Groot terugkerend MS Removal Tool probleem

[Flyer1]

Hallo, mijn laptop heb ik na de besmetting helemaal geformatteerd beide partities, en
vervolgens nieuwe install van de oude Acronis backup van een driekwart jaar terug.

Nu na 1 week weer exact dezelfde narigheid, terwijl er voordien veel meer tijd tussen de acronis momentopname van maken (driekwart jaar geleden) van de backup en besmetting nadien (vorige maand) was dus...
het kan toch niet in de backup gezeten hebben...??

Internetten is nie meer mogelijk nie, maar heeft wel uitstekend verbinding, enz enz.
mijn BULLGUARD beveiliging heeft het niet kunnen blocken....

ik heb in de currentversion/microsoft/windows/ wel een 'runonce' sleutel verwijderd, maar dat hielp niet veel
Internetten lukt bijv. niet, maar de verbinding is wel uitstekend!!

hierbij de logjes van HT en AntimalwareBytes. zouden jullie er misschien even naar willen kijken? Zeer hartelijk dank alvast, groeten Flyer1

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org
Databaseversie: 6818
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11
9-6-2011 13:38:10
mbam-log-2011-06-09 (13-38-05).txt
Scantype: Snelle scan
Objecten gescand: 199422
Verstreken tijd: 8 minuut/minuten, 11 seconde
Geheugenprocessen geïnfecteerd: 0
Geheugenmodulen geïnfecteerd: 0
Registersleutels geïnfecteerd: 4
Registerwaarden geïnfecteerd: 0
Registerdata geïnfecteerd: 0
Mappen geïnfecteerd: 10
Bestanden geïnfecteerd: 5
Geheugenprocessen geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Geheugenmodulen geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Registersleutels geïnfecteerd:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{4A7C84E2-E95C-43C6-8DD3-03ABCD0EB60E} (Adware.SmartShopper) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{5CBF8C22-E9A6-11D7-90FE-000AE4012DB4} (Switch.Dialer) -> No action taken.
HKEY_CURRENT_USER\{D45817B8-3EAD-4d1d-8FCA-EC63A8E35DE2} (Adware.DoubleD) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\R oot\LEGACY_WEEMI_SERVICE (Adware.Weemi) -> No action taken.
Registerwaarden geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Registerdata geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Mappen geïnfecteerd:
c:\program files\Weemi (Adware.Weemi) -> No action taken.
c:\WINDOWS\system32\28463 (Keylogger.Ardamax) -> No action taken.
c:\documents and settings\Hans\local settings\application data\gamezjoint toolbar (Adware.DoubleD) -> No action taken.
c:\documents and settings\Hans\local settings\application data\gamezjoint toolbar\2.6.1.11950 (Adware.DoubleD) -> No action taken.
c:\documents and settings\Hans\local settings\application data\gamezjoint toolbar\2.6.1.11950\bin (Adware.DoubleD) -> No action taken.
c:\documents and settings\Hans\local settings\temporary internet files\{d45817b8-3ead-4d1d-8fca-ec63a8e35de2} (Adware.DoubleD) -> No action taken.
c:\documents and settings\Hans\local settings\temporary internet files\{d45817b8-3ead-4d1d-8fca-ec63a8e35de2}\Data (Adware.DoubleD) -> No action taken.
c:\documents and settings\Hans\local settings\temporary internet files\New_tdf (Adware.DoubleD.Gen) -> No action taken.
c:\documents and settings\Hans\local settings\temporary internet files\New_tdf\Data (Adware.DoubleD.Gen) -> No action taken.
c:\documents and settings\Hans\local settings\temporary internet files\New_tdf\Icons (Adware.DoubleD.Gen) -> No action taken.
Bestanden geïnfecteerd:
c:\documents and settings\hans\local settings\temp\ms1cfg32.exe (Trojan.FakeAlert) -> No action taken.
c:\WINDOWS\system32\28463\MHLI.001 (Keylogger.Ardamax) -> No action taken.
c:\WINDOWS\system32\28463\MHLI.002 (Keylogger.Ardamax) -> No action taken.
c:\WINDOWS\system32\28463\MHLI.005 (Keylogger.Ardamax) -> No action taken.
c:\WINDOWS\system32\28463\MHLI.009 (Keylogger.Ardamax) -> No action taken.



