Groot terugkerend MS Removal Tool probleem [Archief]

Volledige versie bekijken : Groot terugkerend MS Removal Tool probleem

Flyer1

9 June 2011, 13:41

Hallo, mijn laptop heb ik na de besmetting helemaal geformatteerd beide partities, en
vervolgens nieuwe install van de oude Acronis backup van een driekwart jaar terug.

Nu na 1 week weer exact dezelfde narigheid, terwijl er voordien veel meer tijd tussen de acronis momentopname van maken (driekwart jaar geleden) van de backup en besmetting nadien (vorige maand) was :shocked: dus...
het kan toch niet in de backup gezeten hebben...??

Internetten is nie meer mogelijk nie, maar heeft wel uitstekend verbinding, enz enz.
mijn BULLGUARD beveiliging heeft het niet kunnen blocken....

ik heb in de currentversion/microsoft/windows/ wel een 'runonce' sleutel verwijderd, maar dat hielp niet veel
Internetten lukt bijv. niet, maar de verbinding is wel uitstekend!!

hierbij de logjes van HT en AntimalwareBytes. zouden jullie er misschien even naar willen kijken? Zeer hartelijk dank alvast, groeten Flyer1

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org
Databaseversie (http://www.malwarebytes.orgDatabaseversie): 6818
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11
9-6-2011 13:38:10
mbam-log-2011-06-09 (13-38-05).txt
Scantype: Snelle scan
Objecten gescand: 199422
Verstreken tijd: 8 minuut/minuten, 11 seconde(n)
Geheugenprocessen geïnfecteerd: 0
Geheugenmodulen geïnfecteerd: 0
Registersleutels geïnfecteerd: 4
Registerwaarden geïnfecteerd: 0
Registerdata geïnfecteerd: 0
Mappen geïnfecteerd: 10
Bestanden geïnfecteerd: 5
Geheugenprocessen geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Geheugenmodulen geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Registersleutels geïnfecteerd:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{4A7C84E2-E95C-43C6-8DD3-03ABCD0EB60E} (Adware.SmartShopper) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{5CBF8C22-E9A6-11D7-90FE-000AE4012DB4} (Switch.Dialer) -> No action taken.
HKEY_CURRENT_USER\{D45817B8-3EAD-4d1d-8FCA-EC63A8E35DE2} (Adware.DoubleD) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\R oot\LEGACY_WEEMI_SERVICE (Adware.Weemi) -> No action taken.
Registerwaarden geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Registerdata geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Mappen geïnfecteerd:
c:\program files\Weemi (Adware.Weemi) -> No action taken.
c:\WINDOWS\system32\28463 (Keylogger.Ardamax) -> No action taken.
c:\documents and settings\Hans\local settings\application data\gamezjoint toolbar (Adware.DoubleD) -> No action taken.
c:\documents and settings\Hans\local settings\application data\gamezjoint toolbar\2.6.1.11950 (Adware.DoubleD) -> No action taken.
c:\documents and settings\Hans\local settings\application data\gamezjoint toolbar\2.6.1.11950\bin (Adware.DoubleD) -> No action taken.
c:\documents and settings\Hans\local settings\temporary internet files\{d45817b8-3ead-4d1d-8fca-ec63a8e35de2} (Adware.DoubleD) -> No action taken.
c:\documents and settings\Hans\local settings\temporary internet files\{d45817b8-3ead-4d1d-8fca-ec63a8e35de2}\Data (Adware.DoubleD) -> No action taken.
c:\documents and settings\Hans\local settings\temporary internet files\New_tdf (Adware.DoubleD.Gen) -> No action taken.
c:\documents and settings\Hans\local settings\temporary internet files\New_tdf\Data (Adware.DoubleD.Gen) -> No action taken.
c:\documents and settings\Hans\local settings\temporary internet files\New_tdf\Icons (Adware.DoubleD.Gen) -> No action taken.
Bestanden geïnfecteerd:
c:\documents and settings\hans\local settings\temp\ms1cfg32.exe (Trojan.FakeAlert) -> No action taken.
c:\WINDOWS\system32\28463\MHLI.001 (Keylogger.Ardamax) -> No action taken.
c:\WINDOWS\system32\28463\MHLI.002 (Keylogger.Ardamax) -> No action taken.
c:\WINDOWS\system32\28463\MHLI.005 (Keylogger.Ardamax) -> No action taken.
c:\WINDOWS\system32\28463\MHLI.009 (Keylogger.Ardamax) -> No action taken.

__________________________________________________ _________________
Hijack this :

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 13:28:06, on 9-6-2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17096)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\acs.exe
C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
C:\Program Files\BullGuard Ltd\BullGuard\BullGuardUpdate.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\TPSMain.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\BullGuard Ltd\BullGuard\bullguard.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Documents and Settings\Hans\Bureaublad\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.com/0SEENUS/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.kadaza.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = http=127.0.0.1:52667
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll (file missing)
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [BullGuard] "C:\Program Files\BullGuard Ltd\BullGuard\bullguard.exe" -boot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BullGuard] "C:\Program Files\BullGuard Ltd\BullGuard\bullguard.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Lokale service')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Netwerkservice')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Add To Print List - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint High Speed Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Preview - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O9 - Extra button: In weblog opnemen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll (file missing)
O9 - Extra 'Tools' menuitem: &In weblog opnemen met Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/MessengerGamesContent/GameContent/nl/uno1/GAME_UNO1.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1249215049234
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O22 - SharedTaskScheduler: Preloader van browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Cache-daemon voor onderdeelcategorieën - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
O23 - Service: Atheros-clienthulpprogramma (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BullGuard LiveUpdate (BgLiveSvc) - BullGuard Ltd. - C:\Program Files\BullGuard Ltd\BullGuard\BullGuardUpdate.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: De service Windows Live Family Safety (fsssvc) - Unknown owner - C:\Program Files\Windows Live\Family Safety\fsssvc.exe (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Program Files\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
--
End of file - 8455 bytes

Rosty

10 June 2011, 19:47

Download ComboFix van één van deze locaties:
Link 1 (http://download.bleepingcomputer.com/sUBs/ComboFix.exe)
Link 2 (http://www.forospyware.com/sUBs/ComboFix.exe)

* BELANGRIJK !!! Sla ComboFix.exe op je Bureaublad op Schakel alle antivirus- en antispywareprogramma's uit, want anders kunnen ze misschien conflicteren met ComboFix. Hier is een handleiding over hoe je ze kan uitschakelen:
Klik hier (http://www.bleepingcomputer.com/forums/topic114351.html)
Als het je niet lukt om ze uit te schakelen, ga dan gewoon door naar de volgende stap. Dubbeklik op ComboFix.exe en volg de meldingen op het scherm. ComboFix zal controleren of dat de Microsoft Windows Recovery Console reeds is geïnstalleerd.
**Let op: Als de Microsoft Windows Recovery Console al is geïnstalleerd, dan krijg je de volgende schermen niet te zien en zal ComboFix automatisch verder gaan met het scannen naar malware. Volg de meldingen op het scherm om ComboFix de Microsoft Windows Recovery Console te laten downloaden en installeren.https://vorming.minatica.be/handleiding/canned_speech/cf-rc-auto.jpg

Je krijgt de volgende melding te zien wanneer ComboFix de Microsoft Windows Recovery Console succesvol heeft geïnstalleerd:

https://vorming.minatica.be/handleiding/canned_speech/rc-auto-done.jpg

Klik op Ja om verder te gaan met het scannen naar malware.

