Even na kijken Aub

[Snuifje]

Logfile of HijackThis v1.99.1
Scan saved at 23:21:33, on 18-11-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE
D:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\TWljaGFlbAAA\command.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\WINDOWS\ALCMTR.EXE
C:\Program Files\Microsoft IntelliType Pro\type32.exe
D:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\ctfmon.exe
D:\mIRC\mirc.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
D:\Program Files\BearShare\BearShare.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\WINDOWS\system32\msiexec.exe
D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\tool2.exe
C:\WINDOWS\tool3.exe
C:\WINDOWS\system32\paytime.exe
C:\WINDOWS\system32\~update.exe
C:\WINDOWS\system32\~update.exe
C:\Program Files\SpySheriff\SpySheriff.exe
c:\windows\adtech2005.exe
E:\autorun.exe
E:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Snelkoppeling naar eigenschappenvenster voor High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb0 7.exe
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "D:\Program Files\Stardock\WinCustomize\BootSkin\BootSkin.exe" /StartupJobs
O4 - HKLM\..\Run: [timessquare] c:\windows\timessquare.exe
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe
O4 - HKLM\..\Run: [adtech2005] c:\windows\adtech2005.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\COMMON~1\TEKNUM~1\update.exe /startup
O4 - HKCU\..\Run: [Shell] "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe
O4 - HKCU\..\Run: [aupd] C:\WINDOWS\system32\sysvcs.exe
O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://D:\PROGRA~1\OFFICE~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\TWljaGFlbAAA\command.exe
O23 - Service: Instruct-Toetsen - Unknown owner - I:\toetsen ecdl\ToetsenService.exe (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

ik denk zelf dat er iets zeer zeer niet goed zit :(

[jurgenv]

$ Je kan deze instructies best uitprinten of opslaan in een kladblokbestand, want straks zal je in veilige modus
moeten gaan werken, en dan is deze pagina niet beschikbaar (geen internet)

* Download smitRem.exe en sla dit op op het Bureaublad.
Dubbelklik op het bestand en pak het uit naar zijn eigen map op het Bureaublad.


* Download, installeer en update de free trial versie van Ewido Security Suite

1. Tijdens de installatie, onder "Additional Options", haal je de vinkjes weg bij "Install background guard" en "Install scan via context menu".
2. Als je Ewido voor de eerste keer runt, zal je een foutmelding krijgen "Database could not be found!". Klik dan op OK. Dit is normaal.
3. In het hoofdscherm van Ewido, klik je op update in het linker menu, en vervolgens op de Start update knop.
4. Als de updates gedaan zijn, zal er op de status bar beneden "Update successful" staan.
5. Sluit Ewido. Laat het nog niet scannen

* Als je Adaware SE nog niet geïnstalleerd hebt, download, installeer en update het dan volgens de richtlijnen
die je kan vinden op: http://users.pandora.be/marcvn/spyware/1414188.htm

* Start je computer op in VEILIGE MODUS


* open hijackthis en vink volgende regels aan:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [timessquare] c:\windows\timessquare.exe
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe
O4 - HKLM\..\Run: [adtech2005] c:\windows\adtech2005.exe
O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\COMMON~1\TEKNUM~1\update.exe /startup
O4 - HKCU\..\Run: [Shell] "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe
O4 - HKCU\..\Run: [aupd] C:\WINDOWS\system32\sysvcs.exe
O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe

* sluit dan alle vensters behalve hijackthis en klik op 'fix checked'

* verwijder volgende bestanden indien aanwezig:

c:\secure32.html
C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe
C:\WINDOWS\system32\ALCMTR.EXE
c:\windows\timessquare.exe
C:\WINDOWS\system32\paytime.exe
c:\windows\adtech2005.exe
C:\WINDOWS\system32\sysvcs.exe

* en verwijder volgende map indien aanwezig:

C:\PROGRAM FILES\COMMON FILES\TEKNUM~1 <== de map die begint met de letters 'TEKNUM'

* Open de smitrem-map op je bureaublad, en dubbelklik op RunThis.bat. Volg de aanwijzigingen op het scherm.
Je bureaublad en ikoontjes zullen even verdwijnen en daarna terug verschijnen, dit is normaal.
Wacht tot het tooltje zijn werk heeft gedaan en Disk Cleanup afgelopen is. Dit kan enige tijd duren, dus wees geduldig.

