Ga naar inhoud

Virus???


Gast pegpeg

Aanbevolen berichten

Hoi Pegpeg,

Ja, het gaat zichzelf herbesmetten.

Wil je CFScript uitvoeren in veilige modus volgens mijn laatste instructie, en de log posten van Combo.

Hierna zien we of ik een regfix moet schrijven, voor je register te cleanen.

Groetjes,

Xeno :)

Link naar reactie
Delen op andere sites

  • Reacties 34
  • Aangemaakt
  • Laatste reactie

Beste reacties in dit topic

[ATTACH]802[/ATTACH]

dit zijn de laatste gegevens voor je ziet het er al beter uit??

Mvg

combofix

omboFix 08-05-25.5 - user 2008-05-27 18:25:39.3 - NTFSx86

Gestart vanuit: C:\Documents and Settings\user\Bureaublad\ComboFix.exe

Command switches used :: C:\Documents and Settings\user\Bureaublad\CFScript.txt

* Nieuw herstelpunt werd aangemaakt

WAARSCHUWING - DE RECOVERY CONSOLE IS NIET OP DIT SYSTEEM GEINSTALLEERD !!

FILE ::

C:\\WINDOWS\\eksplorasi.exe

C:\WINDOWS\ShellNew\sempalong.exe

.

(((((((((((((((((((((((((((((((((( Andere Verwijderingen )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\\WINDOWS\\eksplorasi.exe

C:\Documents and Settings\user\Local Settings\Application Data\inetinfo.exe

C:\Documents and Settings\user\Local Settings\Application Data\lsass.exe

C:\WINDOWS\ShellNew\sempalong.exe

.

(((((((((((((((((((( Bestanden Gemaakt van 2008-04-27 to 2008-05-27 ))))))))))))))))))))))))))))))

.

2008-05-26 20:27 . 2008-05-26 20:27 268 --ah----- C:\sqmdata02.sqm

2008-05-26 20:27 . 2008-05-26 20:27 244 --ah----- C:\sqmnoopt02.sqm

2008-05-26 17:48 . 2008-05-26 17:48 268 --ah----- C:\sqmdata01.sqm

2008-05-26 17:48 . 2008-05-26 17:48 244 --ah----- C:\sqmnoopt01.sqm

2008-05-26 16:41 . 2008-05-26 16:41 268 --ah----- C:\sqmdata00.sqm

2008-05-26 16:41 . 2008-05-26 16:41 244 --ah----- C:\sqmnoopt00.sqm

2008-05-26 16:38 . 2008-05-26 16:42 <DIR> d-------- C:\RVAXO

2008-05-26 16:36 . 2008-05-26 14:14 827,419 --a------ C:\WINDOWS\system32\RVAXO.bat

2008-05-26 16:36 . 2001-10-01 14:51 69,632 --a------ C:\WINDOWS\system32\remove.exe

2008-05-26 16:31 . 2008-05-26 16:31 <DIR> d-------- C:\Program Files\GV_Killer

2008-05-26 16:31 . 2004-03-08 23:00 152,848 --a------ C:\WINDOWS\system32\COMDLG32.OCX

2008-05-26 16:31 . 2001-09-07 11:00 59,904 --a------ C:\WINDOWS\system32\wbemdisp.tlb

2008-05-23 18:09 . 2008-05-27 17:18 <DIR> d-------- C:\WINDOWS\system32\CatRoot2

2008-05-19 16:37 . 2008-05-19 16:37 <DIR> d-------- C:\Program Files\Trend Micro

2008-05-17 18:33 . 2008-04-22 16:10 <DIR> d--h----- C:\Documents and Settings\Administrator\Sjablonen

2008-05-17 18:33 . 2008-04-22 17:56 <DIR> d--h----- C:\Documents and Settings\Administrator\Onlangs geopend

2008-05-17 18:33 . 2008-04-22 17:56 <DIR> d--h----- C:\Documents and Settings\Administrator\Netwerkprinteromgeving

2008-05-17 18:33 . 2008-04-22 17:56 <DIR> d-------- C:\Documents and Settings\Administrator\Mijn documenten

2008-05-17 18:33 . 2008-04-22 17:56 <DIR> dr------- C:\Documents and Settings\Administrator\Menu Start

2008-05-17 18:33 . 2008-04-22 17:56 <DIR> d-------- C:\Documents and Settings\Administrator\Favorieten

2008-05-17 18:33 . 2008-04-22 17:56 <DIR> d-------- C:\Documents and Settings\Administrator\Bureaublad

2008-05-17 18:33 . 2008-05-17 18:33 <DIR> d-------- C:\Documents and Settings\Administrator

2008-05-17 18:28 . 2008-05-17 18:31 <DIR> d-------- C:\WINDOWS\BDOSCAN8

2008-05-17 18:20 . 2008-04-22 16:10 <DIR> d--h----- C:\Documents and Settings\Farid\Sjablonen