Wanneer ComboFix klaar is, zal het het een logbestand voor je maken. Post de inhoud van dit logbestand (te vinden als C:\ComboFix.txt) in je volgende bericht

Flyer1

10 June 2011, 21:28

Hallo Rosty, bedankt, ik heb de actie uitgevoerd
hierbij het volgende verslag van Combofix :

ComboFix 11-06-10.05 - Hans 10-06-2011 21:18:35.1.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.31.1043.18.1470.1051 [GMT 2:00]
Gestart vanuit: c:\documents and settings\Hans\Bureaublad\ComboFix.exe
AV: BullGuard Antivirus *Enabled/Updated* {7A9BB333-8EDF-4FDC-A2A5-1A30FA021913}
FW: BullGuard Firewall *Disabled* {2AEF4CB6-61B5-4E60-AF22-D95E75B63FA1}
* Nieuw herstelpunt werd aangemaakt
.
.
(((((((((((((((((((((((((((((((((( Andere Verwijderingen )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\Administrator\WINDOWS
c:\documents and settings\All Users\Application Data\lB28218AnHnK28218
c:\documents and settings\All Users\Application Data\lB28218AnHnK28218\lB28218AnHnK28218
c:\documents and settings\All Users\Application Data\lB28218AnHnK28218\lB28218AnHnK28218.exe
c:\documents and settings\Default User\WINDOWS
c:\documents and settings\Gast\WINDOWS
c:\documents and settings\Hs\Local Settings\Application Data\GamezJoint Toolbar
c:\documents and settings\Hs\WINDOWS
c:\documents and settings\nk en luuk\WINDOWS
c:\documents and settings\Nk2\WINDOWS
c:\program files\Weemi
c:\windows\IsUn0413.exe
c:\windows\system32\28463
c:\windows\system32\28463\MHLI.001
c:\windows\system32\28463\MHLI.002
c:\windows\system32\28463\MHLI.005
c:\windows\system32\28463\MHLI.009
c:\windows\system32\2978928.dll
c:\windows\system32\4835250.dll
c:\windows\system32\6036168.dll
c:\windows\system32\827350.dll
c:\windows\system32\config\systemprofile\WINDOWS
.
.
(((((((((((((((((((( Bestanden Gemaakt van 2011-05-10 to 2011-06-10 ))))))))))))))))))))))))))))))
.
.
2023-04-03 13:06 . 2023-04-03 13:06 135168 ----a-w- c:\windows\system32\vbSendMail.dll
2011-06-09 11:28 . 2011-06-09 11:28 -------- d-----w- c:\documents and settings\Hans\Application Data\Malwarebytes
2011-06-09 11:28 . 2011-06-09 11:28 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2011-06-09 11:28 . 2011-05-29 07:11 39984 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-06-09 11:28 . 2011-06-09 11:28 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-06-09 11:28 . 2011-05-29 07:11 22712 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-05-26 20:00 . 2011-05-26 20:00 -------- d-----w- c:\program files\Your Uninstaller 2010
2011-05-26 19:57 . 2011-06-10 19:22 -------- d-----w- c:\documents and settings\Niek2
2011-05-26 14:52 . 2011-06-10 19:22 -------- d-----w- c:\documents and settings\Administrator
2011-05-26 14:25 . 2010-09-18 06:53 954368 -c----w- c:\windows\system32\dllcache\mfc40.dll
2011-05-26 14:25 . 2010-09-18 06:53 953856 -c----w- c:\windows\system32\dllcache\mfc40u.dll
2011-05-26 14:24 . 2010-08-23 16:13 617472 -c----w- c:\windows\system32\dllcache\comctl32.dll
2011-05-26 14:24 . 2010-06-14 14:31 744448 -c----w- c:\windows\system32\dllcache\helpsvc.exe
2011-05-26 14:23 . 2010-11-02 15:17 40960 -c----w- c:\windows\system32\dllcache\ndproxy.sys
2011-05-26 14:21 . 2010-10-11 14:59 45568 -c----w- c:\windows\system32\dllcache\wab.exe
.
.
.
((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))) ))
.
.
.
((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
.
*Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"BullGuard"="c:\program files\BullGuard Ltd\BullGuard\bullguard.exe" [2010-03-26 304464]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-08-05 344064]
"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2004-10-14 98394]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2004-10-14 688218]
"TPSMain"="TPSMain.exe" [2005-08-03 266240]
"BullGuard"="c:\program files\BullGuard Ltd\BullGuard\bullguard.exe" [2010-03-26 304464]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-05-29 449584]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunOnce]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-05-29 449584]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\BgMainSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\IncrediMail\\bin\\IMApp.exe"=
"c:\\Program Files\\IncrediMail\\bin\\IncMail.exe"=
"c:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Pando Networks\\Media Booster\\PMB.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\GloballyOpenPorts\List]
"58721:TCP"= 58721:TCP:Pando Media Booster
"58721:UDP"= 58721:UDP:Pando Media Booster
"57049:TCP"= 57049:TCP:Pando Media Booster
"57049:UDP"= 57049:UDP:Pando Media Booster
.
R2 BdFileSpy;BullGuard File Monitor Driver;c:\windows\system32\drivers\BdFileSpy.sys [14-2-2010 0:43 55504]
R3 afw;Agnitum firewall driver;c:\windows\system32\drivers\Afw.sys [23-3-2009 14:07 31640]
R3 afwcore;afwcore;c:\windows\system32\drivers\AfwCor e.sys [23-3-2009 14:07 256792]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\dr ivers\mbam.sys [9-6-2011 13:28 22712]
S2 BsFileScan;BullGuard File Scan Service;c:\windows\System32\svchost.exe -k BullGuard [13-12-2005 11:46 14336]
S2 BsFire;BullGuard Firewall Service;c:\windows\System32\svchost.exe -k BullGuard [13-12-2005 11:46 14336]
S2 BsMailProxy;BullGuard Email Monitoring Service;c:\windows\System32\svchost.exe -k BullGuard [13-12-2005 11:46 14336]
S2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [9-6-2011 13:28 366640]
.
--- Andere Services/Drivers In Geheugen ---
.
*NewlyCreated* - IPFILTERDRIVER
*NewlyCreated* - MBAMPROTECTOR
*NewlyCreated* - MBAMSERVICE
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
BullGuard REG_MULTI_SZ BgMainSvc BsFileScan BsMailProxy BsFire
.
.
------- Bijkomende Scan -------
.
uStart Page = hxxp://www.kadaza.nl/
mStart Page = about:blank
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyServer = http=127.0.0.1:52667
IE: E&xporteren naar Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Easy-WebPrint Add To Print List - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
IE: Easy-WebPrint High Speed Print - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
IE: Easy-WebPrint Preview - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
IE: Easy-WebPrint Print - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
LSP: c:\windows\system32\BGLsp.dll
TCP: DhcpNameServer = 62.179.104.196 213.46.228.196
.
- - - - ORPHANS VERWIJDERD - - - -
.
AddRemove-Microsoft Interactive Training - c:\windows\IsUn0413.exe
AddRemove-PC Diagnoseprogramma - c:\windows\IsUn0413.exe
AddRemove-Power Saver - c:\windows\IsUn0413.exe
.
.
.
************************************************** ************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-06-10 21:23
Windows 5.1.2600 Service Pack 3 NTFS
.
scannen van verborgen processen ...
.
scannen van verborgen autostart items ...
.
scannen van verborgen bestanden ...
.
Scan succesvol afgerond
verborgen bestanden: 0
.
************************************************** ************************
.
--------------------- VERGRENDELDE REGISTER SLEUTELS ---------------------
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\Curr entVersion\Installer\UserData\LocalSystem\Componen ts\€–}|ÿÿÿÿÀ•}|ù•9~*]
"3140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- DLLs Geladen Onder Lopende Processen ---------------------
.
- - - - - - - > 'winlogon.exe'(996)
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'lsass.exe'(1052)
c:\windows\system32\BGLsp.dll
.
Voltooingstijd: 2011-06-10 21:25:31
ComboFix-quarantined-files.txt 2011-06-10 19:25
.
Pre-Run: 109.294.985.216 bytes beschikbaar
Post-Run: 109.540.749.312 bytes beschikbaar
.
WindowsXP-KB310994-SP2-Home-BootDisk-NLD.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOW S
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
.
- - End Of File - - B80DEE8DEAF907EBE95D6CDD1A2D9E1D

Rosty

11 June 2011, 13:59

Nog problemen nu?

