Volledige versie bekijken : Anti Malware Doctor gijzelingsmalware
compuchrisje 17 August 2010, 20:15 Buurvrouw bracht een laptop binnen van één uit haar kroostrijk gezin, met melding dat hij 'vastliep'.
Besturingssysteem Vista. Geen enkel uitvoerbaar bestand kan gebruikt worden, in taakbeheer kan je de malware niet uitschakelen, ook niet via msconfig omdat cmd ook is uitgeschakeld. Bij elke actie krijg je een pop-up bij, zodat je uiteindelijk niet anders kunt dan met de knop uitschakelen.
Opstarten in veilige modus gaat nog, vandaar dat ik Mbam vanaf een usb-stick wel kon installeren, alleen kan ik niet updaten voor het scannen. Melding: "Er is een fout opgetreden. Geef de foutcode aan het supportteam. Error code: 732 (12029, 0)"
De malware wordt dan zogezegd wel verwijderd, alleen kom je bij reboot terug in gewone modus en wordt die rot-doctor opnieuw superactief, hoewel het via msconfig allemaal was uitgevinkt.
Vraagje dus, vermits alles redelijk lukt in veilige modus, wat kan ik nog uitvoeren?.
Edit: via laptop surfen naar enige site om wat te downloaden gaat niet. Elke site wordt als geblacklist beschouwd door die scareware.
Woudje100 17 August 2010, 21:07 Hallo,
Ik zal je verder helpen
Ik ben echter "Spyware Slayer in opleiding" dit betekend dat ik mijn advies eerst moet laten keuren door een gekwalificeerd helper, hierdoor kan het iets langer duren voordat ik u verder kan helpen.
Alvast bedankt voor uw begrip.
Met vriendelijke groet,
Woudje100
compuchrisje 17 August 2010, 21:49 Om je al even te proberen helpen, het is me gelukt om toch online te raken in VM, en heb zowel HJT als Mbam in actie gekregen.
Malwarebytes' Anti-Malware 1.44
Database versie: 3510
Windows 6.0.6001 Service Pack 1 (Safe Mode)
Internet Explorer 7.0.6001.18000
17/08/2010 19:17:33
mbam-log-2010-08-17 (19-17-33).txt
Scan type: Snelle Scan
Objecten gescand: 96629
Verstreken tijd: 4 minute(s), 1 second(s)
Geheugenprocessen geïnfecteerd: 0
Geheugenmodulen geïnfecteerd: 0
Registersleutels geïnfecteerd: 2
Registerwaarden geïnfecteerd: 1
Registerdata bestanden geïnfecteerd: 0
Mappen geïnfecteerd: 1
Bestanden geïnfecteerd: 2
Geheugenprocessen geïnfecteerd:
(Geen kwaadaardige items gevonden)
Geheugenmodulen geïnfecteerd:
(Geen kwaadaardige items gevonden)
Registersleutels geïnfecteerd:
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
Registerwaarden geïnfecteerd:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\12cfg214-k641-12sf-n85p (Worm.Autorun.B) -> Quarantined and deleted successfully.
Registerdata bestanden geïnfecteerd:
(Geen kwaadaardige items gevonden)
Mappen geïnfecteerd:
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811 (Trojan.Agent) -> Quarantined and deleted successfully.
Bestanden geïnfecteerd:
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe (Worm.Autorun.B) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\Desktop.ini (Trojan.Agent) -> Quarantined and deleted successfully.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:51:35, on 17/08/2010
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18470)
Boot mode: Safe mode with network support
Running processes:
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Windows\explorer.exe
C:\HJT\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = http=127.0.0.1:6522
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG9\avgssie.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program Files\Norton Internet Security\Engine\16.8.0.41\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Program Files\Norton Internet Security\Engine\16.8.0.41\IPSBHO.DLL
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Windows Live Aanmelden - Help - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Norton Internet Security\Engine\16.8.0.41\coIEPlg.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [Wireless_Selector] C:\Program Files\Fujitsu\Wireless_Utility\Wireless Selector.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [ITSecMng] %ProgramFiles%\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe /START
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\RunOnce: [GrpConv] grpconv -o
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [uTorrent] "C:\Program Files\uTorrent\uTorrent.exe"
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Program Files\DAEMON Tools Pro\DTAgent.exe" -autorun
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [galanbhs] C:\Users\Nadoury\AppData\Local\xilikirtw\osyiiwbts sd.exe
O4 - HKCU\..\Run: [mgrwxxdp] C:\Users\Nadoury\AppData\Local\oirhkbrma\obdgpjlts sd.exe
O4 - HKCU\..\Run: [kqafbtww] C:\Users\Nadoury\AppData\Local\ajohkcsof\oakrmcats sd.exe
