Okee, ga ik meteen doen!
topic mag dicht hoor, perfect opgelost zo
Okee, ga ik meteen doen!
topic mag dicht hoor, perfect opgelost zo
compuchrisje (13 June 2011), peenif (14 June 2011)
Topic heropend op verzoek van de TS!
Hallo Rosty, thx voor je hulp ik was een dagje later met reageren ivm uitstapje vakantie he ;-)
Ik heb het volgende gedaan : veilige modus , user 1 gekozen, snelle scan en logje bij gewone modus geplaatst
De symptomen allemaal weer terug bij user 4 (totaal 4 users) bij de vorige keer waren het users 1+2
Let op: ik heb bij user die nog 'schoon' was gescant weet niet of dat wat uit maakt.
Het vervelende is dat bullguard het weer niet gezien heeft, en de pc is van mijn zus dus dat is erg lastig om telkens
na 2 weken weer te moeten horen dat het er weer terug op is.
Wat ik bedoel; ik zou graag weten of het door hun zoon's spelletjes online (12jr +) komt of dat ik mijn 'werk' niet goed
gedaan heb vorige keer.
Moet ik beter alles formateren om er af te komen bijvoorbeeld? ik ben radeloos, hopelijk kan je me helpen er van af te komen
Rosty.
Zeeer bedankt alvast, zeer goed te weten dat jullie me niet alleen laten met deze lastige materie thx man!!
Hieronder de log Groetjes Flyer
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org
Databaseversie: 7416
Windows 6.0.6001 Service Pack 1 (Safe Mode)
Internet Explorer 8.0.6001.19088
9-8-2011 12:20:02
mbam-log-2011-08-09 (12-19-59).txt
Scantype: Snelle scan
Objecten gescand: 198406
Verstreken tijd: 3 minuut/minuten, 48 seconde
Geheugenprocessen geïnfecteerd: 0
Geheugenmodulen geïnfecteerd: 0
Registersleutels geïnfecteerd: 3
Registerwaarden geïnfecteerd: 0
Registerdata geïnfecteerd: 0
Mappen geïnfecteerd: 0
Bestanden geïnfecteerd: 3
Geheugenprocessen geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Geheugenmodulen geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Registersleutels geïnfecteerd:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{3CC3D8FE-F0E0-4DD1-A69A-8C56BCC7BEBF} (Adware.SmartShopper) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{3CC3D8FE-F0E0-4DD1-A69A-8C56BCC7BEC0} (Adware.SmartShopper) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{4A7C84E2-E95C-43C6-8DD3-03ABCD0EB60E} (Adware.SmartShopper) -> No action taken.
Registerwaarden geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Registerdata geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Mappen geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Bestanden geïnfecteerd:
c:\$Recycle.Bin\s-1-5-21-2609824437-374755029-1169629061-1001\$RTILV9D.tmp (Trojan.Agent) -> No action taken.
c:\$Recycle.Bin\s-1-5-21-2609824437-374755029-1169629061-1001\$RVVPF5I.exe (Trojan.Agent) -> No action taken.
c:\$Recycle.Bin\s-1-5-21-2609824437-374755029-1169629061-1001\$RXHJHPW.exe (Adware.BHO) -> No action taken.
Kun je nu nog eens een scan doen met MBAM, deze log posten en ook een logje van HijackThis.
Flyer1 ( 9 August 2011)
Rosty misschien misverstand, ik heb niets verwijderd nog he zoals ik schreef!
mbam log :
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org
Databaseversie: 7416
Windows 6.0.6001 Service Pack 1
Internet Explorer 8.0.6001.19088
9-8-2011 22:47:20
mbam-log-2011-08-09 (22-47-12).txt
Scantype: Snelle scan
Objecten gescand: 218278
Verstreken tijd: 27 minuut/minuten, 35 seconde
Geheugenprocessen geïnfecteerd: 0
Geheugenmodulen geïnfecteerd: 0
Registersleutels geïnfecteerd: 3
Registerwaarden geïnfecteerd: 0
Registerdata geïnfecteerd: 0
Mappen geïnfecteerd: 0
Bestanden geïnfecteerd: 3
Geheugenprocessen geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Geheugenmodulen geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Registersleutels geïnfecteerd:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{3CC3D8FE-F0E0-4DD1-A69A-8C56BCC7BEBF} (Adware.SmartShopper) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{3CC3D8FE-F0E0-4DD1-A69A-8C56BCC7BEC0} (Adware.SmartShopper) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{4A7C84E2-E95C-43C6-8DD3-03ABCD0EB60E} (Adware.SmartShopper) -> No action taken.