Flyer1

11 June 2011, 17:16

kan ik hem nu gewoon proberen Rosty?

Heeft combofix en met name HT dan al wat gedaan? omdat ik nog niks handmatig aangevinkt heb of iets dergelijks
Ik had dat nog niet verwacht, ik kruip erachter en laat het even weten

Flyer1

12 June 2011, 11:38

werkt goed, alleen laptop wel trager en wat zwarte icoontjes rechtsonderin de balk van Windows

Rosty, superbedankt!!!!!!!!

tot slot nog kleine vraagjes:
1wat is het nu geweest dan?
2kan ik nu zo verdergaan en de bestanden verwijderen
3zit het in de recovery van Acronis?
4zat het soms in de opstart bestand van windows? met andere woorden, had ik ook de mbr terug moeten zetten misschien...?

zeer bedankt, als mogelijk is te doneren via sms doe ik dat heel graag!

Rosty

12 June 2011, 21:36

Hey,

sorry voor het late antwoord!
Op je eerste vraag ga ik kort antwoorden:klik niet op alles zomaar en instaleer ook niet zomaar alles wat je voorgeschoteld krijgt!!!! Je had een keylogger en nog wat rommel op je PC staan.
Op je 2é vraag: alles is verwijderd door MBAM en ComboFix.
Op je derde vraag: ik weet niet wanneer je je backup gemaakt hebt hé? Is het voor de besmetting dan is er geen probleem, is het van na de besmetting dan zou ik nu een nieuwe backup maken!!

Als slot doe nu volgende:

Ga naar Start - Uitvoeren
en Geef hier het volgende in: Combofix /Uninstall
Druk daarna op OK.
Als het goed is krijg je dan een melding dat Combofix verwijderd werd.

Voorbeeld:

http://home.kpn.nl/stefsmeenk/CFUninstall.PNG

Uitvoeren kan ook gestart worden door de toetsencombinatie http://home.kpn.nl/stefsmeenk/W+R.jpg

Flyer1

12 June 2011, 21:54

he, helemaal goed, specialisten hebben ook een life-of-their-own
en zeker aan je avatar te zien haha!!

Alle respect daar wachten we zolang als nodig is op he!

Zeer bedankt voor alle support en uitleg, ik ben er zeeer blij en gerustgesteld mee!!

Dankjewel groeten Flyer1 !! :good::good::good:

Flyer1

13 June 2011, 11:08

De combofix laat zich toch niet verwijderen, de map combofix op "c" is er nog wel met daarin
catchlog
catchme
en nog iets met een extensie van .cfxxe
toch heb ik het zelf nog niet ge-uninstalled

Het zal vermoedelijk niks betekenen, maar toch maar even hier melden

Rosty

13 June 2011, 11:10

Heb je het bericht gekregen dat ComboFix verwijderd werd? Anders mag je die map manueel verwijderen hoor!

Flyer1

13 June 2011, 22:52

Okee, ga ik meteen doen!

topic mag dicht hoor, perfect opgelost zo :)

Rosty

7 August 2011, 12:16

Topic heropend op verzoek van de TS!

Flyer1

9 August 2011, 12:29

Hallo Rosty, thx voor je hulp ik was een dagje later met reageren ivm uitstapje vakantie he ;-)

Ik heb het volgende gedaan : veilige modus , user 1 gekozen, snelle scan en logje bij gewone modus geplaatst

De symptomen allemaal weer terug bij user 4 (totaal 4 users) bij de vorige keer waren het users 1+2
Let op: ik heb bij user die nog 'schoon' was gescant weet niet of dat wat uit maakt.

Het vervelende is dat bullguard het weer niet gezien heeft, en de pc is van mijn zus dus dat is erg lastig om telkens
na 2 weken weer te moeten horen dat het er weer terug op is.
Wat ik bedoel; ik zou graag weten of het door hun zoon's spelletjes online (12jr +) komt of dat ik mijn 'werk' niet goed
gedaan heb vorige keer.
Moet ik beter alles formateren om er af te komen bijvoorbeeld? ik ben radeloos, hopelijk kan je me helpen er van af te komen
Rosty.
Zeeer bedankt alvast, zeer goed te weten dat jullie me niet alleen laten met deze lastige materie thx man!!
Hieronder de log Groetjes Flyer

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org
Databaseversie (http://www.malwarebytes.orgDatabaseversie): 7416
Windows 6.0.6001 Service Pack 1 (Safe Mode)
Internet Explorer 8.0.6001.19088
9-8-2011 12:20:02
mbam-log-2011-08-09 (12-19-59).txt
Scantype: Snelle scan
Objecten gescand: 198406
Verstreken tijd: 3 minuut/minuten, 48 seconde(n)
Geheugenprocessen geïnfecteerd: 0
Geheugenmodulen geïnfecteerd: 0
Registersleutels geïnfecteerd: 3
Registerwaarden geïnfecteerd: 0
Registerdata geïnfecteerd: 0
Mappen geïnfecteerd: 0
Bestanden geïnfecteerd: 3
Geheugenprocessen geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Geheugenmodulen geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Registersleutels geïnfecteerd:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{3CC3D8FE-F0E0-4DD1-A69A-8C56BCC7BEBF} (Adware.SmartShopper) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{3CC3D8FE-F0E0-4DD1-A69A-8C56BCC7BEC0} (Adware.SmartShopper) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{4A7C84E2-E95C-43C6-8DD3-03ABCD0EB60E} (Adware.SmartShopper) -> No action taken.
Registerwaarden geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Registerdata geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Mappen geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Bestanden geïnfecteerd:
c:\$Recycle.Bin\s-1-5-21-2609824437-374755029-1169629061-1001\$RTILV9D.tmp (Trojan.Agent) -> No action taken.
c:\$Recycle.Bin\s-1-5-21-2609824437-374755029-1169629061-1001\$RVVPF5I.exe (Trojan.Agent) -> No action taken.
c:\$Recycle.Bin\s-1-5-21-2609824437-374755029-1169629061-1001\$RXHJHPW.exe (Adware.BHO) -> No action taken.

Rosty

9 August 2011, 19:47

Kun je nu nog eens een scan doen met MBAM, deze log posten en ook een logje van HijackThis.

Flyer1

9 August 2011, 23:09

Rosty misschien misverstand, ik heb niets verwijderd nog he zoals ik schreef!

mbam log :

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org
Databaseversie (http://www.malwarebytes.orgDatabaseversie): 7416
Windows 6.0.6001 Service Pack 1
Internet Explorer 8.0.6001.19088
9-8-2011 22:47:20
mbam-log-2011-08-09 (22-47-12).txt
Scantype: Snelle scan
Objecten gescand: 218278
Verstreken tijd: 27 minuut/minuten, 35 seconde(n)
Geheugenprocessen geïnfecteerd: 0
Geheugenmodulen geïnfecteerd: 0
Registersleutels geïnfecteerd: 3
Registerwaarden geïnfecteerd: 0
Registerdata geïnfecteerd: 0
Mappen geïnfecteerd: 0
Bestanden geïnfecteerd: 3
Geheugenprocessen geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Geheugenmodulen geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Registersleutels geïnfecteerd:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{3CC3D8FE-F0E0-4DD1-A69A-8C56BCC7BEBF} (Adware.SmartShopper) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{3CC3D8FE-F0E0-4DD1-A69A-8C56BCC7BEC0} (Adware.SmartShopper) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{4A7C84E2-E95C-43C6-8DD3-03ABCD0EB60E} (Adware.SmartShopper) -> No action taken.
Registerwaarden geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Registerdata geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Mappen geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Bestanden geïnfecteerd:
c:\$recycle.bin\s-1-5-21-2609824437-374755029-1169629061-1001\$rtilv9d.tmp (Trojan.Agent) -> No action taken.
c:\$recycle.bin\s-1-5-21-2609824437-374755029-1169629061-1001\$rvvpf5i.exe (Trojan.Agent) -> No action taken.
c:\$Recycle.Bin\s-1-5-21-2609824437-374755029-1169629061-1001\$RXHJHPW.exe (Adware.BHO) -> No action taken.