O4 - HKCU\..\Run: [secureapp70700.exe] C:\Users\Nadoury\AppData\Roaming\C064507E2BCAFD018 D161E693FF5DD5A\secureapp70700.exe
O4 - HKCU\..\Run: [mnnpljkd] C:\Users\Nadoury\AppData\Local\gswvcsnvf\jdmwgctsh dw.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETWORK SERVICE')
O4 - Startup: LimeWire On Startup.lnk = C:\Program Files\LimeWire\LimeWire.exe
O4 - Global Startup: Bluetooth Manager.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://c:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Free YouTube Download - C:\Users\Nadoury\AppData\Roaming\DVDVideoSoftIEHel pers\youtubedownload.htm
O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Users\Nadoury\AppData\Roaming\DVDVideoSoftIEHel pers\youtubetomp3.htm
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6 097707281E79.dll/cmsidewiki.html
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O16 - DPF: {E77F23EB-E7AB-4502-8F37-247DBAF1A147} (Windows Live Hotmail Photo Upload Tool) - http://gfx1.hotmail.com/mail/w4/pr01/photouploadcontrol/VistaMSNPUpldnl-be.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG9\avgpp.dll
O18 - Protocol: symres - {AA1061FE-6C41-421F-9344-69640C9732AB} - C:\Program Files\Norton Internet Security\Engine\16.8.0.41\coIEPlg.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgwdsvc.exe
O23 - Service: Norton Internet Security - Symantec Corporation - C:\Program Files\Norton Internet Security\Engine\16.8.0.41\ccSvcHst.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: Fujitsu Diagnostic Testhandler (TestHandler) - Fujitsu Technology Solutions - C:\Program Files\Fujitsu\SystemDiagnostics\OnlineDiagnostic\T estManager\TestHandler.exe
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
--
End of file - 7550 bytes
Woudje100 18 August 2010, 13:11 Hallo,
Ik zie dat je meerdere antivirus scanners op de computer hebt staan. Ga naar Start --> Configuratiescherm --> Programma's en onderdelen en verwijder daar 1 van de volgende antivirus scanners:
AVG9
Norton Internet Security
Ook gebruik je een verouderde versie van HijackThis. Verwijder daarom HijackThis ook.
Download vervolgens de remove tool van de antivirus scanner die je net hebt verwijderd.
AVG remove tool (http://download.avg.com/filedir/util/avg_arm_sup_____.dir/avgremover.exe)
Norton remove tool (ftp://ftp.symantec.com/public/english_us_canada/removal_tools/Norton_Removal_Tool.exe)
Schakel tijdelijk Windows Defender uit
Want deze kan voor stoorzender spelen bij het fixen met HJT (de fix terug ongedaan maken)
Open Windows Defender > Klik Tools
Klik "General Settings" of Options
Scroll naar "Real Time Protection Options"
Haal het vinkje weg bij "Turn on Real Time Protection (recommended)" > Klik "Save"
Sluit Windows Defender
(als de problemen over zijn, logje weer schoon verklaard is, kan je 'm weer aanzetten)
Download TFC (http://oldtimer.geekstogo.com/TFC.exe) en sla deze op je Bureaublad op.
Rechtsklik TFC.exe 'Uitvoeren als Administrator' om het programma te openen.
Het programma zal alle andere programma's sluiten, zorg er dus voor dat je al je werk hebt opgeslagen voordat je verder gaat.
Klik op de knop Start om het programma te starten. Hoe lang het programma nodig heeft, kan verschillen. Dit kan kan slechts een paar seconden zijn, maar ook 5 minuten. Laat het programma gewoon ongestoord zijn werk doen totdat het klaar is.
Als het programma klaar is, dan zal het je computer opnieuw opstarten. Als dit niet gebeurt, start dan je computer handmatig opnieuw op.
Download HijackThis Install (http://go.trendmicro.com/free-tools/hijackthis/HiJackThis.msi) naar je bureaublad.
Dubbelklik op HijackThisInstaller.exe om de installatie te starten.
Let op!!! Windows Vista & 7 gebruikers dienen HijackThis als administrator uit te voeren "Rechtermuisknop uitvoeren als", indien dit via de snelkoppeling niet lukt voert u HijackThis als administrator uit in de volgende directory (C:\Program Files\Trend Micro\HiJackThis)
Start HijackThis op. Selecteer "Do a system scan only". Selecteer alleen de items die hieronder zijn genoemd:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = http=127.0.0.1:6522
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O4 - HKCU\..\Run: [galanbhs] C:\Users\Nadoury\AppData\Local\xilikirtw\osyiiwbts sd.exe
O4 - HKCU\..\Run: [mgrwxxdp] C:\Users\Nadoury\AppData\Local\oirhkbrma\obdgpjlts sd.exe
O4 - HKCU\..\Run: [kqafbtww] C:\Users\Nadoury\AppData\Local\ajohkcsof\oakrmcats sd.exe
O4 - HKCU\..\Run: [secureapp70700.exe] C:\Users\Nadoury\AppData\Roaming\C064507E2BCAFD018 D161E693FF5DD5A\secureapp70700.exe
O4 - HKCU\..\Run: [mnnpljkd] C:\Users\Nadoury\AppData\Local\gswvcsnvf\jdmwgctsh dw.exe
Klik op "Fix checked" en herstart je computer.
