HJT log , iets mis ?

[athlon]

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:55:16, on 28/12/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16762)

Boot mode: Normal

Running processes:

E:\WINDOWS\System32\smss.exe

E:\WINDOWS\system32\winlogon.exe

E:\WINDOWS\system32\services.exe

E:\WINDOWS\system32\lsass.exe

E:\WINDOWS\system32\svchost.exe

E:\WINDOWS\System32\svchost.exe

E:\WINDOWS\Explorer.EXE

E:\WINDOWS\system32\spoolsv.exe

E:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

E:\WINDOWS\SOUNDMAN.EXE

E:\WINDOWS\system32\RUNDLL32.EXE

E:\Program Files\Java\jre6\bin\jusched.exe

E:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

E:\WINDOWS\system32\ctfmon.exe

E:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

E:\Program Files\Java\jre6\bin\jqs.exe

E:\WINDOWS\system32\nvsvc32.exe

E:\WINDOWS\system32\PnkBstrA.exe

E:\WINDOWS\system32\PnkBstrB.exe

E:\WINDOWS\system32\taskmgr.exe

E:\Program Files\Internet Explorer\iexplore.exe

E:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Program Files\Java\jre6\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - e:\program files\google\googletoolbar2.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - E:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - E:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - e:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [AceGain LiveUpdate] E:\Program Files\AceGain\LiveUpdate\LiveUpdate.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [sunJavaUpdateSched] "E:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [avgnt] "E:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Lokale service')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Netwerkservice')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - E:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - E:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Google Updater Service (gusvc) - Google - E:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - E:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PnkBstrA - Unknown owner - E:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: PnkBstrB - Unknown owner - E:\WINDOWS\system32\PnkBstrB.exe

--

End of file - 4897 bytes

ik weet niet direct wat PunkBstrA en B is ... , misschien iets met games te maken ? ( punkbuster )

[kape]

Eén "schoonheidsfoutje" in dit log. Je mag onderstaand lijntje fixen :

O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)

en dan is alles OK. Waren er problemen met deze PC, of was dit maar een routinecontrole ?

[athlon]

Ja , soms kan hij vrij snel zijn , en andere keren zeeeeeeer traag ( 5 tot 10 min om op te starten ) ik weet niet door wat dit komt ,maar hij is ook wel niet meer zo jong...

[kape]

Doe dan - bij wijze van extra controle - nog eventjes dit :

Download Combofix naar je Bureaublad.

OPMERKING: indien je, tijdens of na het downloaden van Combofix of tijdens het gebruik van Combofix een melding krijgt van je Antivirus- of een andere realtime scanner, schakel dan deze scanner uit en download Combofix opnieuw.

Sommige scanners zien bepaalde componenten die Combofix gebruikt als verdacht en gaan deze blokkeren of verwijderen!

• Dubbelklik op Combofix.exe om het te starten.
  Indien je Combofix al eerder hebt gebruikt, kan je een waarschuwing krijgen dat een update beschikbaar is. Sta toe dat ComboFix wordt geupdate.
  Volg de instructies, aanvaard de disclaimer door op Ja te klikken.
  Indien de Recovery Console niet geïnstalleerd is, wordt je gevraagd om dit alsnog te doen door op JA te klikken in het "Query - Recovery Console" venster (enkel voor XP, niet voor VISTA).
  Klik op OK en Ja om automatisch de Recovery Console te laten installeren.
  Klik na afloop terug op Ja om het scannen op malware te starten.
  Tijdens het runnen van de fix, NIET in het venster klikken, want dit zal je pc doen vasthangen.
  

Wanneer de fix voltooid is en na herstart, zal de log Combofix.txt openen.

Post dit logje in je volgende antwoord.

[athlon]

combofix lukt me niet , eerst zegt hij combofix hernoemen als combofix[1] , gelieve een andere naam te gebruiken dan klik ik op ok , en dan verdwijnt alles , ik zoek het bestand , het zit in E Windows Prefetch , ik dubbelklik , en Windows kan het bestand niet openen ...

[kape]

Dan lijkt het me dat je Combofix ineens opgestart hebt, zonder eerst op te slaan op je bureaublad. Of vergis ik me ?

[athlon]

Dan lijkt het me dat je Combofix ineens opgestart hebt, zonder eerst op te slaan op je bureaublad. Of vergis ik me ?

wat bedoel je met opslaan op bureaublad , daarnaar kopiëren? (dat heb ik al gedaan en werkte ook niet ) het is gewoon een bestand , geen icoon of zo ...