__________________________________________________ _________________
Hijack this :


Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 13:28:06, on 9-6-2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17096)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\acs.exe
C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
C:\Program Files\BullGuard Ltd\BullGuard\BullGuardUpdate.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\TPSMain.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\BullGuard Ltd\BullGuard\bullguard.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Documents and Settings\Hans\Bureaublad\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.com/0SEENUS/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.kadaza.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = http=127.0.0.1:52667
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll (file missing)
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [BullGuard] "C:\Program Files\BullGuard Ltd\BullGuard\bullguard.exe" -boot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BullGuard] "C:\Program Files\BullGuard Ltd\BullGuard\bullguard.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Lokale service')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Netwerkservice')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Add To Print List - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint High Speed Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Preview - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O9 - Extra button: In weblog opnemen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll (file missing)
O9 - Extra 'Tools' menuitem: &In weblog opnemen met Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/Messen.../GAME_UNO1.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1249215049234
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O22 - SharedTaskScheduler: Preloader van browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Cache-daemon voor onderdeelcategorieën - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
O23 - Service: Atheros-clienthulpprogramma (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BullGuard LiveUpdate (BgLiveSvc) - BullGuard Ltd. - C:\Program Files\BullGuard Ltd\BullGuard\BullGuardUpdate.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: De service Windows Live Family Safety (fsssvc) - Unknown owner - C:\Program Files\Windows Live\Family Safety\fsssvc.exe (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Program Files\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
--
End of file - 8455 bytes

[Rosty]

Download ComboFix van één van deze locaties:
Link 1
Link 2

* BELANGRIJK !!! Sla ComboFix.exe op je Bureaublad op

• Schakel alle antivirus- en antispywareprogramma's uit, want anders kunnen ze misschien conflicteren met ComboFix. Hier is een handleiding over hoe je ze kan uitschakelen:
  Klik hier
  Als het je niet lukt om ze uit te schakelen, ga dan gewoon door naar de volgende stap.
• Dubbeklik op ComboFix.exe en volg de meldingen op het scherm.
• ComboFix zal controleren of dat de Microsoft Windows Recovery Console reeds is geïnstalleerd.
  **Let op: Als de Microsoft Windows Recovery Console al is geïnstalleerd, dan krijg je de volgende schermen niet te zien en zal ComboFix automatisch verder gaan met het scannen naar malware.
• Volg de meldingen op het scherm om ComboFix de Microsoft Windows Recovery Console te laten downloaden en installeren.

Je krijgt de volgende melding te zien wanneer ComboFix de Microsoft Windows Recovery Console succesvol heeft geïnstalleerd:



Klik op Ja om verder te gaan met het scannen naar malware.

Wanneer ComboFix klaar is, zal het het een logbestand voor je maken. Post de inhoud van dit logbestand (te vinden als C:\ComboFix.txt) in je volgende bericht

[Flyer1]

Hallo Rosty, bedankt, ik heb de actie uitgevoerd
hierbij het volgende verslag van Combofix :