* Voer een volledige scan uit met Adaware en verwijder alles wat gevonden wordt.

* Open Ewido Security Suite

• klik op Scanner
• Klik op complete system scan
• Laat het programma je pc scannen

Tijdens de scan zal je gevraagd worden of je gevonden bestanden wil verwijderen. Klik dan op OK
Als de scan beëindigd is, zal je een knop zienBewaar rapport

• Klik op Bewaar rapport
• Sla het rapport op op je bureaublad
• Sluit Ewido af

* Ga dan naar Start -> configuratiescherm -> vormgeving en thema's -> bureaublad ->bureaublad aanpassen -> Website -> haal het vinkje weg bij "Security Info" als het er nog staat.

* Herstart je computer in normale modus.

* Doe een online scan via Panda's online virus scan en bewaar het rapport dat je krijgt na het scannen

* Herstart je pc nogmaals en plaats dan een nieuw logje van Hijackthis, samen met het rapport van Ewido en Panda, Post de log van de smitRem tool, die je hier kan vinden: C:\smitfiles.txt.

[Snuifje]

Jurgenv bedankt maar nadat ik die logje had geplaatst gister avond was mijn pc zo langzaam en raar aan het doen dat ik zelf maar even ben gaan scannen. dit mijn nieuwe logje.

Logfile of HijackThis v1.99.1
Scan saved at 11:13:28, on 19-11-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE
D:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\TWljaGFlbAAA\command.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\WINDOWS\ALCMTR.EXE
C:\Program Files\Microsoft IntelliType Pro\type32.exe
D:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\ctfmon.exe
D:\mIRC\mirc.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
D:\Program Files\AVPersonal\AVWIN.EXE
D:\Program Files\AVPersonal\AVGNT.EXE
E:\autorun.exe
E:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ivanhoejupiler.be/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Snelkoppeling naar eigenschappenvenster voor High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb0 7.exe
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "D:\Program Files\Stardock\WinCustomize\BootSkin\BootSkin.exe" /StartupJobs
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://D:\PROGRA~1\OFFICE~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\TWljaGFlbAAA\command.exe
O23 - Service: Instruct-Toetsen - Unknown owner - I:\toetsen ecdl\ToetsenService.exe (file missing)

[jurgenv]

en de rest? (panda log, smitrem log, ewido log)

[Snuifje]

ik ben zelf aan het scannen geweest voordat jij antwoord had geven, dus nog niet via die prog`s die jij had genoemd<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" /><o></o>

[jurgenv]

raad je toch aan mijn stappen eens uit te voeren

[Snuifje]