Registerwaarden geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Registerdata geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Mappen geïnfecteerd:
(Geen kwaadaardige objecten gedetecteerd)
Bestanden geïnfecteerd:
c:\$recycle.bin\s-1-5-21-2609824437-374755029-1169629061-1001\$rtilv9d.tmp (Trojan.Agent) -> No action taken.
c:\$recycle.bin\s-1-5-21-2609824437-374755029-1169629061-1001\$rvvpf5i.exe (Trojan.Agent) -> No action taken.
c:\$Recycle.Bin\s-1-5-21-2609824437-374755029-1169629061-1001\$RXHJHPW.exe (Adware.BHO) -> No action taken.
HT log :
LET OP melding HT KAN NIET NAAR DE HOSTFILE SCHRIJVEN omdat het lijkt alsof ik van een locked media device run, maar
dat is niet zo...
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 23:08:39, on 9-8-2011
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.19088)
Boot mode: Normal
Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Users\Luuk\AppData\Local\Google\Update\GoogleUp date.exe
C:\Program Files\BullGuard Ltd\BullGuard\BullGuard.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Users\Luuk\AppData\Local\Google\Update\1.3.21.6 5\GoogleCrashHandler.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\Macromed\Flash\FlashUtil10t_Ac tiveX.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Windows\system32\DllHost.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.nl/0SENLNL/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.nl/0SENLNL/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.kadaza.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.nl/0SENLNL/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Windows Live Aanmelden - Help - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O2 - BHO: BullGuard Safe Browsing - {FC872B94-35E3-4B94-B028-184A2A1C7CCE} - C:\Program Files\BullGuard Ltd\BullGuard\Antiphishing\IE\BGAntiphishingIEBHO. dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [BullGuard] "C:\Program Files\BullGuard Ltd\BullGuard\BullGuard.exe" -boot
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNo tifier.exe"
O4 - HKCU\..\Run: [Livestation] C:\Program Files\Livestation\Livestation.exe -startup
O4 - HKCU\..\Run: [Google Update] "C:\Users\Luuk\AppData\Local\Google\Update\GoogleU pdate.exe" /c
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6 FF0C6D236BF8.dll/cmsidewiki.html
O8 - Extra context menu item: Translate this web page with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm
O8 - Extra context menu item: Translate with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm
O9 - Extra button: In weblog opnemen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &In weblog opnemen met Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Report to BullGuard - {27FD17FB-CF63-486b-B2BE-8D8781CBEA01} - C:\Program Files\BullGuard Ltd\BullGuard\Antiphishing\IE\BGAntiphishingIE.dll
O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file)
O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab56986.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O18 - Protocol: bglink - {FC872B94-35E3-4B94-B028-184A2A1C7CCE} - C:\Program Files\BullGuard Ltd\BullGuard\Antiphishing\IE\BGAntiphishingIEBHO. dll
O20 - AppInit_DLLs: BgGamingMonitor.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
O23 - Service: BgRaSvc - BullGuard Ltd. - C:\Program Files\BullGuard Ltd\BullGuard\Support\BgRaSvc.exe
O23 - Service: BullGuard behavioural detection service (BsBhvScan) - BullGuard Ltd. - C:\Program Files\BullGuard Ltd\BullGuard\BullGuardBhvScanner.exe
O23 - Service: BullGuard scanning service (BsScanner) - BullGuard Ltd. - C:\Program Files\BullGuard Ltd\BullGuard\BullGuardScanner.exe
O23 - Service: BullGuard update service (BsUpdate) - BullGuard Ltd. - C:\Program Files\BullGuard Ltd\BullGuard\BullGuardUpdate.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
--
End of file - 9509 bytes
Dat was het, groetjes
Download ComboFix van één van deze locaties:
Link 1
Link 2
* BELANGRIJK !!! Sla ComboFix.exe op je Bureaublad op
- Schakel alle antivirus- en antispywareprogramma's uit, want anders kunnen ze misschien conflicteren met ComboFix. Hier is een handleiding over hoe je ze kan uitschakelen:
Klik hier
Als het je niet lukt om ze uit te schakelen, ga dan gewoon door naar de volgende stap.- Dubbeklik op ComboFix.exe en volg de meldingen op het scherm.
