Politievirus

[aussie]

Deze morgen, POLITIEVIRUS. Even googelen met ander pc en infogevonden. Via veilige modus toch kunnen opstarten en meerdere software teruggeupdated en laten runnen; Malwarebytes Anti-Malware 2 maal, SUPERAntiSpywareFree Edition 2 maal, AVG 2013, Spybot - Search& Destroy ook dubbel laten lopen. Enkelezaken verwijderd.

Dan logje gemaakt met HijackThis. Is alles nu safe?

Logfile ofTrend Micro HijackThis v2.0.4

Scan savedat 15:25:23, on 13/04/2013

Platform:Windows 7 SP1 (WinNT 6.00.3505)

MSIE:Internet Explorer v10.0 (10.00.9200.16521)

Boot mode:Normal

Runningprocesses:

C:\ProgramFiles (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Users\Stefaan\AppData\Roaming\Dropbox\bin\Dropbox.exe

C:\ProgramFiles (x86)\OpenOffice.org 3\program\soffice.exe

C:\ProgramFiles (x86)\OpenOffice.org 3\program\soffice.bin

C:\ProgramFiles (x86)\iTunes\iTunesHelper.exe

C:\ProgramFiles (x86)\Common Files\Java\Java Update\jusched.exe

C:\ProgramFiles (x86)\Google\Google Desktop Search\GoogleDesktop.exe

C:\ProgramFiles (x86)\Canon\Solution Menu EX\CNSEMAIN.EXE

C:\ProgramFiles (x86)\AVG\AVG2013\avgui.exe

C:\ProgramFiles (x86)\AVG Secure Search\vprot.exe

C:\ProgramFiles (x86)\Internet Explorer\IEXPLORE.EXE

C:\ProgramFiles (x86)\Google\Google Toolbar\GoogleToolbarUser_32.exe

C:\Users\Stefaan\Desktop\HijackThis(1).exe

C:\Windows\SysWOW64\DllHost.exe

R1 -HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =http://go.microsoft.com/fwlink/?LinkId=54896

R0 -HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =http://www.google.be/

R1 -HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =http://go.microsoft.com/fwlink/p/?LinkId=255141

R1 -HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =http://go.microsoft.com/fwlink/?LinkId=54896

R1 -HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =http://go.microsoft.com/fwlink/?LinkId=54896

R0 -HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =http://go.microsoft.com/fwlink/p/?LinkId=255141

R0 -HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 -HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 -HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =C:\Windows\SysWOW64\blank.htm

R0 -HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

F2 -REG:system.ini: UserInit=userinit.exe,

O2 - BHO:AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files(x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO:Canon Easy-WebPrint EX BHO - {3785D0AD-BFFF-47F6-BF5B-A587C162FED9} -C:\Program Files (x86)\Canon\Easy-WebPrint EX\ewpexbho.dll

O2 - BHO:PDF Architect Helper - {3A2D5EBA-F86D-4BD3-A177-019765996711} - C:\ProgramFiles (x86)\PDF Architect\PDFIEHelper.dll

O2 - BHO:Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} -C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO:Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ProgramFiles (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll

O2 - BHO:Aanmeldhulp voor Windows Live ID - {9030D464-4C02-4ABF-8ECC-5164760863C6} -C:\Program Files (x86)\Common Files\Microsoft Shared\WindowsLive\WindowsLiveLogin.dll

O2 - BHO:AVG Security Toolbar - {95B7759C-8C7F-4BF1-B163-73684A933233} - C:\ProgramFiles (x86)\AVG Secure Search\14.2.0.1\AVG Secure Search_toolbar.dll

O2 - BHO:Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\ProgramFiles (x86)\Google\Google Toolbar\GoogleToolbar_32.dll

O2 - BHO:Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} -C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll

O3 -Toolbar: Canon Easy-WebPrint EX - {759D9886-0C6F-4498-BAB6-4A5F47C6C72F} -C:\Program Files (x86)\Canon\Easy-WebPrint EX\ewpexhlp.dll

O3 -Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\ProgramFiles (x86)\Google\Google Toolbar\GoogleToolbar_32.dll