2008-05-17 18:20 . 2008-04-22 17:56 <DIR> d--h----- C:\Documents and Settings\Farid\Onlangs geopend

2008-05-17 18:20 . 2008-04-22 17:56 <DIR> d--h----- C:\Documents and Settings\Farid\Netwerkprinteromgeving

2008-05-17 18:20 . 2008-04-22 17:56 <DIR> d-------- C:\Documents and Settings\Farid\Mijn documenten

2008-05-17 18:20 . 2008-04-22 17:56 <DIR> dr------- C:\Documents and Settings\Farid\Menu Start

2008-05-17 18:20 . 2008-04-22 17:56 <DIR> d-------- C:\Documents and Settings\Farid\Favorieten

2008-05-17 18:20 . 2008-04-22 17:56 <DIR> d-------- C:\Documents and Settings\Farid\Bureaublad

2008-05-17 18:20 . 2008-05-17 18:20 <DIR> d-------- C:\Documents and Settings\Farid

2008-05-14 20:27 . 2008-05-14 20:27 <DIR> d-------- C:\Documents and Settings\user\Bluetooth Software

2008-05-08 14:15 . 2008-05-27 18:21 <DIR> d-------- C:\Program Files\Malwarebytes' Anti-Malware

2008-05-08 14:15 . 2008-05-08 14:15 <DIR> d-------- C:\Documents and Settings\user\Application Data\Malwarebytes

2008-05-08 14:15 . 2008-05-08 14:15 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes

2008-05-08 14:15 . 2008-05-05 20:46 27,048 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys

2008-05-08 14:15 . 2008-05-05 20:46 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys

2008-05-07 20:37 . 2008-05-07 20:37 <DIR> d-------- C:\Program Files\Microsoft CAPICOM 2.1.0.2

2008-05-06 19:01 . 2008-05-06 19:05 <DIR> d-------- C:\Program Files\Symantec

2008-05-06 19:01 . 2008-05-06 19:01 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Symantec

2008-05-01 16:33 . 2008-05-26 18:03 54,156 --ah----- C:\WINDOWS\QTFont.qfn

2008-05-01 16:33 . 2008-05-01 16:33 1,409 --a------ C:\WINDOWS\QTFont.for

2008-04-30 18:43 . 2008-04-30 18:43 <DIR> d-------- C:\Program Files\C-Media 3D Audio

2008-04-30 18:43 . 2005-12-15 13:46 2,834,432 --a------ C:\WINDOWS\system\cmicnfg.cpl

2008-04-30 18:43 . 2004-02-17 10:51 1,458,176 --a------ C:\WINDOWS\system\SmWizard.exe

2008-04-30 18:43 . 2008-04-30 18:40 1,454,080 --a------ C:\WINDOWS\system\SET6F.tmp

2008-04-30 18:43 . 2005-12-15 13:57 1,368,000 --a------ C:\WINDOWS\system32\drivers\cmuda.sys

2008-04-30 18:43 . 2002-04-29 15:04 917,504 --a------ C:\WINDOWS\system\cmids3d.dll

2008-04-30 18:43 . 2004-04-23 15:02 233,472 --a------ C:\WINDOWS\system32\cmirmdrv.exe

2008-04-30 18:43 . 2005-12-15 18:48 172,032 --a------ C:\WINDOWS\system32\cmuda.dll

2008-04-30 18:43 . 2003-04-24 13:29 32,768 --a------ C:\WINDOWS\system32\udaprop.dll

2008-04-30 18:43 . 2003-02-18 18:26 28,672 --a------ C:\WINDOWS\system32\cmirmdrv.dll

2008-04-30 18:04 . 2003-11-04 15:10 69,632 --a------ C:\WINDOWS\system32\lfgif13n.dll

2008-04-30 18:03 . 2004-05-14 16:53 462,848 --a------ C:\WINDOWS\system32\ltkrn13n.dll

2008-04-30 18:03 . 2004-05-14 16:53 450,560 --a------ C:\WINDOWS\system32\ltimg13n.dll

2008-04-30 18:03 . 2004-05-14 16:53 401,408 --a------ C:\WINDOWS\system32\lfcmp13n.dll

2008-04-30 18:03 . 2004-05-14 16:53 299,008 --a------ C:\WINDOWS\system32\ltdis13n.dll

2008-04-30 18:03 . 2004-01-12 02:09 206,336 --a------ C:\WINDOWS\system32\ltefx13n.dll

2008-04-30 18:03 . 2004-05-14 16:53 163,840 --a------ C:\WINDOWS\system32\ltfil13n.dll

2008-04-30 18:03 . 2004-05-14 16:53 57,344 --a------ C:\WINDOWS\system32\lfbmp13n.dll

2008-04-30 11:31 . 1998-10-09 14:36 327,168 --a------ C:\WINDOWS\IsUn0413.exe

2008-04-30 11:31 . 2003-08-05 14:23 266,240 --a------ C:\WINDOWS\CMIUninstall.exe