- ComboFix zal controleren of dat de Microsoft Windows Recovery Console reeds is geïnstalleerd.
**Let op: Als de Microsoft Windows Recovery Console al is geïnstalleerd, dan krijg je de volgende schermen niet te zien en zal ComboFix automatisch verder gaan met het scannen naar malware.- Volg de meldingen op het scherm om ComboFix de Microsoft Windows Recovery Console te laten downloaden en installeren.
Je krijgt de volgende melding te zien wanneer ComboFix de Microsoft Windows Recovery Console succesvol heeft geïnstalleerd:
Klik op Ja om verder te gaan met het scannen naar malware.
Wanneer ComboFix klaar is, zal het het een logbestand voor je maken. Post de inhoud van dit logbestand (te vinden als C:\ComboFix.txt) in je volgende bericht
Moet ik niet eerst van de mbam de gevonden infecties verwijderen of ... ?
Doe maar eerst de ComboFix nu! Daarna zullen we MBAM op de juiste manier gebruiken!
Helemaal goed, hier komt de log :
ComboFix 11-08-11.02 - Luuk 11-08-2011 21:03:59.1.2 - x86
Microsoft® Windows Vista™ Home Basic 6.0.6001.1.1252.31.1043.18.1919.676 [GMT 2:00]
Gestart vanuit: c:\users\Luuk\Desktop\ComboFix.exe
AV: BullGuard Antivirus *Disabled/Outdated* {504FFF66-3028-EB7E-2E60-62B19ADD791C}
FW: BullGuard Firewall *Disabled* {68747E43-7A47-EA26-053F-CB84640E3E67}
SP: BullGuard Antispyware *Disabled/Outdated* {EB2E1E82-1612-E4F0-14D0-59C3E15A33A1}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
* Nieuw herstelpunt werd aangemaakt
.
.
(((((((((((((((((((((((((((((((((( Andere Verwijderingen )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\Luuk\AppData\Roaming\.#
c:\users\Niek\AppData\Roaming\.#
c:\users\Roes\AppData\Roaming\.#
c:\windows\IsUn0413.exe
.
.
(((((((((((((((((((( Bestanden Gemaakt van 2011-07-11 to 2011-08-11 ))))))))))))))))))))))))))))))
.
.
2011-08-11 19:14 . 2011-08-11 19:15 -------- d-----w- c:\users\Luuk\AppData\Local\temp
2011-08-11 19:14 . 2011-08-11 19:14 -------- d-----w- c:\users\Roes\AppData\Local\temp
2011-08-11 19:14 . 2011-08-11 19:14 -------- d-----w- c:\users\Niek\AppData\Local\temp
2011-08-11 19:14 . 2011-08-11 19:14 -------- d-----w- c:\users\Default\AppData\Local\temp
2011-08-11 19:14 . 2011-08-11 19:14 -------- d-----w- c:\users\Gast\AppData\Local\temp
2011-08-09 21:19 . 2011-08-09 21:19 -------- d-----w- c:\users\Roes\AppData\Roaming\Malwarebytes
2011-08-09 21:17 . 2011-08-09 21:17 -------- d-----w- c:\users\Roes\AppData\Roaming\Software Inspection Library
2011-08-09 20:49 . 2011-08-09 20:49 388096 ----a-r- c:\users\Luuk\AppData\Roaming\Microsoft\Installer\ {45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2011-08-09 19:56 . 2011-08-09 19:56 -------- d-----w- c:\program files\Trend Micro
2011-08-09 09:07 . 2011-08-09 09:07 -------- d-----w- c:\users\Luuk\AppData\Roaming\Malwarebytes
2011-08-09 09:06 . 2011-07-06 17:52 41272 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-08-09 09:06 . 2011-08-09 09:06 -------- d-----w- c:\programdata\Malwarebytes
2011-08-09 09:06 . 2011-08-09 09:06 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-08-09 09:06 . 2011-07-06 17:52 22712 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-08-09 09:03 . 2011-07-13 03:39 6881616 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{25C335F9-B72D-4D9B-A219-BCE167D09540}\mpengine.dll