O3 -Toolbar: PDF Architect Toolbar - {25A3A431-30BB-47C8-AD6A-E1063801134F} -C:\Program Files (x86)\PDF Architect\PDFIEPlugin.dll

O3 -Toolbar: AVG Security Toolbar - {95B7759C-8C7F-4BF1-B163-73684A933233} -C:\Program Files (x86)\AVG Secure Search\14.2.0.1\AVG Secure Search_toolbar.dll

O4 -HKLM\..\Run: [startCCC] "C:\Program Files (x86)\ATITechnologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun

O4 -HKLM\..\Run: [APSDaemon] "C:\Program Files (x86)\Common Files\Apple\AppleApplication Support\APSDaemon.exe"

O4 -HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\CommonFiles\Adobe\ARM\1.0\AdobeARM.exe"

O4 -HKLM\..\Run: [iTunesHelper] "C:\Program Files (x86)\iTunes\iTunesHelper.exe"

O4 -HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files (x86)\CommonFiles\Java\Java Update\jusched.exe"

O4 -HKLM\..\Run: [Google Desktop Search] "C:\Program Files (x86)\Google\GoogleDesktop Search\GoogleDesktop.exe" /startup

O4 - HKLM\..\Run:[AdobeCS4ServiceManager] "C:\Program Files (x86)\CommonFiles\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin

O4 -HKLM\..\Run: [CanonSolutionMenuEx] C:\Program Files (x86)\Canon\Solution MenuEX\CNSEMAIN.EXE /logon

O4 -HKLM\..\Run: [GrooveMonitor] "C:\Program Files (x86)\MicrosoftOffice\Office12\GrooveMonitor.exe"

O4 -HKLM\..\Run: [AVG_UI] "C:\Program Files (x86)\AVG\AVG2013\avgui.exe"/TRAYONLY

O4 -HKLM\..\Run: [vProt] "C:\Program Files (x86)\AVG SecureSearch\vprot.exe"

O4 - HKCU\..\Run:[sUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 -HKCU\..\Run: [sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun

O4 -HKCU\..\Run: [swg] "C:\Program Files(x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

O4 -HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe/autoRun (User 'LOCAL SERVICE')

O4 -HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User'LOCAL SERVICE')

O4 -HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe/autoRun (User 'NETWORK SERVICE')

O4 -HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORKSERVICE')

O4 -Startup: Dropbox.lnk = Stefaan\AppData\Roaming\Dropbox\bin\Dropbox.exe

O4 -Startup: OpenOffice.org 3.3 .lnk = C:\Program Files (x86)\OpenOffice.org3\program\quickstart.exe

O4 - GlobalStartup: Adobe Gamma Loader.lnk = C:\Program Files (x86)\CommonFiles\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extracontext menu item: Add to Google Photos Screensa&ver -res://C:\Windows\system32\GPhotos.scr/200

O8 - Extracontext menu item: E&xport to Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000

O9 - Extrabutton: @C:\Program Files (x86)\WindowsLive\Writer\WindowsLiveWriterShortcuts.dll,-1004 -{219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\WindowsLive\Writer\WriterBrowserExtension.dll

O9 - Extra'Tools' menuitem: @C:\Program Files (x86)\WindowsLive\Writer\WindowsLiveWriterShortcuts.dll,-1003 -{219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\WindowsLive\Writer\WriterBrowserExtension.dll

O9 - Extrabutton: Verzenden naar OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} -C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll

O9 - Extra'Tools' menuitem: Verz&enden naar OneNote -{2670000A-7350-4f3c-8081-5663EE0C6C49} -C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll

O9 - Extrabutton: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL

O9 - Extrabutton: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files(x86)\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra'Tools' menuitem: Spybot - Search && Destroy Configuration -{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files (x86)\Spybot - Search& Destroy\SDHelper.dll

O10 -Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoftshared\windows live\wlidnsp.dll

O10 -Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoftshared\windows live\wlidnsp.dll

O11 -Options group: [ACCELERATED_GRAPHICS] Accelerated graphics

O18 -Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ProgramFiles (x86)\Microsoft Office\Office12\GrooveSystemServices.dll