Update MBAM alsvolgt:
Methode 1: Internetconnectie vereist of downloaden via een andere computer.
Downloadt mbam-rules.exe: http://www.gt500.org/malwarebytes/
Dubbelklik op mbam-rules.exe om de laatste updates te installeren.
Methode 2: computer vereist waarop een geupdate Malwarebytes' Anti-Malware aanwezig is.
Op de met MBAM geupdate computer zoek en kopieer je dit bestand:
Windows 2000 - Windows XP: C:\Documents and Settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\rules.ref
Windows Vista - Windows 7: C:\ProgramData\Malwarebytes\Malwarebytes' Anti-Malware\rules.ref
Op de probleem computer plak je het bestand rules.ref in de volgende map:
Windows 2000 - Windows XP: C:\Documents and Settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware
Windows Vista - Windows 7: C:\ProgramData\Malwarebytes\Malwarebytes' Anti-Malware
Nadat je MBAM hebt geupdate doe je nogmaals een snelle scan.
Selecteer en verwijder de gevonden items.
Het log wordt automatisch bewaard door MalwareBytes' Anti-Malware en kan je terugvinden door op de "Logs" tab te klikken in het programma. Post dit logje met je volgende antwoord te samen met een nieuw HijackThis logje.
Download Defogger (http://www.jpshortstuff.247fixes.com/Defogger.exe) en plaats het op je bureaublad.
Dubbelklik op Defogger.exe om de tool te starten.
In het scherm dat verschijnt klik je op de knop "Disable".
In het volgende scherm klik je op Ja (Yes) om verder te gaan.
Wacht tot je de melding 'Finished' krijgt en klik in dat scherm op "Ok".
Indien DeFogger vraagt om de computer te herstarten doe je dit.
NOTA: Krijg je een foutmelding wanneer je Defogger gebruikt, dan zoek je op het bureaublad naar het bestand defogger_disable en post je de inhoud van dit bestand.
CD-emulator software kan je weer inschakelen met behulp van Defogger door de tool te starten en op de knop "Re-enable" te klikken.
Dit doe je pas wanneer we volledig klaar zijn met de analyse van de computer.
Download Combofix (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) naar je Bureaublad en gebruik het volgens deze handleiding (http://www.bleepingcomputer.com/combofix/nl/hoe-dient-combofix-gebruikt-te-worden).
OPMERKING: indien je, tijdens of na het downloaden van Combofix of tijdens het gebruik van Combofix een melding krijgt van je Antivirus- of een andere realtime scanner, schakel dan deze scanner uit en download Combofix opnieuw.
Sommige scanners zien bepaalde componenten die Combofix gebruikt als verdacht en gaan deze blokkeren of verwijderen!
Dubbelklik op Combofix.exe om het te starten.
Indien je Combofix al eerder hebt gebruikt, kan je een waarschuwing krijgen dat een update beschikbaar is. Sta toe dat ComboFix wordt geupdate.
Klik op OK in het "NirCmd" venstertje.
Klik na afloop terug op Ja om het scannen op malware te starten.
Tijdens het runnen van de fix, NIET in het venster klikken, want dit zal je pc doen vasthangen.
Wanneer de fix voltooid is en na herstart, zal de log Combofix.txt openen.
Post dit logje in je volgende antwoord
Post in je volgende bericht de volgende logjes:
MalwareBytes' Anti-Malware logje
ComboFix logje
Nieuw HijackThis logje
Woudje100
compuchrisje 18 August 2010, 21:33 Gisteren, na het plaatsen van beide logjes in vorige post, is de pc terug in gewone modus opgestart. Vista wou echter niet laden, laptop bleef hangen in een herstelactie die tamelijk lang heeft geduurd, met herhaalde reboots.
Mbam heb ik toen verwijderd (advies mbamforum) en de cleantool gebruikt. Nieuwe versie opgehaald en geïnstalleerd. Norton IS is verwijderd (abo was verlopen), AVG geactiveerd (was ervoor buiten gebruik). Andere overtollige soft verwijderd, updates van CCleaner, Java, Adobe, Vista, Office.... ze bleven maar komen.