2008-04-30 11:31 . 2003-07-22 11:15 225,280 --a------ C:\WINDOWS\CmiRmRedundDir.exe

2008-04-30 11:31 . 2002-10-18 15:56 28,672 --a------ C:\WINDOWS\CMIRmDriver.dll

2008-04-30 11:31 . 2008-05-04 21:48 206 --a------ C:\WINDOWS\system\CmiCnfg.ini

2008-04-30 11:31 . 2008-04-30 18:43 92 --a------ C:\WINDOWS\CMISETUP.INI

2008-04-30 11:31 . 2008-04-30 18:43 26 --a------ C:\WINDOWS\CMCDPLAY.INI

2008-04-29 15:48 . 2004-02-24 11:08 400,384 --------- C:\WINDOWS\system32\drivers\alcxsens.sys

2008-04-29 15:48 . 2004-04-28 17:19 66,048 --------- C:\WINDOWS\soundb9f.rra

2008-04-29 15:10 . 2008-04-29 15:10 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Apple Computer

2008-04-29 15:10 . 2008-04-29 15:10 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Apple

2008-04-28 18:35 . 2004-08-03 22:58 7,552 --a------ C:\WINDOWS\system32\drivers\MSKSSRV.sys

2008-04-28 18:35 . 2004-08-03 22:58 7,552 --a--c--- C:\WINDOWS\system32\dllcache\mskssrv.sys

2008-04-28 18:35 . 2004-08-03 22:58 5,376 --a------ C:\WINDOWS\system32\drivers\MSPCLOCK.sys

2008-04-28 18:35 . 2004-08-03 22:58 5,376 --a--c--- C:\WINDOWS\system32\dllcache\mspclock.sys

2008-04-28 18:35 . 2004-08-03 22:58 4,992 --a------ C:\WINDOWS\system32\drivers\MSPQM.sys

2008-04-28 18:35 . 2004-08-03 22:58 4,992 --a--c--- C:\WINDOWS\system32\dllcache\mspqm.sys

2008-04-28 18:34 . 2008-04-28 18:34 <DIR> d-------- C:\Program Files\Realtek AC97

2008-04-27 10:15 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll

2008-04-27 10:15 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui

.

((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-05-06 17:01 --------- d-----w C:\Program Files\Common Files\Symantec Shared

2008-04-29 13:11 --------- d-----w C:\Program Files\QuickTime

2008-04-28 16:38 --------- d-----w C:\Program Files\Google

2008-04-26 16:45 --------- d-----w C:\Program Files\Microsoft ActiveSync

2008-04-26 16:43 --------- d-----w C:\Program Files\Microsoft.NET

2008-04-26 12:46 --------- dcsh--w C:\Program Files\Common Files\WindowsLiveInstaller

2008-04-26 12:46 --------- d-----w C:\Program Files\Windows Live

2008-04-26 12:42 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller

2008-04-25 18:11 23,600 ----a-w C:\WINDOWS\system32\drivers\TVICHW32.SYS

2008-04-22 15:55 --------- d-----w C:\Program Files\Common Files\Adobe

2008-04-22 14:58 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-04-22 14:58 --------- d-----w C:\Program Files\Realtek Sound Manager

2008-04-22 14:58 --------- d-----w C:\Program Files\AvRack

2008-04-22 14:39 --------- d-----w C:\Program Files\MSBuild

2008-04-22 14:33 9,480 ----a-w C:\WINDOWS\system32\icardres.dll

2008-04-22 14:33 83,968 ----a-w C:\WINDOWS\system32\infocardapi.dll

2008-04-22 14:33 556,296 ----a-w C:\WINDOWS\system32\icardagt.exe

2008-04-22 14:33 --------- d-----w C:\Program Files\Reference Assemblies

2008-04-22 14:33 --------- d-----w C:\Program Files\MSXML 6.0

2008-04-22 14:10 --------- d-----w C:\Program Files\Windows Media Connect 2

2008-04-02 16:30 --------- d-----w C:\Program Files\Common Files\Download Manager

2008-04-02 06:37 164 ----a-w C:\install.dat

2008-04-01 20:20 --------- d-----w C:\Program Files\ESET

2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll

2008-03-25 04:51 183,072 ----a-w C:\WINDOWS\system32\msjint40.dll

2008-03-24 19:51 42,713 ----a-w C:\WINDOWS\system32\user's Setting.scr

2008-03-20 08:01 1,846,016 ----a-w C:\WINDOWS\system32\win32k.sys

2008-03-01 12:49 827,392 ----a-w C:\WINDOWS\system32\wininet.dll

2006-08-25 18:58 788,992 ----a-w C:\Program Files\1043.MST

2006-08-25 18:58 5,118 ----a-w C:\Program Files\0x0413.ini

2006-08-25 18:58 33,976,320 ----a-w C:\Program Files\iPod for Windows 2006-03-23.msi

.