ComboFix 11-06-10.05 - Hans 10-06-2011 21:18:35.1.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.31.1043.18.1470.1051 [GMT 2:00]
Gestart vanuit: c:\documents and settings\Hans\Bureaublad\ComboFix.exe
AV: BullGuard Antivirus *Enabled/Updated* {7A9BB333-8EDF-4FDC-A2A5-1A30FA021913}
FW: BullGuard Firewall *Disabled* {2AEF4CB6-61B5-4E60-AF22-D95E75B63FA1}
* Nieuw herstelpunt werd aangemaakt
.
.
(((((((((((((((((((((((((((((((((( Andere Verwijderingen )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\Administrator\WINDOWS
c:\documents and settings\All Users\Application Data\lB28218AnHnK28218
c:\documents and settings\All Users\Application Data\lB28218AnHnK28218\lB28218AnHnK28218
c:\documents and settings\All Users\Application Data\lB28218AnHnK28218\lB28218AnHnK28218.exe
c:\documents and settings\Default User\WINDOWS
c:\documents and settings\Gast\WINDOWS
c:\documents and settings\Hs\Local Settings\Application Data\GamezJoint Toolbar
c:\documents and settings\Hs\WINDOWS
c:\documents and settings\nk en luuk\WINDOWS
c:\documents and settings\Nk2\WINDOWS
c:\program files\Weemi
c:\windows\IsUn0413.exe
c:\windows\system32\28463
c:\windows\system32\28463\MHLI.001
c:\windows\system32\28463\MHLI.002
c:\windows\system32\28463\MHLI.005
c:\windows\system32\28463\MHLI.009
c:\windows\system32\2978928.dll
c:\windows\system32\4835250.dll
c:\windows\system32\6036168.dll
c:\windows\system32\827350.dll
c:\windows\system32\config\systemprofile\WINDOWS
.
.
(((((((((((((((((((( Bestanden Gemaakt van 2011-05-10 to 2011-06-10 ))))))))))))))))))))))))))))))
.
.
2023-04-03 13:06 . 2023-04-03 13:06 135168 ----a-w- c:\windows\system32\vbSendMail.dll
2011-06-09 11:28 . 2011-06-09 11:28 -------- d-----w- c:\documents and settings\Hans\Application Data\Malwarebytes
2011-06-09 11:28 . 2011-06-09 11:28 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2011-06-09 11:28 . 2011-05-29 07:11 39984 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-06-09 11:28 . 2011-06-09 11:28 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-06-09 11:28 . 2011-05-29 07:11 22712 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-05-26 20:00 . 2011-05-26 20:00 -------- d-----w- c:\program files\Your Uninstaller 2010
2011-05-26 19:57 . 2011-06-10 19:22 -------- d-----w- c:\documents and settings\Niek2
2011-05-26 14:52 . 2011-06-10 19:22 -------- d-----w- c:\documents and settings\Administrator
2011-05-26 14:25 . 2010-09-18 06:53 954368 -c----w- c:\windows\system32\dllcache\mfc40.dll
2011-05-26 14:25 . 2010-09-18 06:53 953856 -c----w- c:\windows\system32\dllcache\mfc40u.dll
2011-05-26 14:24 . 2010-08-23 16:13 617472 -c----w- c:\windows\system32\dllcache\comctl32.dll
2011-05-26 14:24 . 2010-06-14 14:31 744448 -c----w- c:\windows\system32\dllcache\helpsvc.exe
2011-05-26 14:23 . 2010-11-02 15:17 40960 -c----w- c:\windows\system32\dllcache\ndproxy.sys
2011-05-26 14:21 . 2010-10-11 14:59 45568 -c----w- c:\windows\system32\dllcache\wab.exe
.
.
.
((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))) ))
.
.
.
((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
.
*Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"BullGuard"="c:\program files\BullGuard Ltd\BullGuard\bullguard.exe" [2010-03-26 304464]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-08-05 344064]
"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2004-10-14 98394]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2004-10-14 688218]
"TPSMain"="TPSMain.exe" [2005-08-03 266240]
"BullGuard"="c:\program files\BullGuard Ltd\BullGuard\bullguard.exe" [2010-03-26 304464]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-05-29 449584]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunOnce]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-05-29 449584]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\BgMainSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\IncrediMail\\bin\\IMApp.exe"=
"c:\\Program Files\\IncrediMail\\bin\\IncMail.exe"=
"c:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Pando Networks\\Media Booster\\PMB.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\GloballyOpenPorts\List]
"58721:TCP"= 58721:TCP:Pando Media Booster
"58721:UDP"= 58721:UDP:Pando Media Booster
"57049:TCP"= 57049:TCP:Pando Media Booster
"57049:UDP"= 57049:UDP:Pando Media Booster
.
R2 BdFileSpy;BullGuard File Monitor Driver;c:\windows\system32\drivers\BdFileSpy.sys [14-2-2010 0:43 55504]
R3 afw;Agnitum firewall driver;c:\windows\system32\drivers\Afw.sys [23-3-2009 14:07 31640]
R3 afwcore;afwcore;c:\windows\system32\drivers\AfwCor e.sys [23-3-2009 14:07 256792]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\dr ivers\mbam.sys [9-6-2011 13:28 22712]
S2 BsFileScan;BullGuard File Scan Service;c:\windows\System32\svchost.exe -k BullGuard [13-12-2005 11:46 14336]
S2 BsFire;BullGuard Firewall Service;c:\windows\System32\svchost.exe -k BullGuard [13-12-2005 11:46 14336]
S2 BsMailProxy;BullGuard Email Monitoring Service;c:\windows\System32\svchost.exe -k BullGuard [13-12-2005 11:46 14336]
S2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [9-6-2011 13:28 366640]
.
--- Andere Services/Drivers In Geheugen ---
.
*NewlyCreated* - IPFILTERDRIVER
*NewlyCreated* - MBAMPROTECTOR
*NewlyCreated* - MBAMSERVICE
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
BullGuard REG_MULTI_SZ BgMainSvc BsFileScan BsMailProxy BsFire
.
.
------- Bijkomende Scan -------
.
uStart Page = hxxp://www.kadaza.nl/
mStart Page = about:blank
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyServer = http=127.0.0.1:52667
IE: E&xporteren naar Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Easy-WebPrint Add To Print List - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
IE: Easy-WebPrint High Speed Print - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
IE: Easy-WebPrint Preview - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
IE: Easy-WebPrint Print - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
LSP: c:\windows\system32\BGLsp.dll
TCP: DhcpNameServer = 62.179.104.196 213.46.228.196
.
- - - - ORPHANS VERWIJDERD - - - -
.
AddRemove-Microsoft Interactive Training - c:\windows\IsUn0413.exe
AddRemove-PC Diagnoseprogramma - c:\windows\IsUn0413.exe
AddRemove-Power Saver - c:\windows\IsUn0413.exe
.
.
.
************************************************** ************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-06-10 21:23
Windows 5.1.2600 Service Pack 3 NTFS
.
scannen van verborgen processen ...
.
scannen van verborgen autostart items ...
.
scannen van verborgen bestanden ...
.
Scan succesvol afgerond
verborgen bestanden: 0
.
************************************************** ************************
.
--------------------- VERGRENDELDE REGISTER SLEUTELS ---------------------
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\Curr entVersion\Installer\UserData\LocalSystem\Componen ts\€–}|ÿÿÿÿÀ•}|ù•9~*]
"3140110900063D11C8EF10054038389C"="C?\\WINDOWS\\s ystem32\\FM20ENU.DLL"
.
--------------------- DLLs Geladen Onder Lopende Processen ---------------------
.
- - - - - - - > 'winlogon.exe'(996)
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'lsass.exe'(1052)
c:\windows\system32\BGLsp.dll
.
Voltooingstijd: 2011-06-10 21:25:31
ComboFix-quarantined-files.txt 2011-06-10 19:25
.
Pre-Run: 109.294.985.216 bytes beschikbaar
Post-Run: 109.540.749.312 bytes beschikbaar
.
WindowsXP-KB310994-SP2-Home-BootDisk-NLD.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOW S
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Micro soft Windows XP Home Edition" /noexecute=optin /fastdetect
.
- - End Of File - - B80DEE8DEAF907EBE95D6CDD1A2D9E1D