Nu dus de resultaten van de hierboven beschreven acties:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Databaseversie: 4445
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18943
18/08/2010 17:07:21
mbam-log-2010-08-18 (17-07-21).txt
Scantype: Snelle scan
Objecten gescand: 131005
Verstreken tijd: 6 minuut/minuten, 13 seconde(n)
Geheugenprocessen geïnfecteerd: 0
Geheugenmodulen geïnfecteerd: 0
Registersleutels geïnfecteerd: 0
Registerwaarden geïnfecteerd: 0
Registerdata geïnfecteerd: 0
Mappen geïnfecteerd: 0
Bestanden geïnfecteerd: 0
Geheugenprocessen geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Geheugenmodulen geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Registersleutels geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Registerwaarden geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Registerdata geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Mappen geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Bestanden geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
ComboFix 10-08-17.03 - Nadoury 18/08/2010 17:17:14.1.2 - x86
Microsoft® Windows Vista™ Home Basic 6.0.6002.2.1252.32.1043.18.2558.1533 [GMT 2:00]
Gestart vanuit: c:\users\Nadoury\Desktop\ComboFix.exe
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.
(((((((((((((((((((((((((((((((((( Andere Verwijderingen )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Voorgaande Run -------
.
c:\users\Nadoury\AppData\Local\ajohkcsof
c:\users\Nadoury\AppData\Local\ajohkcsof\oakrmcats sd.exe
c:\users\Nadoury\AppData\Local\gswvcsnvf
c:\users\Nadoury\AppData\Local\gswvcsnvf\jdmwgctsh dw.exe
c:\users\Nadoury\AppData\Local\oirhkbrma
c:\users\Nadoury\AppData\Local\oirhkbrma\obdgpjlts sd.exe
c:\users\Nadoury\AppData\Local\xilikirtw
c:\users\Nadoury\AppData\Local\xilikirtw\osyiiwbts sd.exe
c:\users\Nadoury\AppData\Roaming\C064507E2BCAFD018 D161E693FF5DD5A
c:\users\Nadoury\AppData\Roaming\C064507E2BCAFD018 D161E693FF5DD5A\enemies-names.txt
c:\users\Nadoury\AppData\Roaming\C064507E2BCAFD018 D161E693FF5DD5A\local.ini
c:\users\Nadoury\AppData\Roaming\C064507E2BCAFD018 D161E693FF5DD5A\lsrslt.ini
c:\users\Nadoury\AppData\Roaming\C064507E2BCAFD018 D161E693FF5DD5A\secureapp70700.exe
c:\users\Nadoury\AppData\Roaming\Microsoft\Interne t Explorer\Quick Launch\Antimalware Doctor.lnk
c:\users\Nadoury\AppData\Roaming\Microsoft\Windows \Start Menu\Antimalware Doctor.lnk
c:\users\Nadoury\AppData\Roaming\Microsoft\Windows \Start Menu\Programs\Antimalware Doctor
c:\users\Nadoury\AppData\Roaming\Microsoft\Windows \Start Menu\Programs\Antimalware Doctor\Antimalware Doctor.lnk
c:\users\Nadoury\AppData\Roaming\Microsoft\Windows \Start Menu\Programs\Antimalware Doctor\Uninstall.lnk
c:\users\Nadoury\AppData\Roaming\Microsoft\Windows \Start Menu\Programs\Startup\Antimalware Doctor.lnk
c:\users\Nadoury\AppData\Roaming\ohydy.exe
c:\users\Nadoury\Desktop\Antimalware Doctor.lnk
.
(((((((((((((((((((( Bestanden Gemaakt van 2010-07-18 to 2010-08-18 ))))))))))))))))))))))))))))))
.
2010-08-18 15:24 . 2010-08-18 15:24 -------- d-----w- c:\users\Nadoury\AppData\Local\temp
2010-08-18 15:24 . 2010-08-18 15:24 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-08-18 14:58 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-08-18 14:57 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-08-18 07:43 . 2010-08-18 07:43 -------- d-----w- c:\program files\Defraggler
2010-08-18 07:38 . 2010-08-18 07:38 -------- d-----w- c:\program files\Common Files\Java
2010-08-18 07:38 . 2010-08-18 07:37 423656 ----a-w- c:\windows\system32\deployJava1.dll
2010-08-18 07:37 . 2010-08-18 07:37 -------- d-----w- c:\program files\Java
2010-08-18 02:36 . 2010-08-18 02:36 -------- d-----w- c:\program files\Windows Portable Devices