((((((((((((((((((((((((((((( snapshot@2008-05-26_17.56.08.42 )))))))))))))))))))))))))))))))))))))))))

.

- 2008-05-26 15:49:36 2,048 --s-a-w C:\WINDOWS\bootstat.dat

+ 2008-05-27 15:24:12 2,048 --s-a-w C:\WINDOWS\bootstat.dat

.

((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:03 15360]

"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]

"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-03-28 23:37 413696]

"SoundMan"="SOUNDMAN.EXE" [2005-05-17 12:48 77824 C:\WINDOWS\SOUNDMAN.EXE]

"Cmaudio"="cmicnfg.cpl" []

"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 01:03 110592 C:\WINDOWS\system32\bthprops.cpl]

"Malwarebytes Anti-Malware Reboot"="C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" [2008-05-05 20:46 1179256]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 01:03 15360]

C:\Documents and Settings\NL\Start Menu\Programs\Startup\

Empty.pif [2008-03-24 21:51:15 42713]

C:\Documents and Settings\user\Menu Start\Programma's\Opstarten\

Empty.pif [2008-03-24 21:51:15 42713]

C:\Documents and Settings\All Users\Menu Start\Programma's\Opstarten\

BTTray.lnk - C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe [2004-10-01 15:12:18 565309]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"C:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"C:\\WINDOWS\\system32\\dpvsetup.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

.

Inhoud van de 'Gedeelde Taken' map

"2008-05-03 20:35:05 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"

- C:\Program Files\Apple Software Update\SoftwareUpdate.exe

.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-05-27 18:29:19

Windows 5.1.2600 Service Pack 2 NTFS

scannen van verborgen processen ...

scannen van verborgen autostart items ...

scannen van verborgen bestanden ...

Scan succesvol afgerond

verborgen bestanden: 0

**************************************************************************

.

Voltooingstijd: 2008-05-27 18:32:58

ComboFix-quarantined-files.txt 2008-05-27 16:32:43

ComboFix2.txt 2008-05-27 15:20:20

ComboFix3.txt 2008-05-26 15:56:23

Pre-Run: 16,484,118,528 bytes beschikbaar

Post-Run: 16,489,828,352 bytes beschikbaar

189 --- E O F --- 2008-05-17 11:58:51

log-26052008.txt

Link naar reactie
Delen op andere sites

Hoi Pegpeg,

Is zeer hardnekkig, en moeten het anders doen.

1. Open de map RVAXO op je bureaublad en dubbelklik Uninstall.cmd

Dit zal alles van RVAXO verwijderen.

2. Ga naar start > uitvoeren en kopieer en plak volgende command in het veld:

ComboFix /u

Let op: Zorg ervoor dat er dus een spatie is tussen Combofix en /

Daarna klik enter.

Dit zal Combofix verwijderen+gerelateerde mappen en bestanden, herstelt de klokinstellingen opnieuw, verbergt de bestandsextensies, gaat verborgen bestanden en systeembestanden terug verbergen en reset je Systeemherstel opnieuw, en maakt een nieuw herstelpunt aan.

3. Schakel je Antivirus tijdelijk uit tijdens deze fix, deze zou in de weg kunnen zitten.

Rechtsklik hier en sla "UnhookExec.inf" op op je bureaublad.

Rechtsklik op "UnhookExec.inf" en selecteer "Install."

Download CleanX-II by sUBs en sla het op op je bureaublad.

Verbreek nu de verbinding met Internet, belangrijk

Start je PC op in veilige modus.

Dubbelklik op CleanX-II.exe voor de tool te runnen, en volg de aanwijzingen door op OK te klikken.

Na de scan krijg je een rapport, staan in het rapport files vermeld onder POST RUN ANALYSIS, laat dan de tool een tweede maal runnen.

Post hierna het rapport die je kan vinden in C:\REPORT.TXT.

Herstart in normale modus, en post ook een verse HJT log.

Succes,

Xeno :)

Link naar reactie
Delen op andere sites

hoi xeno!!

heb je stappen ondernomen maar in de safe modus krijg ik het bericht" als ik het bestand clean opstart windows kan het bestand c:\documents and settings\DESKTOP\cleanxII.txt neit vinden....ik heb ook gezien dat mappen er 2 maal in voor komen als ik bv een map open doc1 open: dan staat er in deze open map dezelfde doc1 en snap je en zo verder en verder

alvast bedankt Mvg

Link naar reactie
Delen op andere sites

Hoi Pegpeg,

Dat is jammer, gaan het dan manueel doen.

Start je pc op in veilige modus.

Open kladblok en kopieer en plak volgende aanwezig in het citaatvenster erin:

(vergeet REGEDIT4 niet te kopieren en plakken!)