HT log :
LET OP melding HT KAN NIET NAAR DE HOSTFILE SCHRIJVEN omdat het lijkt alsof ik van een locked media device run, maar
dat is niet zo...
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 23:08:39, on 9-8-2011
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.19088)
Boot mode: Normal
Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Users\Luuk\AppData\Local\Google\Update\GoogleUp date.exe
C:\Program Files\BullGuard Ltd\BullGuard\BullGuard.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Users\Luuk\AppData\Local\Google\Update\1.3.21.6 5\GoogleCrashHandler.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\Macromed\Flash\FlashUtil10t_Ac tiveX.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Windows\system32\DllHost.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.nl/0SENLNL/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.nl/0SENLNL/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.kadaza.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.nl/0SENLNL/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Windows Live Aanmelden - Help - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O2 - BHO: BullGuard Safe Browsing - {FC872B94-35E3-4B94-B028-184A2A1C7CCE} - C:\Program Files\BullGuard Ltd\BullGuard\Antiphishing\IE\BGAntiphishingIEBHO. dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [BullGuard] "C:\Program Files\BullGuard Ltd\BullGuard\BullGuard.exe" -boot
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNo tifier.exe"
O4 - HKCU\..\Run: [Livestation] C:\Program Files\Livestation\Livestation.exe -startup
O4 - HKCU\..\Run: [Google Update] "C:\Users\Luuk\AppData\Local\Google\Update\GoogleUp date.exe" /c
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6 FF0C6D236BF8.dll/cmsidewiki.html
O8 - Extra context menu item: Translate this web page with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm
O8 - Extra context menu item: Translate with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm
O9 - Extra button: In weblog opnemen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &In weblog opnemen met Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Report to BullGuard - {27FD17FB-CF63-486b-B2BE-8D8781CBEA01} - C:\Program Files\BullGuard Ltd\BullGuard\Antiphishing\IE\BGAntiphishingIE.dll
O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file)
O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: bglink - {FC872B94-35E3-4B94-B028-184A2A1C7CCE} - C:\Program Files\BullGuard Ltd\BullGuard\Antiphishing\IE\BGAntiphishingIEBHO. dll
O20 - AppInit_DLLs: BgGamingMonitor.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
O23 - Service: BgRaSvc - BullGuard Ltd. - C:\Program Files\BullGuard Ltd\BullGuard\Support\BgRaSvc.exe
O23 - Service: BullGuard behavioural detection service (BsBhvScan) - BullGuard Ltd. - C:\Program Files\BullGuard Ltd\BullGuard\BullGuardBhvScanner.exe
O23 - Service: BullGuard scanning service (BsScanner) - BullGuard Ltd. - C:\Program Files\BullGuard Ltd\BullGuard\BullGuardScanner.exe
O23 - Service: BullGuard update service (BsUpdate) - BullGuard Ltd. - C:\Program Files\BullGuard Ltd\BullGuard\BullGuardUpdate.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
--
End of file - 9509 bytes

Dat was het, groetjes

Rosty

10 August 2011, 22:45

Flyer1

11 August 2011, 08:33

Moet ik niet eerst van de mbam de gevonden infecties verwijderen of ... ?

Rosty

11 August 2011, 19:27

Doe maar eerst de ComboFix nu! Daarna zullen we MBAM op de juiste manier gebruiken!

Flyer1

11 August 2011, 21:24

Helemaal goed, hier komt de log :