2010-08-18 02:31 . 2009-10-08 21:07 4096 ----a-w- c:\windows\system32\oleaccrc.dll
2010-08-18 02:31 . 2009-10-08 21:08 555520 ----a-w- c:\windows\system32\UIAutomationCore.dll
2010-08-18 02:31 . 2009-10-08 21:08 234496 ----a-w- c:\windows\system32\oleacc.dll
2010-08-18 01:58 . 2010-08-18 01:58 -------- d-----w- c:\windows\CheckSur
2010-08-18 01:56 . 2010-03-05 14:01 420352 ----a-w- c:\windows\system32\vbscript.dll
2010-08-18 01:34 . 2009-03-08 11:33 18944 ----a-w- c:\windows\system32\corpol.dll
2010-08-18 01:30 . 2010-08-18 01:30 -------- d-----w- c:\program files\Microsoft Silverlight
2010-08-18 01:08 . 2010-08-18 01:09 -------- d-----w- c:\windows\system32\ca-ES
2010-08-18 01:08 . 2010-08-18 01:09 -------- d-----w- c:\windows\system32\eu-ES
2010-08-18 01:08 . 2010-08-18 01:09 -------- d-----w- c:\windows\system32\vi-VN
2010-08-18 00:43 . 2010-05-27 20:08 81920 ----a-w- c:\windows\system32\iccvid.dll
2010-08-17 23:31 . 2010-06-11 16:16 274944 ----a-w- c:\windows\system32\schannel.dll
2010-08-17 23:31 . 2010-06-21 13:37 2037760 ----a-w- c:\windows\system32\win32k.sys
2010-08-17 23:30 . 2010-06-18 17:31 36864 ----a-w- c:\windows\system32\rtutils.dll
2010-08-17 23:30 . 2010-06-08 17:35 3548040 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-08-17 23:30 . 2010-06-08 17:35 3600768 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-08-17 23:30 . 2010-06-11 16:15 1248768 ----a-w- c:\windows\system32\msxml3.dll
2010-08-17 23:30 . 2010-06-18 15:04 302080 ----a-w- c:\windows\system32\drivers\srv.sys
2010-08-17 23:30 . 2010-06-18 15:04 144896 ----a-w- c:\windows\system32\drivers\srv2.sys
2010-08-17 23:30 . 2010-06-16 16:04 905088 ----a-w- c:\windows\system32\drivers\tcpip.sys
2010-08-17 23:17 . 2010-08-17 23:20 -------- d-----w- C:\b2314852a70ee08bb2be4d
2010-08-17 22:28 . 2010-08-18 14:58 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-08-17 20:25 . 2010-08-17 21:58 680 ----a-w- c:\users\Nadoury\AppData\Local\d3d9caps.dat
2010-08-17 18:41 . 2010-08-18 14:50 -------- d-----w- C:\HJT
2010-08-17 17:06 . 2010-08-17 22:28 -------- d-----w- c:\users\Nadoury\AppData\Roaming\Malwarebytes
2010-08-17 17:06 . 2010-08-17 22:28 -------- d-----w- c:\programdata\Malwarebytes
2010-07-22 13:57 . 2010-07-22 13:57 -------- d-----w- c:\users\Nadoury\AppData\Roaming\DVDVideoSoftIEHel pers
.
((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))) ))
.
2010-08-18 15:25 . 2010-03-19 16:57 -------- d-----w- c:\users\Nadoury\AppData\Roaming\uTorrent
2010-08-18 15:17 . 2008-04-14 15:24 667352 ----a-w- c:\windows\system32\perfh013.dat
2010-08-18 15:17 . 2008-04-14 15:24 126854 ----a-w- c:\windows\system32\perfc013.dat
2010-08-18 15:11 . 2010-02-18 11:08 -------- d-----w- c:\users\Nadoury\AppData\Roaming\LimeWire
2010-08-18 15:10 . 2010-02-04 17:26 35093 ----a-w- c:\programdata\nvModes.dat
2010-08-18 02:36 . 2006-11-02 10:25 665600 ----a-w- c:\windows\inf\drvindex.dat
2010-08-18 02:36 . 2010-08-18 02:36 0 ---ha-w- c:\windows\system32\drivers\Msft_User_WpdMtpDr_01_ 07_00.Wdf
2010-08-18 02:36 . 2010-08-18 02:36 0 ---ha-w- c:\windows\system32\drivers\Msft_User_WpdFs_01_07_ 00.Wdf
2010-08-18 01:13 . 2010-02-02 18:35 -------- d-----w- c:\programdata\NVIDIA
2010-08-18 01:09 . 2006-11-02 12:35 -------- d-----w- c:\program files\Windows Sidebar
2010-08-18 01:09 . 2006-11-02 12:35 -------- d-----w- c:\program files\Windows Calendar
2010-08-18 01:09 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-08-18 01:09 . 2006-11-02 12:35 -------- d-----w- c:\program files\Windows Photo Gallery
2010-08-18 01:09 . 2006-11-02 12:35 -------- d-----w- c:\program files\Windows Collaboration
2010-08-18 01:09 . 2006-11-02 12:35 -------- d-----w- c:\program files\Windows Defender