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"Tok-Cirrhatus"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Bron-Spizaetus"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Shell"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Shell"="Explorer.exe"

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

"Hidden"=dword:00000001

"HideFileExt"=dword:00000000

"SuperHidden"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

"NoFolderOptions"=-

Sla dit op als fix.reg kies voor opslaan als alle bestanden en plaats het op je bureaublad.

Zo moet die regfix er nadien uitzien: reg.gif

Dubbelklik erop.

Bij de vraag of je het wilt toevoegen aan het register, klik je op ja/ok.

Herstart in normale modus, en post een HJT log.

Succes,

Xeno :)

Link naar reactie
Delen op andere sites

hoi xeno!!

heb het gedaan en nu ging HJT gewoon werken das al iets he hier het logje

alvast bedankt Mvg

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:37:16, on 29/05/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.20772)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\system32\RunDll32.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe

C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = Sign In

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen

O2 - BHO: Adobe PDF Reader Help bij koppelingen - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Windows Live Aanmelden - Help - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Lokale service')

O4 - HKUS\S-1-5-19\..\RunOnce: [showDeskFix] regsvr32 /s /n /i:u shell32 (User 'Lokale service')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Netwerkservice')

O4 - HKUS\S-1-5-20\..\RunOnce: [showDeskFix] regsvr32 /s /n /i:u shell32 (User 'Netwerkservice')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: BTTray.lnk = ?

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Verzenden naar &Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1209229085265

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://plugin.driveragent.com/files/driveragent.cab

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

--

End of file - 4971 bytes

Link naar reactie
Delen op andere sites

Hoi Pegpeg,


  • Het probleem was, dat je alle nasty bestanden van de infectie terzelfdertijd moet kunnen aanpakken, en blijkbaar hebben de tools dat niet gedaan.

  • We kunnen nu beginnen met nog eens goed te kijken, en dan alles proper maken.

  • Start HijackThis, klik op Do a system scan only en vink de volgende regels aan en klik dan op Fix Checked en bevestig het door in het volgende scherm op Ja te klikken.

  • R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = Sign In
    O4 - HKUS\S-1-5-19\..\RunOnce: [showDeskFix] regsvr32 /s /n /i:u shell32 (User Lokale service)
    O4 - HKUS\S-1-5-20\..\RunOnce: [showDeskFix] regsvr32 /s /n /i:u shell32 (User Netwerkservice)
    Klik op ATF-Cleaner.exe naar je bureaublad.

  • Belangrijk: Sluit al je browservensters(IE en/of Firefox en/of Opera) om de tool goed te kunnen laten werken.

  • Dubbelklik op ATF cleaner om het programma te starten.

  • Op het tabblad Main, plaats je een vinkje bij Select All.
    Klik op de knop Empty Selected.

  • Het volgende doen als je ook FireFox als browser hebt:

  • Klik op tabblad Firefox, plaats een vinkje bij Select All.
    Wil je de door Firefox opgeslagen wachtwoorden behouden, dan klik je in het venster dat verschijnt op No.
    (dit haalt het vinkje weer weg bij Firefox saved passwords)
    Klik op de knop Empty Selected.

  • Het volgende doen als je ook Opera als browser hebt:

  • Klik op tabblad Opera, plaats een vinkje bij Select All.
    Wil je de door Opera opgeslagen wachtwoorden behouden, dan klik je in het venster dat verschijnt op No.
    Klik op de knop Empty Selected.

  • Ga naar het tabblad Main en klik op de knop Exit om het programma af te sluiten.
    Download Dr.Web CureIt naar je Bureaublad.
    - Dubbelklik drweb-cureit.exe en klik op Start. In het volgende scherm bij de vraag Snelle Scan nu starten? klik je op OK..
    - Indien een popup verschijnt met het voorstel tot kopen/50% korting, mag je deze sluiten met het kruisje.
    - Dit zal de bestanden scannen die momenteel in het geheugen geladen zijn en wanneer er iets gevonden wordt, klik de selecteer alles en daarna repareren knop. Dit is enkel een korte scan.
    - Kies bovenaan in het menu opties voor Language/Taal en wijzig deze naar Dutch (Nederlands) indien deze bij jou anders staat ingesteld.
    - Druk op F9.
    - Onder Scan haal je het vinkje weg bij Heuristische analyse.
    - Kies daarna voor Acties en stel daar het volgende in onder Malware :
    Adware: Verplaats
    Dialers: Verplaats
    Jokes: Rapportage
    Riskware: Rapportage
    Hacktools: Verplaats
    - Haal dan het vinkje weg bij Prompt bij actie,en druk dan op OK.
    - Zet nu een vinkje bij Custom Scan.
    - Selecteer hier alle stations. Een rood bolletje zal dan tevoorschijn komen op de drives die je laat scannen.
    - Klik daarna de groene pijl rechts onder het logo van Dr.Web om de scan te starten.
    - Gevonden bestanden worden naar de %userprofile%\DoctorWeb\quarantaine-map verplaatst indien herstel niet mogelijk is.
    - Nadat de scan gedaan is in het menu bovenaan, klik bestand en kies Rapportage lijst opslaan. Bewaar het op je Bureaublad.
    - Sluit daarna Dr.Web Cureit.
    - Wijzig de naam van het bestand DrWeb.cvs in DrWeb.txt.
    - Herstart je computer!! Belangrijke stap, want het kan zijn dat Dr.Web Cureit bestanden zal verplaatsen/verwijderen tijdens herstart.
    - Post ook het laatste rapport van drweb-cureit als BIJLAGE.