[kape]

Om optimaal te werken gaan we eerst het oude Combofix verwijderen. Dat doe je zo :

Start -> Uitvoeren en typ: combofix /u

Dit zal Combofix verwijderen + gerelateerde mappen en bestanden, herstelt de klokinstellingen opnieuw, verbergt de bestandsextensies, gaat verborgen bestanden en systeembestanden terug verbergen en maakt een nieuw herstelpunt.

Dan klik je op bovenstaande link van Combofix en krijg je Combofix.exe in een schermpje aangeboden. Daar klik je op "bestand opslaan" met bestemming bureaublad. Dan verschijnt er een rood icoon van Combofix op je bureaublad. Het is door te klikken op dit icoon dat het programma op een correcte manier wordt opgestart. En dan zou je de - door jou eerder gemelde - foutmelding niet meer mogen krijgen en een normaal log van Combofix moeten kunnen aanmaken.

[athlon]

gelukt ! , kan het zijn dat die programma's Call of duty Multiplayer tegenwerken , want dit blijft nu altijd vast zitten ,...

ComboFix 08-12-28.04 - Marijn 2008-12-29 20:30:10.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.3.1252.1.1043.18.511.330 [GMT 1:00]

Running from: e:\documents and settings\Marijn\Bureaublad\ComboFix.exe

AV: BitDefender Antivirus *On-access scanning disabled* (Updated)

AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)

FW: BitDefender Firewall *disabled*

* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

e:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat

e:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat

----- BITS: Possible infected sites -----

hxxp://gateway.digitalmusicnotebook.com

.

((((((((((((((((((((((((( Files Created from 2008-11-28 to 2008-12-29 )))))))))))))))))))))))))))))))

.

2008-12-29 20:27 . 2008-12-29 20:27 <DIR> d-------- E:\32788R22FWJFW

2008-12-28 22:54 . 2008-12-28 22:54 <DIR> d-------- e:\program files\Trend Micro

2008-12-27 16:05 . 2008-12-29 19:22 <DIR> d-------- e:\program files\Call of Duty

2008-12-27 15:58 . 2008-12-28 22:48 766 --a------ e:\windows\CoD.INI

2008-12-23 18:08 . 2008-12-23 18:08 <DIR> d-------- e:\program files\MSXML 4.0

2008-12-22 19:26 . 2008-12-22 19:26 <DIR> d-------- e:\windows\system32\Adobe

2008-12-22 17:06 . 1996-11-06 13:02 302,592 --a------ e:\windows\unin0413.exe

2008-12-18 13:47 . 2008-12-18 13:47 <DIR> d-------- e:\program files\Avira

2008-12-18 13:47 . 2008-12-18 13:47 <DIR> d-------- e:\documents and settings\All Users\Application Data\Avira

2008-12-16 21:00 . 2008-12-28 23:38 <DIR> dr-h----- e:\documents and settings\Marijn\Onlangs geopend

2008-12-15 19:37 . 2008-12-15 19:37 850 --a------ e:\windows\system32\ProductTweaks.xml

2008-12-15 19:37 . 2008-12-15 19:37 385 --a------ e:\windows\system32\user_gensett.xml

2008-12-15 19:25 . 2008-12-16 20:58 <DIR> d-------- e:\program files\Common Files\BitDefender

2008-12-14 16:47 . 2008-12-14 16:47 244 --ah----- E:\sqmnoopt07.sqm

2008-12-14 16:47 . 2008-12-14 16:47 232 --ah----- E:\sqmdata07.sqm

2008-12-14 16:42 . 2008-12-14 16:40 410,984 --a------ e:\windows\system32\deploytk.dll

2008-12-13 19:19 . 2008-12-13 19:19 <DIR> d-------- e:\documents and settings\Marijn\Application Data\Uniblue

2008-12-13 19:18 . 2008-12-16 20:43 <DIR> d----c--- e:\documents and settings\All Users\Application Data\{B46E1EF5-0B37-4DB4-A4E2-9F2B41036185}