[Rosty]

Nog problemen nu?

[Flyer1]

kan ik hem nu gewoon proberen Rosty?

Heeft combofix en met name HT dan al wat gedaan? omdat ik nog niks handmatig aangevinkt heb of iets dergelijks
Ik had dat nog niet verwacht, ik kruip erachter en laat het even weten

[Flyer1]

werkt goed, alleen laptop wel trager en wat zwarte icoontjes rechtsonderin de balk van Windows

Rosty, superbedankt!!!!!!!!

tot slot nog kleine vraagjes:
1wat is het nu geweest dan?
2kan ik nu zo verdergaan en de bestanden verwijderen
3zit het in de recovery van Acronis?
4zat het soms in de opstart bestand van windows? met andere woorden, had ik ook de mbr terug moeten zetten misschien...?

zeer bedankt, als mogelijk is te doneren via sms doe ik dat heel graag!

[Rosty]

Hey,

sorry voor het late antwoord!
Op je eerste vraag ga ik kort antwoorden:klik niet op alles zomaar en instaleer ook niet zomaar alles wat je voorgeschoteld krijgt!!!! Je had een keylogger en nog wat rommel op je PC staan.
Op je 2é vraag: alles is verwijderd door MBAM en ComboFix.
Op je derde vraag: ik weet niet wanneer je je backup gemaakt hebt hé? Is het voor de besmetting dan is er geen probleem, is het van na de besmetting dan zou ik nu een nieuwe backup maken!!

Als slot doe nu volgende:

Ga naar Start - Uitvoeren
en Geef hier het volgende in: Combofix /Uninstall
Druk daarna op OK.
Als het goed is krijg je dan een melding dat Combofix verwijderd werd.

Voorbeeld:



Uitvoeren kan ook gestart worden door de toetsencombinatie

[Flyer1]

he, helemaal goed, specialisten hebben ook een life-of-their-own
en zeker aan je avatar te zien haha!!

Alle respect daar wachten we zolang als nodig is op he!

Zeer bedankt voor alle support en uitleg, ik ben er zeeer blij en gerustgesteld mee!!

Dankjewel groeten Flyer1 !!

[Flyer1]

De combofix laat zich toch niet verwijderen, de map combofix op "c" is er nog wel met daarin
catchlog
catchme
en nog iets met een extensie van .cfxxe
toch heb ik het zelf nog niet ge-uninstalled

Het zal vermoedelijk niks betekenen, maar toch maar even hier melden

[Rosty]

Heb je het bericht gekregen dat ComboFix verwijderd werd? Anders mag je die map manueel verwijderen hoor!