O18 -Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file)

O18 -Protocol: viprotocol - {B658800C-F66E-4EF3-AB85-6C0C227862A9} - C:\ProgramFiles (x86)\Common Files\AVG Secure Search\ViProtocolInstaller\14.2.0\ViProtocol.dll

O18 -Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files(x86)\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll

O20 -AppInit_DLLs: C:\PROGRA~2\Google\GOOGLE~4\GO36F4~1.DLL

O23 -Service: SAS Core Service (!SASCORE) - SUPERAntiSpyware.com - C:\ProgramFiles\SUPERAntiSpyware\SASCORE64.EXE

O23 -Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe SystemsIncorporated - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe

O23 -Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - AdobeSystems Incorporated -C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe

O23 -Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner -C:\Windows\System32\alg.exe (file missing)

O23 -Service: AMD External Events Utility - Unknown owner -C:\Windows\system32\atiesrxx.exe (file missing)

O23 -Service: AMD FUEL Service - Advanced Micro Devices, Inc. - C:\Program Files\ATITechnologies\ATI.ACE\Fuel\Fuel.Service.exe

O23 -Service: AMD Reservation Manager - Advanced Micro Devices - C:\ProgramFiles\ATI Technologies\ATI.ACE\Reservation Manager\AMD Reservation Manager.exe

O23 -Service: Apple Mobile Device - Apple Inc. - C:\Program Files (x86)\CommonFiles\Apple\Mobile Device Support\AppleMobileDeviceService.exe

O23 -Service: AVGIDSAgent - AVG Technologies CZ, s.r.o. - C:\Program Files(x86)\AVG\AVG2013\avgidsagent.exe

O23 -Service: AVG WatchDog (avgwd) - AVG Technologies CZ, s.r.o. - C:\Program Files(x86)\AVG\AVG2013\avgwdsvc.exe

O23 -Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner -C:\Windows\System32\lsass.exe (file missing)

O23 -Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner -C:\Windows\system32\fxssvc.exe (file missing)

O23 -Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files(x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 -Service: Google Desktop Manager 5.9.1005.12335(GoogleDesktopManager-051210-111108) - Google - C:\Program Files(x86)\Google\Google Desktop Search\GoogleDesktop.exe

O23 -Service: Google Update-service (gupdate) (gupdate) - Google Inc. - C:\ProgramFiles (x86)\Google\Update\GoogleUpdate.exe

O23 -Service: Google Update-service (gupdatem) (gupdatem) - Google Inc. - C:\ProgramFiles (x86)\Google\Update\GoogleUpdate.exe

O23 -Service: Google Software Updater (gusvc) - Google - C:\Program Files(x86)\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 -Service: Canon Inkjet Printer/Scanner/Fax Extended Survey Program (IJPLMSVC) -Unknown owner - C:\Program Files (x86)\Canon\IJPLM\IJPLMSVC.EXE

O23 -Service: iPod-service (iPod Service) - Apple Inc. - C:\ProgramFiles\iPod\bin\iPodService.exe

O23 -Service: @keyiso.dll,-100 (KeyIso) - Unknown owner -C:\Windows\system32\lsass.exe (file missing)

O23 -Service: @comres.dll,-2797 (MSDTC) - Unknown owner -C:\Windows\System32\msdtc.exe (file missing)

O23 -Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner -C:\Windows\system32\lsass.exe (file missing)

O23 -Service: PDF Architect Helper Service - pdfforge GbR - C:\Program Files(x86)\PDF Architect\HelperService.exe

O23 -Service: PDF Architect Service - pdfforge GbR - C:\Program Files (x86)\PDFArchitect\ConversionService.exe

O23 -Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknownowner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service:@%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner -C:\Windows\system32\locator.exe (file missing)

O23 -Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner -C:\Windows\system32\lsass.exe (file missing)

O23 - Service:SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. -C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe

O23 -Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner -C:\Windows\System32\snmptrap.exe (file missing)

O23 -Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner -C:\Windows\System32\spoolsv.exe (file missing)