2008-12-12 19:14 . 2008-12-12 19:14 244 --ah----- E:\sqmnoopt06.sqm

2008-12-12 19:14 . 2008-12-12 19:14 232 --ah----- E:\sqmdata06.sqm

2008-12-04 19:12 . 2008-12-04 19:12 244 --ah----- E:\sqmnoopt05.sqm

2008-12-04 19:12 . 2008-12-04 19:12 232 --ah----- E:\sqmdata05.sqm

2008-12-03 16:14 . 2008-12-03 16:14 244 --ah----- E:\sqmnoopt04.sqm

2008-12-03 16:14 . 2008-12-03 16:14 232 --ah----- E:\sqmdata04.sqm

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-12-29 18:33 138,376 ----a-w e:\windows\system32\drivers\PnkBstrK.sys

2008-12-29 18:32 202,448 ----a-w e:\windows\system32\PnkBstrB.exe

2008-12-27 12:30 --------- d--h--w e:\program files\InstallShield Installation Information

2008-12-26 14:26 --------- d-----w e:\program files\Common Files\Symantec Shared

2008-12-24 12:26 --------- d-----w e:\documents and settings\All Users\Application Data\Symantec

2008-12-22 13:30 --------- d-----w e:\program files\Common Files\InstallShield

2008-12-14 15:40 --------- d-----w e:\program files\Java

2008-11-13 19:00 --------- d-----w e:\documents and settings\All Users\Application Data\McAfee

2008-11-10 18:04 --------- d-----w e:\program files\Common Files\Cisco Systems

2008-11-01 15:13 53,248 ----a-w e:\windows\system32\unrar.dll

2008-10-23 12:43 286,720 ----a-w e:\windows\system32\gdi32.dll

2008-10-16 20:33 826,368 ----a-w e:\windows\system32\wininet.dll

2008-10-16 13:13 202,776 ----a-w e:\windows\system32\wuweb.dll

2008-10-16 13:13 1,809,944 ----a-w e:\windows\system32\wuaueng.dll

2008-10-16 13:12 561,688 ----a-w e:\windows\system32\wuapi.dll

2008-10-16 13:12 323,608 ----a-w e:\windows\system32\wucltui.dll

2008-10-16 13:09 92,696 ----a-w e:\windows\system32\cdm.dll

2008-10-16 13:09 51,224 ----a-w e:\windows\system32\wuauclt.exe

2008-10-16 13:09 43,544 ----a-w e:\windows\system32\wups2.dll

2008-10-16 13:08 34,328 ----a-w e:\windows\system32\wups.dll

2008-10-16 13:06 268,648 ----a-w e:\windows\system32\mucltui.dll

2008-10-16 13:06 208,744 ----a-w e:\windows\system32\muweb.dll

2008-10-03 10:05 247,326 ----a-w e:\windows\system32\strmdll.dll

2008-09-30 15:43 1,286,152 ----a-w e:\windows\system32\msxml4.dll

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="e:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="e:\windows\system32\NvCpl.dll" [2006-10-22 7700480]

"NvMediaCenter"="e:\windows\system32\NvMcTray.dll" [2006-10-22 86016]

"SunJavaUpdateSched"="e:\program files\Java\jre6\bin\jusched.exe" [2008-12-14 136600]

"avgnt"="e:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

"SoundMan"="SOUNDMAN.EXE" [2007-04-16 e:\windows\soundman.exe]

"nwiz"="nwiz.exe" [2006-10-22 e:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="e:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]

"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"e:\\Program Files\\Messenger\\msmsgs.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"e:\\Program Files\\Call of Duty\\CoDMP.exe"=

*Newly Created Service* - CATCHME

*Newly Created Service* - PROCEXP90

.

- - - - ORPHANS REMOVED - - - -

HKLM-Run-AceGain LiveUpdate - e:\program files\AceGain\LiveUpdate\LiveUpdate.exe

.

------- Supplementary Scan -------

.

uStart Page = hxxp://www.google.be/

uSearchMigratedDefaultURL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}

.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-12-29 20:33:25

Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

.

Completion time: 2008-12-29 20:35:35

ComboFix-quarantined-files.txt 2008-12-29 19:34:32

Pre-Run: 1.888.899.072 bytes beschikbaar

Post-Run: 2,376,671,232 bytes beschikbaar

123 --- E O F --- 2008-12-24 16:01:34

[athlon]

zou ik deze programma's moeten laten staan of wegdoen ? , bij het wegdoen van Combofix vroeg hij om Windows recovery console te installeren en dit wist ik niet dus heb ik de 2 programma's voorlopig nog laten staan...