ComboFix 11-08-11.02 - Luuk 11-08-2011 21:03:59.1.2 - x86
Microsoft® Windows Vista™ Home Basic 6.0.6001.1.1252.31.1043.18.1919.676 [GMT 2:00]
Gestart vanuit: c:\users\Luuk\Desktop\ComboFix.exe
AV: BullGuard Antivirus *Disabled/Outdated* {504FFF66-3028-EB7E-2E60-62B19ADD791C}
FW: BullGuard Firewall *Disabled* {68747E43-7A47-EA26-053F-CB84640E3E67}
SP: BullGuard Antispyware *Disabled/Outdated* {EB2E1E82-1612-E4F0-14D0-59C3E15A33A1}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
* Nieuw herstelpunt werd aangemaakt
.
.
(((((((((((((((((((((((((((((((((( Andere Verwijderingen )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\Luuk\AppData\Roaming\.#
c:\users\Niek\AppData\Roaming\.#
c:\users\Roes\AppData\Roaming\.#
c:\windows\IsUn0413.exe
.
.
(((((((((((((((((((( Bestanden Gemaakt van 2011-07-11 to 2011-08-11 ))))))))))))))))))))))))))))))
.
.
2011-08-11 19:14 . 2011-08-11 19:15 -------- d-----w- c:\users\Luuk\AppData\Local\temp
2011-08-11 19:14 . 2011-08-11 19:14 -------- d-----w- c:\users\Roes\AppData\Local\temp
2011-08-11 19:14 . 2011-08-11 19:14 -------- d-----w- c:\users\Niek\AppData\Local\temp
2011-08-11 19:14 . 2011-08-11 19:14 -------- d-----w- c:\users\Default\AppData\Local\temp
2011-08-11 19:14 . 2011-08-11 19:14 -------- d-----w- c:\users\Gast\AppData\Local\temp
2011-08-09 21:19 . 2011-08-09 21:19 -------- d-----w- c:\users\Roes\AppData\Roaming\Malwarebytes
2011-08-09 21:17 . 2011-08-09 21:17 -------- d-----w- c:\users\Roes\AppData\Roaming\Software Inspection Library
2011-08-09 20:49 . 2011-08-09 20:49 388096 ----a-r- c:\users\Luuk\AppData\Roaming\Microsoft\Installer\ {45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2011-08-09 19:56 . 2011-08-09 19:56 -------- d-----w- c:\program files\Trend Micro
2011-08-09 09:07 . 2011-08-09 09:07 -------- d-----w- c:\users\Luuk\AppData\Roaming\Malwarebytes
2011-08-09 09:06 . 2011-07-06 17:52 41272 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-08-09 09:06 . 2011-08-09 09:06 -------- d-----w- c:\programdata\Malwarebytes
2011-08-09 09:06 . 2011-08-09 09:06 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-08-09 09:06 . 2011-07-06 17:52 22712 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-08-09 09:03 . 2011-07-13 03:39 6881616 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{25C335F9-B72D-4D9B-A219-BCE167D09540}\mpengine.dll
2011-07-24 09:10 . 2011-07-24 09:10 -------- d-----w- c:\users\Luuk\AppData\Local\Oleksiy_Gapotchenko
2011-07-24 09:04 . 2011-07-24 09:20 -------- d-----w- c:\program files\Eazfuscator.NET
2011-07-23 10:29 . 2011-07-23 10:29 -------- d-----w- c:\users\Roes\.jagex_cache_32
2011-07-23 08:25 . 2011-07-23 08:25 -------- d-----w- c:\program files\Microsoft SQL Server
2011-07-23 08:25 . 2011-07-23 08:25 -------- d-----w- c:\program files\Microsoft Synchronization Services
2011-07-23 08:24 . 2011-07-24 15:09 205984 ----a-w- c:\programdata\Microsoft\VBExpress\10.0\1033\Resou rceCache.dll
2011-07-23 08:21 . 2011-07-23 08:21 -------- d-----w- c:\program files\Microsoft SDKs
2011-07-23 08:21 . 2011-07-23 08:21 -------- d-----w- c:\program files\Microsoft Help Viewer
2011-07-23 08:21 . 2011-07-23 08:26 -------- d-----w- c:\program files\Microsoft Visual Studio 10.0
2011-07-23 08:14 . 2008-11-13 02:28 2560 ----a-w- c:\windows\system32\msimsg.dll
2011-07-23 08:13 . 2008-11-13 04:50 332800 ----a-w- c:\windows\system32\msihnd.dll
2011-07-23 08:13 . 2008-11-13 04:50 16384 ----a-w- c:\windows\system32\msisip.dll
2011-07-23 08:13 . 2008-11-13 04:49 73216 ----a-w- c:\windows\system32\msiexec.exe
2011-07-23 08:13 . 2008-11-13 04:50 2241536 ----a-w- c:\windows\system32\msi.dll
2011-07-17 13:48 . 2011-07-17 13:48 -------- d-----w- c:\users\Luuk\AppData\Roaming\Software Inspection Library
2011-07-17 13:32 . 2011-07-17 13:32 -------- d-----w- c:\program files\BullGuard Ltd
2011-07-13 08:18 . 2011-06-02 12:59 2042368 ----a-w- c:\windows\system32\win32k.sys
2011-07-13 08:18 . 2011-04-20 14:47 375808 ----a-w- c:\windows\system32\winsrv.dll
2011-07-13 08:18 . 2011-04-20 14:44 49152 ----a-w- c:\windows\system32\csrsrv.dll
.
.
.
((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))) ))
.
2011-06-21 17:03 . 2011-06-21 17:03 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-06-15 10:32 . 2011-06-15 10:32 215624 ----a-w- c:\windows\system32\drivers\NSKernel.sys
2011-06-15 10:32 . 2011-06-15 10:32 20040 ----a-w- c:\windows\system32\drivers\NSNetmon.sys
2011-06-15 10:32 . 2011-06-15 10:32 61152 ----a-w- c:\windows\system32\drivers\BdSpy.sys
2011-06-15 10:32 . 2011-06-15 10:32 34920 ----a-w- c:\windows\system32\drivers\afw.sys
2011-06-15 10:32 . 2011-06-15 10:32 328296 ----a-w- c:\windows\system32\drivers\afwcore.sys
2011-06-15 10:32 . 2011-06-15 10:32 304712 ----a-w- c:\windows\system32\drivers\Trufos.sys
2011-05-28 06:08 . 2011-06-16 14:10 916480 ----a-w- c:\windows\system32\wininet.dll
2011-05-28 06:04 . 2011-06-16 14:10 43520 ----a-w- c:\windows\system32\licmgr10.dll
2011-05-28 06:04 . 2011-06-16 14:10 1469440 ----a-w- c:\windows\system32\inetcpl.cpl
2011-05-28 06:04 . 2011-06-16 14:10 71680 ----a-w- c:\windows\system32\iesetup.dll
2011-05-28 06:04 . 2011-06-16 14:10 109056 ----a-w- c:\windows\system32\iesysprep.dll
2011-05-28 05:10 . 2011-06-16 14:10 385024 ----a-w- c:\windows\system32\html.iec
2011-05-28 04:33 . 2011-06-16 14:10 133632 ----a-w- c:\windows\system32\ieUnatt.exe
2011-05-28 04:31 . 2011-06-16 14:10 1638912 ----a-w- c:\windows\system32\mshtml.tlb
2011-05-24 17:14 . 2011-06-05 16:45 222080 ------w- c:\windows\system32\MpSigStub.exe
2011-05-23 14:55 . 2011-05-23 14:55 100184 ----a-w- c:\windows\system32\BgGamingMonitor.dll
.
.
((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
.
*Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-18 1233920]
"LightScribe Control Panel"="c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe" [2007-07-18 451872]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2007-06-01 153136]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"BullGuard"="c:\program files\BullGuard Ltd\BullGuard\BullGuard.exe" [2011-06-30 1620824]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-07-06 449584]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\System32\BgGamingMonitor.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\BsMain]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\BsScanner]
@="Service"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\ v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R3 BgRaSvc;BgRaSvc;c:\program files\BullGuard Ltd\BullGuard\Support\BgRaSvc.exe [2011-05-18 125784]
R3 RTL8192su;Realtek RTL8192SU Wireless LAN 802.11n USB 2.0 Network Adapter;c:\windows\system32\DRIVERS\RTL8192su.sys [2010-11-25 541800]
R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30 319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
S0 tdrpman147;Acronis Try&Decide and Restore Points filter (build 147);c:\windows\system32\DRIVERS\tdrpm147.sys [2010-04-03 971232]
S1 AFW;Agnitum Firewall Driver;c:\windows\system32\DRIVERS\afw.sys [2011-06-15 34920]
S1 BdSpy;BdSpy;c:\windows\system32\DRIVERS\BdSpy.sys [2011-06-15 61152]
S1 NovaShieldFilterDriver;NovaShieldFilterDriver;c:\w indows\system32\DRIVERS\NSKernel.sys [2011-06-15 215624]
S1 NovaShieldTDIDriver;NovaShieldTDIDriver;c:\windows \system32\DRIVERS\NSNetmon.sys [2011-06-15 20040]
S2 BsBhvScan;BullGuard behavioural detection service;c:\program files\BullGuard Ltd\BullGuard\BullGuardBhvScanner.exe [2011-08-09 338264]
S2 BsBrowser;BullGuard antiphishing service;c:\windows\System32\SvcHost.exe [2008-01-18 21504]
S2 BsFileScan;BullGuard on-access service;c:\windows\System32\SvcHost.exe [2008-01-18 21504]
S2 BsFire;BullGuard firewall service;c:\windows\System32\SvcHost.exe [2008-01-18 21504]
S2 BsMailProxy;BullGuard e-mail monitoring service;c:\windows\System32\SvcHost.exe [2008-01-18 21504]
S2 BsMain;BullGuard main service;c:\windows\System32\SvcHost.exe [2008-01-18 21504]
S2 BsUpdate;BullGuard update service;c:\program files\BullGuard Ltd\BullGuard\BullGuardUpdate.exe [2011-05-18 320344]
S2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [2011-07-06 366640]
S3 afwcore;afwcore;c:\windows\system32\DRIVERS\afwcor e.sys [2011-06-15 328296]
S3 BsScanner;BullGuard scanning service;c:\program files\BullGuard Ltd\BullGuard\BullGuardScanner.exe [2011-08-09 288088]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\dr ivers\mbam.sys [2011-07-06 22712]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc
BullGuard_Main REG_MULTI_SZ BsMain
BullGuard REG_MULTI_SZ BsFileScan BsMailProxy BsFire
BullGuard_LowPriv REG_MULTI_SZ BsBrowser
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2007-07-18 16:53 451872 ----a-w- c:\program files\Common Files\LightScribe\LSRunOnce.exe
.
Inhoud van de 'Gedeelde Taken' map
.
2011-07-28 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2609824437-374755029-1169629061-1002Core.job
- c:\users\Niek\AppData\Local\Google\Update\GoogleUp date.exe [2009-11-30 16:54]
.
2011-08-11 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2609824437-374755029-1169629061-1002UA.job
- c:\users\Niek\AppData\Local\Google\Update\GoogleUp date.exe [2009-11-30 16:54]
.
2011-08-11 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2609824437-374755029-1169629061-1003Core.job
- c:\users\Luuk\AppData\Local\Google\Update\GoogleUp date.exe [2009-11-14 17:25]
.
2011-08-11 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2609824437-374755029-1169629061-1003UA.job
- c:\users\Luuk\AppData\Local\Google\Update\GoogleUp date.exe [2009-11-14 17:25]
.
.
------- Bijkomende Scan -------
.
uStart Page = hxxp://www.kadaza.nl/
mStart Page = about:blank
uSearchURL,(Default) = hxxp://g.msn.nl/0SENLNL/SAOS01?FORM=TOOLBR
IE: E&xporteren naar Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6 FF0C6D236BF8.dll/cmsidewiki.html
IE: Translate this web page with Babylon - c:\program files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm
IE: Translate with Babylon - c:\program files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm
LSP: c:\windows\system32\BGLsp.dll
TCP: DhcpNameServer = 62.179.104.196 213.46.228.196
.
- - - - ORPHANS VERWIJDERD - - - -
.
WebBrowser-{3AD798D0-4642-4C55-BC14-CFE7DD19E0D1} - (no file)
WebBrowser-{7C5C0F58-E061-457D-9033-77307F5ED00C} - (no file)
WebBrowser-{FC600575-3013-4E8E-941C-4B00DAFCE730} - (no file)
HKCU-Run-swg - c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNo tifier.exe
HKCU-Run-Livestation - c:\program files\Livestation\Livestation.exe
AddRemove-Adobe Acrobat 5.0 - c:\windows\ISUN0413.EXE
.
.
.
************************************************** ************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-08-11 21:15
Windows 6.0.6001 Service Pack 1 NTFS
.
scannen van verborgen processen ...
.
scannen van verborgen autostart items ...
.
scannen van verborgen bestanden ...
.
Scan succesvol afgerond
verborgen bestanden: 0
.
************************************************** ************************
.
--------------------- VERGRENDELDE REGISTER SLEUTELS ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Cl ass\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- DLLs Geladen Onder Lopende Processen ---------------------
.
- - - - - - - > 'winlogon.exe'(1004)
c:\windows\system32\BgGamingMonitor.dll
.
- - - - - - - > 'lsass.exe'(912)
c:\windows\system32\BgGamingMonitor.dll
.
Voltooingstijd: 2011-08-11 21:17:58
ComboFix-quarantined-files.txt 2011-08-11 19:17
.
Pre-Run: 12.513.075.200 bytes beschikbaar
Post-Run: 12.853.743.616 bytes beschikbaar
.
- - End Of File - - A551157825A7430941A9F95B9AE5CE03