O23 -Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner -C:\Windows\system32\sppsvc.exe (file missing)

O23 -Service: TeamViewer 6 (TeamViewer6) - TeamViewer GmbH - C:\Program Files(x86)\TeamViewer\Version6\TeamViewer_Service.exe

O23 -Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner- C:\Windows\system32\UI0Detect.exe (file missing)

O23 -Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner -C:\Windows\system32\lsass.exe (file missing)

O23 -Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner -C:\Windows\System32\vds.exe (file missing)

O23 -Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner -C:\Windows\system32\vssvc.exe (file missing)

O23 -Service: vToolbarUpdater14.2.0 - Unknown owner - C:\Program Files (x86)\CommonFiles\AVG Secure Search\vToolbarUpdater\14.2.0\ToolbarUpdater.exe

O23 -Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknownowner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)

O23 -Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner -C:\Windows\system32\wbengine.exe (file missing)

O23 -Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknownowner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)

O23 -Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc)- Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe(file missing)

--

End of file- 13858 bytes

[Mako]

Hallo aussie,

Ik zal je log bekijken.

Ik moet echter mijn advies eerst laten keuren door een gekwalificeerd helper, hierdoor kan het iets langer duren voordat ik je verder kan helpen.

Alvast bedankt voor je begrip.

Met vriendelijke groet,

Mako

[aussie]

Geen probleem. Voorlopig kuis ik de pc volledig verder op en werk op de laptop. Er zit wel een smiley halverwege de log, bizar.

[Mako]

Hoi,

HijackThis is stilaan outdated en toont daarom niet alle informatie meer om hier een correcte diagnose te stellen. We gaan dus nog een klein beetje verder kijken ;-).

Download zoek.exe naar het bureaublad.

• 
  
• Schakel je antivirus- en antispywareprogramma's uit, mogelijk kunnen ze conflicteren met zoek.exe
  (hier of hier) kan je lezen hoe je dat doet.
  
• Dubbelklik op Zoek.exe om de tool te starten.
  
• Windows Vista, 7 en 8 gebruikers dienen de tool als "administrator" uit te voeren door middel van de rechtermuisknop en kiezen voor Als Administrator uitvoeren.
  
• Klik op de knop "Options" en vink nu de onderstaande opties aan.
  
  • 
    
  • Running processes
    
  • Recently Created
    
  • Startup Information
    
  • Auto Clean
    

  [*] Klik daarna op de knop "Run script".

  [*] Wacht nu geduldig af tot er een logje opent (dit kan na een herstart zijn als deze benodigd is).

  [*] Mocht na de herstart geen logje verschijnen, start zoek.exe dan opnieuw, de log verschijnt dan alsnog.

  [*] Post nu de inhoud van het geopende logje in het volgende bericht.

Wat die smiley in je vorige logje betreft; dat is over het algemeen niet zo erg hoor, de meest frequente codes van de smileys ken ik wel uit het hoofd. Maar je kan onderaan de uitgebreide editor (via Meer opties) kiezen om smileys in je bericht niet om te zetten .

Groet,

Mako

[aussie]

Afzetten programma's. Heb spybot gewoon verwijderd, AVG afgezet, SUPERAntiSpyware Free Edition afgezet, maar Malwarebytes Anti-Malware afzetten lukt niet. Heb niet de real time versie (Computer Forum - PC Web Plus ? Toon onderwerp - Antispy & malware software uitschakelen )

[Mako]

Hoi,

Indien je niet over de real-time versie van MBAM beschikt dien je deze ook niet uit te schakelen ;-).

[Mako]

Hallo aussie,

Wil het een beetje lukken...?

[aussie]

Ga MBAM toch maar verwijderen voor de zekerheid, om geen problemen te hebben.

Zal straks actie uitvoeren.

[aussie]

Zoek.exe kan ik niet downloaden. Via google heb ik andere link geprobeerd, dubbel klik .. Maar geen download .Download zoek.exe version 4.0.0.2 en Download zoek.exe version 4.0.0.2

[kape]

Als je bovenaan op de download klikt, krijg je toch een .zip-bestand waarbij jet zoek.exe kan uitpakken ?