Logfile of HijackThis v1.99.1>>

Scan saved at 16:06:46, on 19-11-2005>>

Platform: Windows XP SP2 (WinNT 5.01.2600)>>

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)>>

>>

Running processes:>>

C:\WINDOWS\System32\smss.exe>>

C:\WINDOWS\system32\csrss.exe>>

C:\WINDOWS\system32\winlogon.exe>>

C:\WINDOWS\system32\services.exe>>

C:\WINDOWS\system32\lsass.exe>>

C:\WINDOWS\system32\Ati2evxx.exe>>

C:\WINDOWS\system32\svchost.exe>>

C:\WINDOWS\system32\svchost.exe>>

C:\WINDOWS\System32\svchost.exe>>

C:\WINDOWS\system32\svchost.exe>>

C:\WINDOWS\system32\svchost.exe>>

C:\WINDOWS\system32\spoolsv.exe>>

D:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE>>

D:\Program Files\AVPersonal\AVWUPSRV.EXE>>

C:\WINDOWS\TWljaGFlbAAA\command.exe>>

D:\Program Files\ewido\security suite\ewidoctrl.exe>>

C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe>>

C:\WINDOWS\system32\svchost.exe>>

C:\WINDOWS\system32\wdfmgr.exe>>

C:\WINDOWS\System32\alg.exe>>

C:\WINDOWS\system32\Ati2evxx.exe>>

C:\WINDOWS\Explorer.EXE>>

C:\WINDOWS\SOUNDMAN.EXE>>

C:\WINDOWS\ALCMTR.EXE>>

C:\Program Files\Microsoft IntelliType Pro\type32.exe>>

D:\Program Files\Logitech\MouseWare\system\em_exec.exe>>

C:\WINDOWS\system32\ctfmon.exe>>

C:\Program Files\MSN Messenger\msnmsgr.exe>>

C:\Program Files\MSN Messenger\msnmsgr.exe>>

D:\mIRC\mirc.exe>>

H:\HijackThis.exe>>

C:\WINDOWS\system32\wuauclt.exe>>

>>

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ivanhoejupiler.be/>>

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen>>

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll>>

O4 - HKLM\..\Run: [Snelkoppeling naar eigenschappenvenster voor High Definition Audio] HDAudPropShortcut.exe>>

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE>>

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE>>

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe>>

O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe">>

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb0 7.exe>>

O4 - HKLM\..\Run: [BootSkin Startup Jobs] "D:\Program Files\Stardock\WinCustomize\BootSkin\BootSkin.exe" /StartupJobs>>

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe>>

O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://D:\PROGRA~1\OFFICE~1\Office10\EXCEL.EXE/3000>>

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll>>

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll>>

O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab>>

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204>>

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab>>

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab>>

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)>>

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE>>

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe>>

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe>>

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik lace>GmbH, Germanylace> - D:\Program Files\AVPersonal\AVWUPSRV.EXE>>

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\TWljaGFlbAAA\command.exe>>

O23 - Service: ewido security suite control - ewido networks - D:\Program Files\ewido\security suite\ewidoctrl.exe>>

O23 - Service: Instruct-Toetsen - Unknown owner - I:\toetsen ecdl\ToetsenService.exe (file missing)>>

>>

>>

--------------------------------------------------------->>

ewido security suite - Scan rapport>>

--------------------------------------------------------->>

>>

+ Gemaakt op: 15:32:32, 19-11-2005>>

+ Rapport samenvatting: B59F893C>>

>>

+ Scan resultaten:>>

>>

HKLM\SOFTWARE\Classes\CLSID\{9F95F736-0F62-4214-A4B4-CAA6738D4C07} -> Spyware.SaveNow : Schoongemaakt met een backup>>

HKLM\SOFTWARE\Classes\Interface\{C285D18D-43A2-4AEF-83FB-BF280E660A97} -> Spyware.SaveNow : Schoongemaakt met een backup>>

HKLM\SOFTWARE\Classes\RunMSC.Loader\CLSID\\ -> Spyware.SaveNow : Schoongemaakt met een backup>>

HKLM\SOFTWARE\Classes\RunMSC.Loader.1\CLSID\\ -> Spyware.SaveNow : Schoongemaakt met een backup>>

C:\Documents and Settings\LocalService\Cookies\system@ad.yieldmanag er[2].txt -> Spyware.Cookie.Yieldmanager : Schoongemaakt met een backup>>

C:\Documents and Settings\LocalService\Cookies\system@www.epilot[1].txt -> Spyware.Cookie.Epilot : Schoongemaakt met een backup>>