bedankt alvast !

Flyer1

11 August 2011, 21:26

Ik weet uit ervaring dat het nu heel snel kan gaan in de afhandeling ;-), maar voor mij is even belangrijk of je wat kan zeggen over :

- is het na hopelijk succesvolle afhandeling nu definitief weg?
- wat was de oorzaak van de hernieuwde de kop opsteken?
en - waarom is het de eerste x niet volledig verwijderd?
bedankt alvast voor je moeite!! super.

Rosty

12 August 2011, 17:04

Hoi eerst even antwoorden op je vragen.

1) in principe wel.
2) ik denk dat hier je oorzaak zit: vervolgens nieuwe install van de oude Acronis backup van een driekwart jaar terug.
Hier kunnen besmette bestanden opstaan.

Kun je nu nog eens MBAM runnen maar wel alles verwijderen wat het gevonden of nog viond. Post dan deze log hier voor mij.

Flyer1

12 August 2011, 18:53

oke zal ik doen, ik post het over een uurtje, even eten ;)

Flyer1

12 August 2011, 20:16

Uitgebreide scan gedaan, heb niks verwijderd, maar ... alles niet langer geinfecteerd.
MBAM is wel actief sinds opstart, maar heb het niet gekocht....
is het niet zo, dat als ik het niet koop voor mijn familie, waar de pc van is, dat dat dan terug de kop op steekt?
Vind het beetje verwonderllijk, dat het zonder te verwijderen nu ineens schoon is vandaar.
Feitelijk heb ik nog niets gedaan haha!

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org
Databaseversie (http://www.malwarebytes.orgDatabaseversie): 7437
Windows 6.0.6001 Service Pack 1
Internet Explorer 8.0.6001.19088
12-8-2011 20:07:32
mbam-log-2011-08-12 (20-07-32).txt
Scantype: Volledige scan (C:\|D:\|)
Objecten gescand: 389716
Verstreken tijd: 1 uur/uren, 6 minuut/minuten, 30 seconde(n)
Geheugenprocessen geïnfecteerd: 0
Geheugenmodulen geïnfecteerd: 0
Registersleutels geïnfecteerd: 0
Registerwaarden geïnfecteerd: 0
Registerdata geïnfecteerd: 0
Mappen geïnfecteerd: 0
Bestanden geïnfecteerd: 0
Geheugenprocessen geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Geheugenmodulen geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Registersleutels geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Registerwaarden geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Registerdata geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Mappen geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Bestanden geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)

Rosty

12 August 2011, 23:46

Hoi,

MBAM is wel actief sinds opstart, maar heb het niet gekocht....
Ik heb op mijn laptop ook een "free versie" staan hoor, maar als je deze iedere week update en er een scan mee doet moet dit in principe wel volstaan. Natuurlijk ook een dosis gezond verstand ( niet zomaar altijd op "OK" klikken) en weten wat en waar je iets download.
Laat even weten of er nog problemen zijn nu!

Flyer1

13 August 2011, 14:09

Okee, volgens mij geen probs meer.... ik heb net combofix nog een keer laten lopen zie hieronder...
ik schrok wel, wilde hem direct zonder afsluiten posten en ie weigerde (geprobeerd bewerking uit te voeren
op een registersleutel die gemarkeerd is voor verwijdering zei ie....) maar nu na opstart werkt alles weer.

Conclusie : acronis backup weggooien en Bullguard vervangen voor bijv Bitdefender? Vind het nog heel
curieus, dat bullguard m niet heeft gepakt wat er nu besmet was.... ik had juist de acronis gemaakt na
de vorige schoonmaak MET bullguard na verwijdering met mbam en combo !!
Thx man voor je hulp, na je reply hierna, lees ik m en breng de pc terug.
Groeten Flyer!