  • Indien je Combofix al eerder hebt gebruikt, gelieve die versie dan eerst te verwijderen van je bureaublad en dan Combofix opnieuw te downloaden via onderstaande link, want Combofix wordt dagelijks geupdate..

  • Download Combofix.exe naar je Bureaublad.

  • OPMERKING: indien je tijdens of na het downloaden van Combofix of tijdens het gebruik van Combofix een melding krijgt van je Antivirus- of een andere realtime scanner, schakel dan deze scanner uit en download Combofix opnieuw.

  • Sommige scanners zien bepaalde componenten die Combofix gebruikt als verdacht en gaan deze blokkeren of verwijderen!

  • Dubbelklik op Combofix.exe

  • Volg de instructies, aanvaard de disclaimer door 1 (continue) te typen gevolgd door ENTER.
    Tijdens het runnen van de fix NIET in het venster klikken, want dit zal je pc doen vasthangen.
    Wanneer de fix voltooid is en na herstart, zal de log combofix.txt openen. Plaats deze log in je volgende post.

Succes,

Xeno :)

Link naar reactie
Delen op andere sites

  • 3 weken later...

hoi xeno en alles goed?? ben even 2 weken in het buitenland geest voor men werk en heb de laatste stap niet meer kunnen doen. mijn vraag was moet ik gewoon verdergaan met wat je het laatste hebt opgevee, ik zal voor de zekerheid een HJT logje plaatsen

alvast bedankt

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:55:02, on 14/06/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.20815)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\system32\RunDll32.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = Sign In

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen

O2 - BHO: Adobe PDF Reader Help bij koppelingen - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Windows Live Aanmelden - Help - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Lokale service')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Netwerkservice')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: BTTray.lnk = ?

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Verzenden naar &Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1209229085265

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://plugin.driveragent.com/files/driveragent.cab

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

--

End of file - 4775 bytes

Link naar reactie
Delen op andere sites

hoi xeno!!

hier is het combofix log!!

alvast bedankt

ComboFix 08-06-12.2 - user 2008-06-14 19:58:44.4 - NTFSx86

Gestart vanuit: C:\Documents and Settings\user\Bureaublad\ComboFix.exe

* Nieuw herstelpunt werd aangemaakt

WAARSCHUWING - DE RECOVERY CONSOLE IS NIET OP DIT SYSTEEM GEINSTALLEERD !!

.

(((((((((((((((((((( Bestanden Gemaakt van 2008-05-14 to 2008-06-14 ))))))))))))))))))))))))))))))

.

2008-06-14 18:44 . 2008-06-14 18:45 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Apple Computer

2008-06-14 18:42 . 2008-06-14 18:42 <DIR> d-------- C:\WINDOWS\LastGood

2008-06-14 18:42 . 2008-06-14 18:42 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Apple

2008-06-14 18:19 . 2004-12-18 20:32 38,229 --------- C:\WINDOWS\system32\drivers\StMp3Rec.sys

2008-06-14 17:49 . 2008-06-14 17:49 <DIR> d-------- C:\Program Files\FBrowsingAdvisor

2008-06-14 17:49 . 2008-06-14 17:49 <DIR> d-------- C:\Program Files\FBrowserAdvisor

2008-06-14 17:49 . 2008-06-14 18:03 <DIR> d-------- C:\Program Files\BrowsingEnhancer

2008-06-14 17:49 . 2006-04-14 23:05 9,952 --a------ C:\regxpcom.exe

2008-06-14 17:28 . 2008-06-14 18:57 <DIR> d-------- C:\Program Files\Morpheus

2008-05-30 13:52 . 2008-05-30 13:52 <DIR> d-------- C:\Documents and Settings\user\DoctorWeb

2008-05-29 17:19 . 2008-05-29 17:19 <DIR> d-------- C:\Documents and Settings\user\Application Data\Apple Computer

2008-05-27 10:50 . 2008-05-27 10:50 90,112 --a------ C:\WINDOWS\system32\QuickTimeVR.qtx

2008-05-27 10:50 . 2008-05-27 10:50 57,344 --a------ C:\WINDOWS\system32\QuickTime.qts