C:\installer.exe -> Spyware.Look2Me : Schoongemaakt met een backup>>

C:\mte3ndi6odoxng.exe -> Spyware.ISearch : Schoongemaakt met een backup>>

D:\Program Files\AVPersonal\INFECTED\A0014772.EXE.VIR -> Not-A-Virus.Flooder.MailSpam.Aenima.20 : Schoongemaakt met een backup>>

D:\Program Files\AVPersonal\INFECTED\A0014781.EXE.VIR -> Backdoor.SubSeven.22.a : Schoongemaakt met een backup>>

D:\Program Files\AVPersonal\INFECTED\A0014785.DLL.VIR -> Backdoor.SubSeven.22.plugin : Schoongemaakt met een backup>>

D:\Program Files\AVPersonal\INFECTED\A0014786.DLL.VIR -> Backdoor.SubSeven.22.plugin : Schoongemaakt met een backup>>

D:\Program Files\AVPersonal\INFECTED\A0014787.DLL.VIR -> Backdoor.SubSeven.22.b2 : Schoongemaakt met een backup>>

D:\Program Files\AVPersonal\INFECTED\V3QOFHA01456.VIR -> TrojanSpy.Barok.10 : Schoongemaakt met een backup>>

D:\Program Files\BearShare\Installer\saveinstwm.exe -> Adware.SaveNow : Schoongemaakt met een backup>>

>>

>>

::Einde rapport>>

[Snuifje]