2010-08-18 00:14 . 2010-02-03 13:48 -------- d-----w- c:\programdata\Norton
2010-08-18 00:14 . 2010-02-06 01:19 -------- d-----w- c:\programdata\Symantec
2010-08-18 00:14 . 2010-02-03 13:48 -------- d-----w- c:\program files\NortonInstaller
2010-08-18 00:13 . 2010-02-03 13:48 -------- d-----w- c:\programdata\NortonInstaller
2010-08-17 23:59 . 2010-02-18 11:55 -------- d-----w- c:\users\Nadoury\AppData\Roaming\vlc
2010-08-17 23:59 . 2010-02-02 18:35 -------- d-----w- c:\programdata\{623D32E9-0C62-4453-AD44-98B31F52A5E1}
2010-08-17 23:59 . 2010-06-08 20:35 -------- d-----w- c:\program files\SystemRequirementsLab
2010-08-17 23:59 . 2010-03-19 16:59 -------- d-----w- c:\program files\uTorrent
2010-08-17 23:59 . 2010-04-10 02:35 -------- d-----w- c:\program files\Norton Security Scan
2010-08-17 23:59 . 2010-04-10 02:05 -------- d-----w- c:\program files\ManyCam 2.4
2010-08-17 23:59 . 2010-02-18 11:06 -------- d-----w- c:\program files\LimeWire
2010-08-17 23:59 . 2010-06-02 13:36 -------- d-----w- c:\program files\DAEMON Tools Pro
2010-08-17 23:59 . 2010-02-04 18:00 -------- d-----w- c:\program files\Common Files\DVDVideoSoft
2010-08-17 23:59 . 2010-02-02 22:33 -------- d-----w- c:\program files\DVD Decoder
2010-08-17 23:59 . 2010-03-20 16:10 -------- d-----w- c:\program files\Age of Wonders II
2010-08-17 23:59 . 2010-02-02 18:35 -------- d-----w- c:\program files\Activation Assistant for the 2007 Microsoft Office suites
2010-08-17 23:38 . 2010-02-09 20:48 -------- d-----w- c:\program files\CCleaner
2010-08-17 23:22 . 2009-04-04 18:42 -------- d-----w- c:\programdata\Microsoft Help
2010-07-22 13:56 . 2010-02-04 18:00 -------- d-----w- c:\program files\DVDVideoSoft
2010-07-17 09:32 . 2010-02-03 12:39 -------- d-----w- c:\program files\EA GAMES
2010-07-17 09:32 . 2010-02-02 18:28 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-07-16 08:51 . 2010-07-16 08:51 12536 ----a-w- c:\windows\system32\avgrsstx.dll
2010-07-16 08:51 . 2010-07-16 08:51 243024 ----a-w- c:\windows\system32\drivers\avgtdix.sys
2010-07-16 08:50 . 2010-07-16 08:50 216400 ----a-w- c:\windows\system32\drivers\avgldx86.sys
2010-07-16 08:50 . 2010-07-16 08:50 29584 ----a-w- c:\windows\system32\drivers\avgmfx86.sys
2010-07-16 08:48 . 2010-07-16 08:48 -------- d-----w- c:\program files\AVG
2010-07-16 08:48 . 2010-07-16 08:48 -------- d-----w- c:\programdata\avg9
2010-07-15 19:16 . 2010-07-10 11:36 -------- d-----w- c:\program files\Google
2010-07-10 11:38 . 2010-07-10 11:38 509552 ----a-w- c:\programdata\Google\Google Toolbar\Update\gtb6002.tmp.exe
2010-07-10 11:38 . 2010-07-10 11:38 -------- d-----w- c:\programdata\McAfee
2010-06-26 06:05 . 2010-08-18 01:36 916480 ----a-w- c:\windows\system32\wininet.dll
2010-06-26 06:02 . 2010-08-18 01:36 71680 ----a-w- c:\windows\system32\iesetup.dll
2010-06-26 06:02 . 2010-08-18 01:36 109056 ----a-w- c:\windows\system32\iesysprep.dll
2010-06-26 04:25 . 2010-08-18 01:36 133632 ----a-w- c:\windows\system32\ieUnatt.exe
2010-06-09 19:34 . 2010-06-09 19:34 98304 ----a-w- c:\windows\system32\CmdLineExt.dll
2010-06-08 20:01 . 2010-06-08 09:52 43520 ----a-w- c:\windows\system32\CmdLineExt03.dll
2010-06-08 19:11 . 2010-02-02 18:36 101216 ----a-w- c:\users\Nadoury\AppData\Local\GDIPFONTCACHEV1.DAT
2010-06-03 18:36 . 2010-06-03 18:36 614 ----a-w- c:\windows\eReg.dat
2010-06-02 13:36 . 2010-06-02 13:36 697328 ----a-w- c:\windows\system32\drivers\sptd.sys
2010-05-26 17:06 . 2010-06-10 07:29 34304 ----a-w- c:\windows\system32\atmlib.dll
2010-05-26 14:47 . 2010-06-10 07:29 289792 ----a-w- c:\windows\system32\atmfd.dll
2010-05-21 12:14 . 2010-02-03 13:29 221568 ------w- c:\windows\system32\MpSigStub.exe
2009-04-04 08:27 . 2009-04-04 08:00 8192 --sha-w- c:\windows\Users\Default\NTUSER.DAT
.