2008-05-26 20:27 . 2008-05-26 20:27 268 --ah----- C:\sqmdata02.sqm

2008-05-26 20:27 . 2008-05-26 20:27 244 --ah----- C:\sqmnoopt02.sqm

2008-05-26 17:48 . 2008-05-26 17:48 268 --ah----- C:\sqmdata01.sqm

2008-05-26 17:48 . 2008-05-26 17:48 244 --ah----- C:\sqmnoopt01.sqm

2008-05-26 16:41 . 2008-05-26 16:41 268 --ah----- C:\sqmdata00.sqm

2008-05-26 16:41 . 2008-05-26 16:41 244 --ah----- C:\sqmnoopt00.sqm

2008-05-26 16:31 . 2008-05-26 16:31 <DIR> d-------- C:\Program Files\GV_Killer

2008-05-26 16:31 . 2004-03-08 23:00 152,848 --a------ C:\WINDOWS\system32\COMDLG32.OCX

2008-05-26 16:31 . 2001-09-07 11:00 59,904 --a------ C:\WINDOWS\system32\wbemdisp.tlb

2008-05-23 18:09 . 2008-06-14 18:36 <DIR> d-------- C:\WINDOWS\system32\CatRoot2

2008-05-19 16:37 . 2008-05-19 16:37 <DIR> d-------- C:\Program Files\Trend Micro

2008-05-17 18:33 . 2008-04-22 16:10 <DIR> d--h----- C:\Documents and Settings\Administrator\Sjablonen

2008-05-17 18:33 . 2008-04-22 17:56 <DIR> d--h----- C:\Documents and Settings\Administrator\Onlangs geopend

2008-05-17 18:33 . 2008-04-22 17:56 <DIR> d--h----- C:\Documents and Settings\Administrator\Netwerkprinteromgeving

2008-05-17 18:33 . 2008-04-22 17:56 <DIR> d-------- C:\Documents and Settings\Administrator\Mijn documenten

2008-05-17 18:33 . 2008-04-22 17:56 <DIR> dr------- C:\Documents and Settings\Administrator\Menu Start

2008-05-17 18:33 . 2008-04-22 17:56 <DIR> d-------- C:\Documents and Settings\Administrator\Favorieten

2008-05-17 18:33 . 2008-04-22 17:56 <DIR> d-------- C:\Documents and Settings\Administrator\Bureaublad

2008-05-17 18:33 . 2008-05-17 18:33 <DIR> d-------- C:\Documents and Settings\Administrator

2008-05-17 18:28 . 2008-05-17 18:31 <DIR> d-------- C:\WINDOWS\BDOSCAN8

2008-05-17 18:20 . 2008-04-22 16:10 <DIR> d--h----- C:\Documents and Settings\Farid\Sjablonen

2008-05-17 18:20 . 2008-04-22 17:56 <DIR> d--h----- C:\Documents and Settings\Farid\Onlangs geopend

2008-05-17 18:20 . 2008-04-22 17:56 <DIR> d--h----- C:\Documents and Settings\Farid\Netwerkprinteromgeving

2008-05-17 18:20 . 2008-04-22 17:56 <DIR> d-------- C:\Documents and Settings\Farid\Mijn documenten

2008-05-17 18:20 . 2008-04-22 17:56 <DIR> dr------- C:\Documents and Settings\Farid\Menu Start

2008-05-17 18:20 . 2008-04-22 17:56 <DIR> d-------- C:\Documents and Settings\Farid\Favorieten

2008-05-17 18:20 . 2008-04-22 17:56 <DIR> d-------- C:\Documents and Settings\Farid\Bureaublad

2008-05-17 18:20 . 2008-05-17 18:20 <DIR> d-------- C:\Documents and Settings\Farid

2008-05-14 20:27 . 2008-05-14 20:27 <DIR> d-------- C:\Documents and Settings\user\Bluetooth Software

.

((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-06-14 16:59 --------- d-----w C:\Program Files\Apple Software Update

2008-06-14 16:46 --------- d-----w C:\Program Files\iTunes

2008-06-14 16:44 --------- d-----w C:\Program Files\QuickTime

2008-06-14 16:36 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-05-30 17:55 --------- d-----w C:\Program Files\PacificPoker4

2008-05-27 16:21 --------- d-----w C:\Program Files\Malwarebytes' Anti-Malware

2008-05-08 12:15 --------- d-----w C:\Documents and Settings\user\Application Data\Malwarebytes

2008-05-08 12:15 --------- d-----w C:\Documents and Settings\All Users\Application Data\Malwarebytes

2008-05-08 12:14 203,008 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys

2008-05-07 18:37 --------- d-----w C:\Program Files\Microsoft CAPICOM 2.1.0.2

2008-05-07 05:03 1,292,288 ----a-w C:\WINDOWS\system32\quartz.dll

2008-05-06 17:05 --------- d-----w C:\Program Files\Symantec

2008-05-06 17:01 --------- d-----w C:\Program Files\Common Files\Symantec Shared

2008-05-06 17:01 --------- d-----w C:\Documents and Settings\All Users\Application Data\Symantec

