.dat

[/TD]

[/TR]

[TR]

[TD]C:\Qoobox\Quarantine\T\Temp\~SCRSAVE\UTILITY.DLL.vir

[/TD]

[/TR]

[TR]

[TD]C:\Qoobox\Quarantine\Registry_backups\tcpip.reg

[/TD]

[/TR]

[TR]

[TD]C:\Qoobox\Quarantine\catchme.log

[/TD]

[/TR]

[TR]

[TD]C:\Qoobox\Quarantine\C\prefs.js.vir

[/TD]

[/TR]

[TR]

[TD]C:\Qoobox\Quarantine\C\Windows\unin0413.exe.vir

[/TD]

[/TR]

[TR]

[TD]C:\Qoobox\Quarantine\C\Users\Dany\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup\MailWasher.exe.lnk.vir

[/TD]

[/TR]

[/TABLE]

Er is sprake van een paar vroeger verwijderde programma's (All my notes - Soluto) maar die Portefolio van KBC daar maak ik mij wel zorgen over

Je zegt ook :

herstelt de klokinstellingen opnieuw, verbergt de bestandsextensies, gaat verborgen bestanden en systeembestanden terug verbergen en maakt een nieuw herstelpunt.

Maar bij mij moeten bestandsextensies zichtbaar blijven en ook verborgen bestanden.

Ook raar is dat mijn taakbalk nu soms zo mistig wordt.

Die combofix gooit wel veel overhoop!!!!

14 oktober 2012 aangepast door amazone

[kape]

T:\Temp\1jfuweif.exe(Trojan.Agent.STCGen)

Dit was de aanduiding dat er een Trojaan op de PC zat.

Indien je problemen denkt te hebben met die Portefolio (werkt dat programma overigens correct, of helemaal niet meer ?), kan je dit uit de quarantaine van Combofix halen en terugzetten naar zijn originele locatie. Al is het logisch dat Combofix dit heeft verwijderd, wegens een onbekend (en dus onbetrouwbaar .dat-bestand).

Bestandsextensies en verborgen bestanden zichtbaar maken, kan je gewoon manueel herdoen. Combofix heeft dit gewoon hersteld naar de standaardinstellingen. Vandaar dat ik je mening niet deel dat Combofix "veel overhoop gooit". Het haalt het onnodige of gevaarlijke weg (via enkele stappen) en zet de correcte situatie terug (indien nodig).

[amazone]

Kape,

Bedankt voor je geduld. Maar zoals gezegd ik weet graag wat er met mijn pc gebeurt.

1. Wat betreft Portefolio. Ik heb dat programma van KBC gekregen en de installatie op mijn Vista (dat is nu een paar jaar geleden) lukte niet. Tenslotte heb ik met de hulp van iemand van de helpdesk het programma geïnstalleerd gewoon door de files van de cd naar de pc te installeren. Dus geen normale installatie.

Het is omdat Portefolio niet meer wou starten dat ik beginnen zoeken ben wat er met de pc aan de hand kon zijn. Zo heb ik tenslotte dat virus ontdekte. Nu is het rare dat ik intussen ontdekt heb dat Portefolio niet opstart als ik een tijdje bezig ben op de pc maar dat het wel start als ik de pc herstart. Door Combofix is er iets veranderd aan de vormgeving maar voorlopig werkt het programma wel (mits herstarten pc)

2.Heel in het begin heb ik beschreven dat ik over de 1jfuweif.exe las dat je zou moeten system restore uitschakelen. Dat betekent dat alle herstelpunten weg zijn. Meestal maak ik een herstelpunt en verwijder dan alle voorgaaande.

Zou dat voldoende zijn?

3.Vanmorgen startte ik pc op en na Dell logo bleef alles gewoon zwart. Stroom af, weer aan en dan startte ie wel.

Het blijft kwakkelen.

Ik zou hem graag weer in orde krijgen en een image maken.

[amazone]

Heel in het begin ook vermeld: Threatfire zie ik in Hijack this maar niet meer in System tray.

Dat is vervelend. Ik heb ook de indruk dat het niet beschermt als het niet in Tray zit.

Blijkbaar komt dit probleem meer voor want ik vond nog mensen op internet met dit probleem.

Ergens zegt men:

merge this reg file into register to add TFTray

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]

"TFTray"=""C:\\Program Files\\ThreatFire\\TFTray.exe""

copy/past into txtile,save as file.reg and import

not the way to go but it works

Nu ben ik er niet voor om in het register te knoeien.

Als reden voor het probleem gaf men ook aan dat TFTtray.exe geblokkeerd zou worden door bvb Comodo

Heb mijn Comodo nagekeken en daar zit het bij trusted files.

Maar het zou aan Anvir kunnen liggen.

Het zit ook niet meer in startup programma's.

Hoe krijg ik die TFTtray.exe in opstarten?

[amazone]

Kape

Ik heb voor mijn Threadfire vragen een nieuwe post gemaakt http://www.pc-helpforum.be/f163/threadfire-free-wie-heeft-er-ervaring-51979/?#post350027

[kape]

Threadfire wordt apart behandeld, dat is prima. Wat zou je nu nog willen aanpakken, naast dit aparte probleem ? Maak even een update van de actuele problemen.