((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
.
*Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"uTorrent"="c:\program files\uTorrent\uTorrent.exe" [2010-05-16 322352]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-10-17 1353000]
"SMSERIAL"="c:\program files\Motorola\SMSERIAL\sm56hlpr.exe" [2008-09-23 1208320]
"Wireless_Selector"="c:\program files\Fujitsu\Wireless_Utility\Wireless Selector.exe" [2009-05-14 327680]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-12-03 35184]
"RtHDVCpl"="RtHDVCpl.exe" [2008-08-12 6265376]
"ITSecMng"="c:\program files\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe" [2008-12-19 83336]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072]
"AVG9_TRAY"="c:\progra~1\AVG\AVG9\avgtray.exe" [2010-07-16 2065760]
"Skytel"="Skytel.exe" [2008-08-12 1833504]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]
c:\users\Nadoury\AppData\Roaming\Microsoft\Windows \Start Menu\Programs\Startup\
LimeWire On Startup.lnk - c:\program files\LimeWire\LimeWire.exe [2010-2-12 503808]
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Bluetooth Manager.lnk - c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe [2008-12-18 2360648]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\System32\avgrsstx.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\WinDefend]
@="Service"
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):44,46,ae,ea,72,3e,cb,01
R3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\b57nd60x.sys [2008-01-21 179712]
R4 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2010-06-02 697328]
S1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\Drivers\avgldx86.sys [2010-07-16 216400]
S1 AvgTdiX;AVG Free Network Redirector;c:\windows\system32\Drivers\avgtdix.sys [2010-07-16 243024]
S2 avg9wd;AVG Free WatchDog;c:\program files\AVG\AVG9\avgwdsvc.exe [2010-07-16 308136]
S3 FSCSLII;FSCSLII;c:\windows\system32\DRIVERS\FSCSLI I.sys [2009-03-12 16384]
S3 ManyCam;ManyCam Virtual Webcam, WDM Video Capture Driver;c:\windows\system32\DRIVERS\ManyCam.sys [2008-01-14 21632]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
.
Inhoud van de 'Gedeelde Taken' map
2010-08-01 c:\windows\Tasks\Norton Security Scan for Nadoury.job
- c:\program files\Norton Security Scan\Engine\2.7.3.34\Nss.exe [2010-04-10 10:48]
2010-08-18 c:\windows\Tasks\User_Feed_Synchronization-{72CDE933-E6E5-41DB-93D5-DD0B1803B339}.job
- c:\windows\system32\msfeedssync.exe [2010-08-18 04:24]
.
.
------- Bijkomende Scan -------
.
uStart Page = hxxp://www.google.be/
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Free YouTube Download - c:\users\Nadoury\AppData\Roaming\DVDVideoSoftIEHel pers\youtubedownload.htm
IE: Free YouTube to Mp3 Converter - c:\users\Nadoury\AppData\Roaming\DVDVideoSoftIEHel pers\youtubetomp3.htm
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6 097707281E79.dll/cmsidewiki.html
.
- - - - ORPHANS VERWIJDERD - - - -
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
************************************************** ************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-08-18 17:24
Windows 6.0.6002 Service Pack 2 NTFS
scannen van verborgen processen ...
scannen van verborgen autostart items ...
scannen van verborgen bestanden ...
Scan succesvol afgerond
verborgen bestanden: 0
************************************************** ************************
.
--------------------- VERGRENDELDE REGISTER SLEUTELS ---------------------
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Cl ass\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Cl ass\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Voltooingstijd: 2010-08-18 17:27:03
ComboFix-quarantined-files.txt 2010-08-18 15:27
Pre-Run: 212.812.898.304 bytes beschikbaar
Post-Run: 212.751.200.256 bytes beschikbaar
- - End Of File - - C0B5E6E2126E20CB1060E7FD462B4BA6
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:29:04, on 18/08/2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18943)
Boot mode: Normal
Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
C:\Program Files\Fujitsu\Wireless_Utility\Wireless Selector.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\AVG\AVG9\avgtray.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\uTorrent\uTorrent.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Windows\Explorer.exe
C:\Windows\system32\SearchFilterHost.exe
C:\HJT\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG9\avgssie.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Windows Live Aanmelden - Help - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [Wireless_Selector] C:\Program Files\Fujitsu\Wireless_Utility\Wireless Selector.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [ITSecMng] %ProgramFiles%\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe /START
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [uTorrent] "C:\Program Files\uTorrent\uTorrent.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - Startup: LimeWire On Startup.lnk = C:\Program Files\LimeWire\LimeWire.exe
O4 - Global Startup: Bluetooth Manager.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://c:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Free YouTube Download - C:\Users\Nadoury\AppData\Roaming\DVDVideoSoftIEHel pers\youtubedownload.htm
O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Users\Nadoury\AppData\Roaming\DVDVideoSoftIEHel pers\youtubetomp3.htm
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6 097707281E79.dll/cmsidewiki.html
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O16 - DPF: {E77F23EB-E7AB-4502-8F37-247DBAF1A147} (Windows Live Hotmail Photo Upload Tool) - http://gfx1.hotmail.com/mail/w4/pr01/photouploadcontrol/VistaMSNPUpldnl-be.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG9\avgpp.dll
O20 - AppInit_DLLs: C:\Windows\System32\avgrsstx.dll
O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgwdsvc.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: Fujitsu Diagnostic Testhandler (TestHandler) - Fujitsu Technology Solutions - C:\Program Files\Fujitsu\SystemDiagnostics\OnlineDiagnostic\T estManager\TestHandler.exe
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
--
End of file - 6234 bytes
Veel leesgenot! :shocked:
Defensie is ondertussen wel terug ingeschakeld. Als er nog zaken zijn die ik zou vergeten zijn, laat je 't weten?