2008-05-05 18:46 27,048 ----a-w C:\WINDOWS\system32\drivers\mbamcatchme.sys

2008-05-05 18:46 15,864 ----a-w C:\WINDOWS\system32\drivers\mbam.sys

2008-04-30 16:43 --------- d-----w C:\Program Files\C-Media 3D Audio

2008-04-28 16:38 --------- d-----w C:\Program Files\Google

2008-04-28 16:34 --------- d-----w C:\Program Files\Realtek AC97

2008-04-26 16:45 --------- d-----w C:\Program Files\Microsoft ActiveSync

2008-04-26 16:43 --------- d-----w C:\Program Files\Microsoft.NET

2008-04-26 12:46 --------- dcsh--w C:\Program Files\Common Files\WindowsLiveInstaller

2008-04-26 12:46 --------- d-----w C:\Program Files\Windows Live

2008-04-26 12:42 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller

2008-04-25 18:11 23,600 ----a-w C:\WINDOWS\system32\drivers\TVICHW32.SYS

2008-04-23 04:21 827,392 ----a-w C:\WINDOWS\system32\wininet.dll

2008-04-22 15:55 --------- d-----w C:\Program Files\Common Files\Adobe

2008-04-22 14:58 --------- d-----w C:\Program Files\Realtek Sound Manager

2008-04-22 14:58 --------- d-----w C:\Program Files\AvRack

2008-04-22 14:39 --------- d-----w C:\Program Files\MSBuild

2008-04-22 14:33 9,480 ----a-w C:\WINDOWS\system32\icardres.dll

2008-04-22 14:33 83,968 ----a-w C:\WINDOWS\system32\infocardapi.dll

2008-04-22 14:33 556,296 ----a-w C:\WINDOWS\system32\icardagt.exe

2008-04-22 14:33 --------- d-----w C:\Program Files\Reference Assemblies

2008-04-22 14:33 --------- d-----w C:\Program Files\MSXML 6.0

2008-04-22 14:10 --------- d-----w C:\Program Files\Windows Media Connect 2

2008-04-14 15:54 272,640 ----a-w C:\WINDOWS\system32\drivers\bthport.sys

2008-04-02 06:37 164 ----a-w C:\install.dat

2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll

2008-03-25 04:51 183,072 ----a-w C:\WINDOWS\system32\msjint40.dll

2008-03-20 08:01 1,846,016 ----a-w C:\WINDOWS\system32\win32k.sys

2006-08-25 18:58 788,992 ----a-w C:\Program Files\1043.MST

2006-08-25 18:58 5,118 ----a-w C:\Program Files\0x0413.ini

2006-08-25 18:58 33,976,320 ----a-w C:\Program Files\iPod for Windows 2006-03-23.msi

.

((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{5ABBD91B-0215-2FE1-7A7E-753F05B40CB8}]

2007-12-27 01:32 1019904 --a------ C:\Program Files\BrowsingEnhancer\BrowsingEnhancer-1.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:03 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]

"SoundMan"="SOUNDMAN.EXE" [2005-05-17 12:48 77824 C:\WINDOWS\SOUNDMAN.EXE]

"Cmaudio"="cmicnfg.cpl" []

"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 01:03 110592 C:\WINDOWS\system32\bthprops.cpl]

"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-05-27 10:50 413696]

"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-06-02 11:13 267048]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 01:03 15360]

C:\Documents and Settings\All Users\Menu Start\Programma's\Opstarten\

BTTray.lnk - C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe [2004-10-01 15:12:18 565309]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"C:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"C:\\WINDOWS\\system32\\dpvsetup.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"C:\\Program Files\\iTunes\\iTunes.exe"=

*Newly Created Service* - APPLE_MOBILE_DEVICE

*Newly Created Service* - BONJOUR_SERVICE

*Newly Created Service* - IPOD_SERVICE

.

Inhoud van de 'Gedeelde Taken' map

"2008-06-14 16:59:57 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"

- C:\Program Files\Apple Software Update\SoftwareUpdate.exe

.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-06-14 20:03:19

Windows 5.1.2600 Service Pack 2 NTFS

scannen van verborgen processen ...

scannen van verborgen autostart items ...

scannen van verborgen bestanden ...

**************************************************************************

.

Voltooingstijd: 2008-06-14 20:08:02

ComboFix-quarantined-files.txt 2008-06-14 18:06:59

ComboFix2.txt 2008-05-27 16:32:59

Pre-Run: 16,203,063,296 bytes beschikbaar

Post-Run: 16,358,944,768 bytes beschikbaar

147 --- E O F --- 2008-06-11 14:38:21

Link naar reactie
Delen op andere sites

Gast
Dit topic is nu gesloten voor nieuwe reacties.

×
×
  • Nieuwe aanmaken...

Belangrijke informatie

We hebben cookies geplaatst op je toestel om deze website voor jou beter te kunnen maken. Je kunt de cookie instellingen aanpassen, anders gaan we er van uit dat het goed is om verder te gaan.