smitRem © log file>>

version 2.7>>

>>

by noahdfear>>

>>

>>

Microsoft Windows XP [versie 5.1.2600]>>

>>

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~>>

>>

checking for ShudderLTD key>>

>>

ShudderLTD key not present!>>

>>

checking for PSGuard.com key>>

>>

>>

PSGuard.com key not present!>>

>>

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~>>

>>

Existing Pre-run Files>>

>>

>>

~~~ Program Files ~~~>>

>>

>>

>>

~~~ Shortcuts ~~~>>

>>

>>

>>

~~~ Favorites ~~~>>

>>

>>

>>

~~~ system32 folder ~~~>>

>>

>>

>>

~~~ Icons in System32 ~~~>>

>>

>>

>>

~~~ Windows directory ~~~>>

>>

>>

>>

~~~ Drive root ~~~>>

>>

>>

~~~ Miscellaneous Files/folders ~~~>>

>>

>>

>>

>>

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~>>

>>

>>

>>

Remaining Post-run Files>>

>>

>>

~~~ Program Files ~~~>>

>>

>>

>>

~~~ Shortcuts ~~~>>

>>

>>

>>

~~~ Favorites ~~~>>

>>

>>

>>

~~~ system32 folder ~~~>>

>>

>>

>>

~~~ Icons in System32 ~~~>>

>>

>>

>>

~~~ Windows directory ~~~>>

>>

>>

>>

~~~ Drive root ~~~>>

>>

>>

>>

~~~ Miscellaneous Files/folders ~~~>>

>>

>>

>>

>>

~~~ Wininet.dll ~~~>>

>>

CLEAN! >>

>>

>>

Incident Status Location >>

>>

Adware:Adware/CommAd No disinfected C:\WINDOWS\TWljaGFlbAAA\asappsrv.dll >>

Adware:Adware/CommAd No disinfected C:\WINDOWS\TWljaGFlbAAA\command.exe >>

Adware:adware program No disinfected C:\WINDOWS\SYSTEM32\atmtd.dll >>

Adware:adware/sqwire No disinfected C:\PROGRAM FILES\COMMON FILES\tsa >>

Adware:adware/commad No disinfected Windows Registry >>

Adware:Adware/CommAd No disinfected C:\WINDOWS\TWljaGFlbAAA\asappsrv.dll >>

Adware:Adware/CommAd No disinfected C:\WINDOWS\TWljaGFlbAAA\command.exe >>

>>

>>

Zo dat was het

[jurgenv]

* open hijackthis en vink volgende regel aan:

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

* sluit dan alle vensters behalve hijackthis en klik op 'fix checked'

* Start je computer op in VEILIGE MODUS

* verwijder volgend bestand indien aanwezig:

C:\WINDOWS\System32\ALCMTR.EXE

* verwijder ook volgende mappen:

C:\WINDOWS\TWljaGFlbAAA
C:\PROGRAM FILES\COMMON FILES\tsa

* start je pc weer normaal

* doe dan opnieuw een scan met panda en post het resultaat terug hier met een nieuw hijackthis logje

[Snuifje]

Logfile of HijackThis v1.99.1
Scan saved at 14:00:42, on 20-11-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE
D:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\TWljaGFlbAAA\command.exe
D:\Program Files\ewido\security suite\ewidoctrl.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Microsoft IntelliType Pro\type32.exe
D:\Program Files\Logitech\MouseWare\system\em_exec.exe
D:\Program Files\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\winstall.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
D:\mIRC\mirc.exe
D:\Program Files\Teamspeak2_RC2\TeamSpeak.exe
H:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ivanhoejupiler.be/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://lookfor.cc?pin=17702
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=17702
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://lookfor.cc?pin=17702
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Snelkoppeling naar eigenschappenvenster voor High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb0 7.exe
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "D:\Program Files\Stardock\WinCustomize\BootSkin\BootSkin.exe" /StartupJobs
O4 - HKLM\..\Run: [DAEMON Tools] "D:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://D:\PROGRA~1\OFFICE~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\TWljaGFlbAAA\command.exe
O23 - Service: ewido security suite control - ewido networks - D:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: Instruct-Toetsen - Unknown owner - I:\toetsen ecdl\ToetsenService.exe (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe


Incident Status Location

Adware:Adware/SpySheriff No disinfected C:\winstall.exe
Adware:Adware/CommAd No disinfected C:\WINDOWS\TWljaGFlbAAA\asappsrv.dll
Adware:Adware/CommAd No disinfected C:\WINDOWS\TWljaGFlbAAA\command.exe
Adware:adware program No disinfected C:\WINDOWS\SYSTEM32\atmtd.dll
Adware:adware/spysheriff No disinfected C:\winstall.exe
Adware:adware/commad No disinfected Windows Registry
Virus:Exploit/ByteVerify Disinfected C:\Documents and Settings\Michael\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\jav a.jar-bae16f0-4c144c6e.zip[NewSecurityClassLoader.class]
Virus:Exploit/ByteVerify Disinfected C:\Documents and Settings\Michael\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\jav a.jar-bae16f0-4c144c6e.zip[NewURLClassLoader.class]
Virus:Exploit/ByteVerify Disinfected C:\Documents and Settings\Michael\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\loa deradv661.jar-897c2ff-59e72e58.zip[Matrix.class]
Virus:Exploit/ByteVerify Disinfected C:\Documents and Settings\Michael\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\loa deradv661.jar-897c2ff-59e72e58.zip[Counter.class]
Virus:Exploit/ByteVerify Disinfected C:\Documents and Settings\Michael\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\loa deradv661.jar-897c2ff-59e72e58.zip[Dummy.class]
Virus:Exploit/ByteVerify Disinfected C:\Documents and Settings\Michael\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\loa deradv661.jar-897c2ff-59e72e58.zip[Parser.class]
Adware:Adware/SearchAid No disinfected C:\ms32.tmp
Adware:Adware/CommAd No disinfected C:\WINDOWS\TWljaGFlbAAA\asappsrv.dll
Adware:Adware/CommAd No disinfected C:\WINDOWS\TWljaGFlbAAA\command.exe
Adware:Adware/SpySheriff No disinfected C:\winstall.exe

smitRem © log file
version 2.7

by noahdfear


Microsoft Windows XP [versie 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~

Install.dat


~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~

winstall.exe

~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~

Install.dat


~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~

winstall.exe


~~~ Miscellaneous Files/folders ~~~



winstall.exe

~~~ Wininet.dll ~~~

CLEAN!