Woudje100 19 August 2010, 21:11 Hallo,
Ik zie dat er nog sporen zijn achtergebleven van Norton en McAfee.
Donwload de Norton remove tool (ftp://ftp.symantec.com/public/english_us_canada/removal_tools/Norton_Removal_Tool.exe) naar je bureaublad, en laat de tool runnen.
Download vervolgende de McAfee remove tool (http://download.mcafee.com/products/licensed/cust_support_patches/MCPR.exe) naar je bureaublad, en laat de tool runnen. Na het runnen herstart je de computer.
Ondervind je nog problemen?
Woudje100
compuchrisje 19 August 2010, 22:50 McAfee heeft zich mooi laten opruimen, maar die Norton rotzooi blijft gewoon kleven. Het staat niet meer als actief programma, mogelijk zijn het dus restmappen. Mogen ze gewoon gedelete worden? Ben nu bezig met optimalisatie, fragmentatie is extreem en heb er speciaal bij Piriform de Defraggler voor opgehaald. Maar ook deze is nu voor de 5e keer bezig met schikken. Zal ik na de ruimbeurt nog een logje maken? Wat doe ik met Mbam, en die andere tools?
Woudje100 20 August 2010, 11:29 Hallo,
Nee, het HijackThis logje zier er goed uit, ik hoef daarom geen nieuwe te zien ;)
Verwijder volgende vetgedrukte mappen/bestanden met Windows Verkenner :
c:\programdata\Norton --> map
c:\program files\NortonInstaller --> map
c:\programdata\NortonInstaller --> map
c:\program files\Norton Security Scan --> map
c:\programdata\Symantec --> map
c:\windows\Tasks\Norton Security Scan for Nadoury.job --> bestand.
Ga naar Start > Uitvoeren
en Geef hier het volgende in: Combofix /Uninstall
Druk daarna op OK.
Als het goed is krijg je dan een melding dat Combofix verwijderd werd.
Voorbeeld:
http://home.kpn.nl/stefsmeenk/CFUninstall.PNG
Uitvoeren kan ook gestart worden door de toetsencombinatie http://home.kpn.nl/stefsmeenk/W+R.jpg
Het programma HijackThis mag je verwijderen. Maar het programma Malwarebytes' Anti-Malware zou ik op de computer laten staan, en minimaal 1 keer in de week een snelle scan laten doen. (Wel eerst updaten)
Download of Update Ccleaner (http://www.piriform.com/ccleaner/download/slim)
Start CCleaner op.
Run Ccleaner en klik in de linkse kolom op Opties
Selecteer het tabblad Geavanceerd
Haal het vinkje weg voor Verwijder alleen bestanden in Windows Temp-systeemmap die ouder zijn dan 24 uur
Klik in de linkse kolom op Cleaner.
Klik dan achtereenvolgens op Analyseer en Schoonmaken.
Klik vervolgens in de linkse kolom op Register
Klik op Scan naar problemen.
Als er fouten gevonden worden klik je op Herstel geselecteerde problemen en OK
Een handig programmaatje wat je ook nog kan gebruiken is Secunia Online Software Inspector. Deze controleert of er updates nodig zijn voor programma's als Java ed die indien verouderd lekken bevatten.
Ga naar Secunia Online (OSI) (http://secunia.com/vulnerability_scanning/online/) en laat de Secunia Online Software Inspector (OSI) je computer scannen. Je krijgt te zien welke programma's geupdate moeten worden en daarbij een link om de recentste versie te downloaden en te installeren.
Woudje100
compuchrisje 20 August 2010, 17:59 Voorgestelde acties uitgevoerd. Enkel Adobe Reader en Flash hadden een nieuwe jurk nodig.
Bedankt Woudje! (y)
|
|