ComboFix 11-08-13.01 - Luuk 13-08-2011 13:43:51.2.2 - x86
Microsoft® Windows Vista™ Home Basic 6.0.6001.1.1252.31.1043.18.1919.1090 [GMT 2:00]
Gestart vanuit: c:\users\Luuk\Desktop\ComboFix.exe
AV: BullGuard Antivirus *Disabled/Outdated* {504FFF66-3028-EB7E-2E60-62B19ADD791C}
FW: BullGuard Firewall *Disabled* {68747E43-7A47-EA26-053F-CB84640E3E67}
SP: BullGuard Antispyware *Disabled/Outdated* {EB2E1E82-1612-E4F0-14D0-59C3E15A33A1}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
* Nieuw herstelpunt werd aangemaakt
.
.
(((((((((((((((((((( Bestanden Gemaakt van 2011-07-13 to 2011-08-13 ))))))))))))))))))))))))))))))
.
.
2011-08-13 11:55 . 2011-08-13 11:55 -------- d-----w- c:\users\Luuk\AppData\Local\temp
2011-08-13 11:55 . 2011-08-13 11:55 -------- d-----w- c:\users\Roes\AppData\Local\temp
2011-08-13 11:55 . 2011-08-13 11:55 -------- d-----w- c:\users\Niek\AppData\Local\temp
2011-08-13 11:55 . 2011-08-13 11:55 -------- d-----w- c:\users\Gast\AppData\Local\temp
2011-08-13 11:55 . 2011-08-13 11:55 -------- d-----w- c:\users\Default\AppData\Local\temp
2011-08-09 21:19 . 2011-08-09 21:19 -------- d-----w- c:\users\Roes\AppData\Roaming\Malwarebytes
2011-08-09 21:17 . 2011-08-09 21:17 -------- d-----w- c:\users\Roes\AppData\Roaming\Software Inspection Library
2011-08-09 20:49 . 2011-08-09 20:49 388096 ----a-r- c:\users\Luuk\AppData\Roaming\Microsoft\Installer\ {45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2011-08-09 19:56 . 2011-08-09 19:56 -------- d-----w- c:\program files\Trend Micro
2011-08-09 09:07 . 2011-08-09 09:07 -------- d-----w- c:\users\Luuk\AppData\Roaming\Malwarebytes
2011-08-09 09:06 . 2011-07-06 17:52 41272 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-08-09 09:06 . 2011-08-09 09:06 -------- d-----w- c:\programdata\Malwarebytes
2011-08-09 09:06 . 2011-08-09 09:06 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-08-09 09:06 . 2011-07-06 17:52 22712 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-07-24 09:10 . 2011-07-24 09:10 -------- d-----w- c:\users\Luuk\AppData\Local\Oleksiy_Gapotchenko
2011-07-24 09:04 . 2011-07-24 09:20 -------- d-----w- c:\program files\Eazfuscator.NET
2011-07-23 10:29 . 2011-07-23 10:29 -------- d-----w- c:\users\Roes\.jagex_cache_32
2011-07-23 08:25 . 2011-07-23 08:25 -------- d-----w- c:\program files\Microsoft SQL Server
2011-07-23 08:25 . 2011-07-23 08:25 -------- d-----w- c:\program files\Microsoft Synchronization Services
2011-07-23 08:24 . 2011-07-24 15:09 205984 ----a-w- c:\programdata\Microsoft\VBExpress\10.0\1033\Resou rceCache.dll
2011-07-23 08:21 . 2011-07-23 08:21 -------- d-----w- c:\program files\Microsoft SDKs
2011-07-23 08:21 . 2011-07-23 08:21 -------- d-----w- c:\program files\Microsoft Help Viewer
2011-07-23 08:21 . 2011-07-23 08:26 -------- d-----w- c:\program files\Microsoft Visual Studio 10.0
2011-07-23 08:14 . 2008-11-13 02:28 2560 ----a-w- c:\windows\system32\msimsg.dll
2011-07-23 08:13 . 2008-11-13 04:50 332800 ----a-w- c:\windows\system32\msihnd.dll
2011-07-23 08:13 . 2008-11-13 04:50 16384 ----a-w- c:\windows\system32\msisip.dll
2011-07-23 08:13 . 2008-11-13 04:49 73216 ----a-w- c:\windows\system32\msiexec.exe
2011-07-23 08:13 . 2008-11-13 04:50 2241536 ----a-w- c:\windows\system32\msi.dll
2011-07-17 13:48 . 2011-07-17 13:48 -------- d-----w- c:\users\Luuk\AppData\Roaming\Software Inspection Library
2011-07-17 13:32 . 2011-07-17 13:32 -------- d-----w- c:\program files\BullGuard Ltd
.
.
.
((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))) ))
.
2011-06-21 17:03 . 2011-06-21 17:03 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-06-15 10:32 . 2011-06-15 10:32 215624 ----a-w- c:\windows\system32\drivers\NSKernel.sys
2011-06-15 10:32 . 2011-06-15 10:32 20040 ----a-w- c:\windows\system32\drivers\NSNetmon.sys
2011-06-15 10:32 . 2011-06-15 10:32 61152 ----a-w- c:\windows\system32\drivers\BdSpy.sys
2011-06-15 10:32 . 2011-06-15 10:32 34920 ----a-w- c:\windows\system32\drivers\afw.sys
2011-06-15 10:32 . 2011-06-15 10:32 328296 ----a-w- c:\windows\system32\drivers\afwcore.sys
2011-06-15 10:32 . 2011-06-15 10:32 304712 ----a-w- c:\windows\system32\drivers\Trufos.sys
2011-06-02 12:59 . 2011-07-13 08:18 2042368 ----a-w- c:\windows\system32\win32k.sys
2011-05-28 06:08 . 2011-06-16 14:10 916480 ----a-w- c:\windows\system32\wininet.dll
2011-05-28 06:04 . 2011-06-16 14:10 43520 ----a-w- c:\windows\system32\licmgr10.dll
2011-05-28 06:04 . 2011-06-16 14:10 1469440 ----a-w- c:\windows\system32\inetcpl.cpl
2011-05-28 06:04 . 2011-06-16 14:10 71680 ----a-w- c:\windows\system32\iesetup.dll
2011-05-28 06:04 . 2011-06-16 14:10 109056 ----a-w- c:\windows\system32\iesysprep.dll
2011-05-28 05:10 . 2011-06-16 14:10 385024 ----a-w- c:\windows\system32\html.iec
2011-05-28 04:33 . 2011-06-16 14:10 133632 ----a-w- c:\windows\system32\ieUnatt.exe
2011-05-28 04:31 . 2011-06-16 14:10 1638912 ----a-w- c:\windows\system32\mshtml.tlb
2011-05-24 17:14 . 2011-06-05 16:45 222080 ------w- c:\windows\system32\MpSigStub.exe
2011-05-23 14:55 . 2011-05-23 14:55 100184 ----a-w- c:\windows\system32\BgGamingMonitor.dll
.
.
((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
.
*Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-18 1233920]
"LightScribe Control Panel"="c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe" [2007-07-18 451872]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2007-06-01 153136]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"BullGuard"="c:\program files\BullGuard Ltd\BullGuard\BullGuard.exe" [2011-06-30 1620824]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-07-06 449584]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\System32\BgGamingMonitor.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\BsMain]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\BsScanner]
@="Service"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\ v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R3 BgRaSvc;BgRaSvc;c:\program files\BullGuard Ltd\BullGuard\Support\BgRaSvc.exe [2011-05-18 125784]
R3 RTL8192su;Realtek RTL8192SU Wireless LAN 802.11n USB 2.0 Network Adapter;c:\windows\system32\DRIVERS\RTL8192su.sys [2010-11-25 541800]
R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30 319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
S0 tdrpman147;Acronis Try&Decide and Restore Points filter (build 147);c:\windows\system32\DRIVERS\tdrpm147.sys [2010-04-03 971232]
S1 AFW;Agnitum Firewall Driver;c:\windows\system32\DRIVERS\afw.sys [2011-06-15 34920]
S1 BdSpy;BdSpy;c:\windows\system32\DRIVERS\BdSpy.sys [2011-06-15 61152]
S1 NovaShieldFilterDriver;NovaShieldFilterDriver;c:\w indows\system32\DRIVERS\NSKernel.sys [2011-06-15 215624]
S1 NovaShieldTDIDriver;NovaShieldTDIDriver;c:\windows \system32\DRIVERS\NSNetmon.sys [2011-06-15 20040]
S2 BsBhvScan;BullGuard behavioural detection service;c:\program files\BullGuard Ltd\BullGuard\BullGuardBhvScanner.exe [2011-08-09 338264]
S2 BsBrowser;BullGuard antiphishing service;c:\windows\System32\SvcHost.exe [2008-01-18 21504]
S2 BsFileScan;BullGuard on-access service;c:\windows\System32\SvcHost.exe [2008-01-18 21504]
S2 BsFire;BullGuard firewall service;c:\windows\System32\SvcHost.exe [2008-01-18 21504]
S2 BsMailProxy;BullGuard e-mail monitoring service;c:\windows\System32\SvcHost.exe [2008-01-18 21504]
S2 BsMain;BullGuard main service;c:\windows\System32\SvcHost.exe [2008-01-18 21504]
S2 BsUpdate;BullGuard update service;c:\program files\BullGuard Ltd\BullGuard\BullGuardUpdate.exe [2011-05-18 320344]
S2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [2011-07-06 366640]
S3 afwcore;afwcore;c:\windows\system32\DRIVERS\afwcor e.sys [2011-06-15 328296]
S3 BsScanner;BullGuard scanning service;c:\program files\BullGuard Ltd\BullGuard\BullGuardScanner.exe [2011-08-09 288088]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\dr ivers\mbam.sys [2011-07-06 22712]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc
BullGuard_Main REG_MULTI_SZ BsMain
BullGuard REG_MULTI_SZ BsFileScan BsMailProxy BsFire
BullGuard_LowPriv REG_MULTI_SZ BsBrowser
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2007-07-18 16:53 451872 ----a-w- c:\program files\Common Files\LightScribe\LSRunOnce.exe
.
Inhoud van de 'Gedeelde Taken' map
.
2011-08-13 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2609824437-374755029-1169629061-1002Core.job
- c:\users\Niek\AppData\Local\Google\Update\GoogleUp date.exe [2009-11-30 16:54]
.
2011-08-13 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2609824437-374755029-1169629061-1002UA.job
- c:\users\Niek\AppData\Local\Google\Update\GoogleUp date.exe [2009-11-30 16:54]
.
2011-08-12 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2609824437-374755029-1169629061-1003Core.job
- c:\users\Luuk\AppData\Local\Google\Update\GoogleUp date.exe [2009-11-14 17:25]
.
2011-08-13 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2609824437-374755029-1169629061-1003UA.job
- c:\users\Luuk\AppData\Local\Google\Update\GoogleUp date.exe [2009-11-14 17:25]
.
.
------- Bijkomende Scan -------
.
uStart Page = hxxp://www.kadaza.nl/
mStart Page = about:blank
uSearchURL,(Default) = hxxp://g.msn.nl/0SENLNL/SAOS01?FORM=TOOLBR
IE: E&xporteren naar Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6 FF0C6D236BF8.dll/cmsidewiki.html
IE: Translate this web page with Babylon - c:\program files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm
IE: Translate with Babylon - c:\program files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm
LSP: c:\windows\system32\BGLsp.dll
TCP: DhcpNameServer = 62.179.104.196 213.46.228.196
.
.
************************************************** ************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-08-13 13:55
Windows 6.0.6001 Service Pack 1 NTFS
.
scannen van verborgen processen ...
.
scannen van verborgen autostart items ...
.
scannen van verborgen bestanden ...
.
Scan succesvol afgerond
verborgen bestanden: 0
.
************************************************** ************************
.
--------------------- VERGRENDELDE REGISTER SLEUTELS ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Cl ass\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- DLLs Geladen Onder Lopende Processen ---------------------
.
- - - - - - - > 'winlogon.exe'(920)
c:\windows\System32\BgGamingMonitor.dll
.
- - - - - - - > 'lsass.exe'(828)
c:\windows\System32\BgGamingMonitor.dll
.
Voltooingstijd: 2011-08-13 13:58:30
ComboFix-quarantined-files.txt 2011-08-13 11:58
ComboFix2.txt 2011-08-11 19:17
.
Pre-Run: 12.761.067.520 bytes beschikbaar
Post-Run: 12.659.572.736 bytes beschikbaar
.
- - End Of File - - 0387936550A1F0690F887C3827EC6529

Flyer1

13 August 2011, 14:15

oja, voor alle gebruikers is het nu toch schoon heb ik dat juist?

Rosty

14 August 2011, 15:02

Ga naar Start - Uitvoeren
en Geef hier het volgende in: Combofix /Uninstall
Druk daarna op OK.
Als het goed is krijg je dan een melding dat Combofix verwijderd werd.

Voorbeeld:

http://home.kpn.nl/stefsmeenk/CFUninstall.PNG

Uitvoeren kan ook gestart worden door de toetsencombinatie http://home.kpn.nl/stefsmeenk/W+R.jpg

Download of Update Ccleaner (http://www.piriform.com/ccleaner/download/slim)

Start CCleaner op.

Run Ccleaner en klik in de linkse kolom op Opties
Selecteer het tabblad Geavanceerd
Haal het vinkje weg voor Verwijder alleen bestanden in Windows Temp-systeemmap die ouder zijn dan 24 uur
Selecteer het tabblad Instellingen
Haal het vinkje weg bij "Computer automatisch schoonmaken...."
Klik in de linkse kolom op Cleaner.
Klik dan achtereenvolgens op Analyseer en Schoonmaken.
Klik vervolgens in de linkse kolom op Register
Klik op Scan naar problemen.
Als er fouten gevonden worden klik je op Herstel geselecteerde problemen en OK

1) Om herbesmetting te vermijden, kan je deze tips eens nalezen:

Het voorkomen van spyware-infecties en browserhijacking (http://www.nucia.eu/forum/showthread.php?t=55) en Hoe voorkom ik een nieuwe infectie? (http://users.telenet.be/marcvn/spyware/1564073.htm)

2) Om je PC een snelle onderhoudbeurt te geven, kan je deze tips eens lezen: Handleiding voor een schone PC (http://www.nucia.eu/forum/showthread.php?t=34281)

3) Allerlei tips en hints (http://www.emphyrio.be/index.html) kan je hier raadplegen.

Vertel nu even of je nog problemen ondervindt?

Flyer1

15 August 2011, 08:33

Rosty, zeer veel dank, het lijkt er op dat ie nu toch helemaal schoon is, maar omdat het bijkant de 3e keer was, wilde ik toch inderdaad wat meer informatie, omdat ik hier anders weeer zit over paar weken haha! (wel gezellig maar jullie hebben ook nog meeeer te doen dan alleen mij helpen vandaar)
De bullguard word next time vervangen door Bitdefender, en de volgende keer zal ik de bekende stappen vast herhalen als ik dat zelf kan (en mag, afh. van de soort besmetting).
Best een leuke job om te doen heb ik gemerkt.
Thx voor alle hulp and keep up the good work !!!! groet Flyer

Flyer1

15 August 2011, 08:34

Rosty

15 August 2011, 14:31

Als je nu regelmatig MBAM update en laat scannen en dan nog eens de links gebruikt zal je al van veel problemen gespaard blijven hoor!

Flyer1

16 August 2011, 10:05

Rosty, 1 ding houd me nog steeds bezig en dat is het volgende, je vermoeden is dat deze nieuwe besmetting van deze week, die handeld vanaf de heropening vanaf #13
Daarbij gaat het niet over de acronis backup... dat was de vorige keer

2) ik denk dat hier je oorzaak zit: vervolgens nieuwe install van de oude Acronis backup van een driekwart jaar terug.
Hier kunnen besmette bestanden opstaan. deze quote is van #1 dus van de eerste besmetting, 3 weken geleden.

Het is eigenlijk na schoonmaken zonder reden weer teruggekomen, alsof het zich al die 3 weken slapende
heeft gehouden.
Wat dan de reden is geweest, ik heb geen idee. Dat is de enige vraag die me nog bezighoudt.

Rosty

16 August 2011, 19:41

Hoi,

Het is eigenlijk na schoonmaken zonder reden weer teruggekomen, alsof het zich al die 3 weken slapende
heeft gehouden.
Wat dan de reden is geweest, ik heb geen idee. Dat is de enige vraag die me nog bezighoudt.

Weet jij wat die vrienden allemaal uitspoken op hun laptop? Een besmet bestand via een USB stick en je hebt al prijs.

Flyer1

17 August 2011, 15:56

Hoi Rosty, :bow:

ik kan me je reactie voorstellen, maar... ik vroeg het omdat dit moeders account was en de kinderen schoon
waren gebleven vandaar. Het hield me gewoon bezig, vooral omdat die rot - bullguard alles maar doorlaat snap je
(Het zijn mensen die op ons eigen gezin na het dichtst bij me staan btw)

Thx voor de hulp, misschien ben ik al zover dat ik de volgende keer (mocht die komen) me zelf redden
kan. Ze hebben me natuurlijk wel gezworen, om dat ge-game voortaan achterwege te laten :good:
Groet Flyer !