2011-07-24 09:10 . 2011-07-24 09:10 -------- d-----w- c:\users\Luuk\AppData\Local\Oleksiy_Gapotchenko
2011-07-24 09:04 . 2011-07-24 09:20 -------- d-----w- c:\program files\Eazfuscator.NET
2011-07-23 10:29 . 2011-07-23 10:29 -------- d-----w- c:\users\Roes\.jagex_cache_32
2011-07-23 08:25 . 2011-07-23 08:25 -------- d-----w- c:\program files\Microsoft SQL Server
2011-07-23 08:25 . 2011-07-23 08:25 -------- d-----w- c:\program files\Microsoft Synchronization Services
2011-07-23 08:24 . 2011-07-24 15:09 205984 ----a-w- c:\programdata\Microsoft\VBExpress\10.0\1033\Resou rceCache.dll
2011-07-23 08:21 . 2011-07-23 08:21 -------- d-----w- c:\program files\Microsoft SDKs
2011-07-23 08:21 . 2011-07-23 08:21 -------- d-----w- c:\program files\Microsoft Help Viewer
2011-07-23 08:21 . 2011-07-23 08:26 -------- d-----w- c:\program files\Microsoft Visual Studio 10.0
2011-07-23 08:14 . 2008-11-13 02:28 2560 ----a-w- c:\windows\system32\msimsg.dll
2011-07-23 08:13 . 2008-11-13 04:50 332800 ----a-w- c:\windows\system32\msihnd.dll
2011-07-23 08:13 . 2008-11-13 04:50 16384 ----a-w- c:\windows\system32\msisip.dll
2011-07-23 08:13 . 2008-11-13 04:49 73216 ----a-w- c:\windows\system32\msiexec.exe
2011-07-23 08:13 . 2008-11-13 04:50 2241536 ----a-w- c:\windows\system32\msi.dll
2011-07-17 13:48 . 2011-07-17 13:48 -------- d-----w- c:\users\Luuk\AppData\Roaming\Software Inspection Library
2011-07-17 13:32 . 2011-07-17 13:32 -------- d-----w- c:\program files\BullGuard Ltd
2011-07-13 08:18 . 2011-06-02 12:59 2042368 ----a-w- c:\windows\system32\win32k.sys
2011-07-13 08:18 . 2011-04-20 14:47 375808 ----a-w- c:\windows\system32\winsrv.dll
2011-07-13 08:18 . 2011-04-20 14:44 49152 ----a-w- c:\windows\system32\csrsrv.dll
.
.
.
((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))) ))
.
2011-06-21 17:03 . 2011-06-21 17:03 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-06-15 10:32 . 2011-06-15 10:32 215624 ----a-w- c:\windows\system32\drivers\NSKernel.sys
2011-06-15 10:32 . 2011-06-15 10:32 20040 ----a-w- c:\windows\system32\drivers\NSNetmon.sys
2011-06-15 10:32 . 2011-06-15 10:32 61152 ----a-w- c:\windows\system32\drivers\BdSpy.sys
2011-06-15 10:32 . 2011-06-15 10:32 34920 ----a-w- c:\windows\system32\drivers\afw.sys
2011-06-15 10:32 . 2011-06-15 10:32 328296 ----a-w- c:\windows\system32\drivers\afwcore.sys
2011-06-15 10:32 . 2011-06-15 10:32 304712 ----a-w- c:\windows\system32\drivers\Trufos.sys
2011-05-28 06:08 . 2011-06-16 14:10 916480 ----a-w- c:\windows\system32\wininet.dll
2011-05-28 06:04 . 2011-06-16 14:10 43520 ----a-w- c:\windows\system32\licmgr10.dll
2011-05-28 06:04 . 2011-06-16 14:10 1469440 ----a-w- c:\windows\system32\inetcpl.cpl
2011-05-28 06:04 . 2011-06-16 14:10 71680 ----a-w- c:\windows\system32\iesetup.dll
2011-05-28 06:04 . 2011-06-16 14:10 109056 ----a-w- c:\windows\system32\iesysprep.dll
2011-05-28 05:10 . 2011-06-16 14:10 385024 ----a-w- c:\windows\system32\html.iec
2011-05-28 04:33 . 2011-06-16 14:10 133632 ----a-w- c:\windows\system32\ieUnatt.exe
2011-05-28 04:31 . 2011-06-16 14:10 1638912 ----a-w- c:\windows\system32\mshtml.tlb
2011-05-24 17:14 . 2011-06-05 16:45 222080 ------w- c:\windows\system32\MpSigStub.exe
2011-05-23 14:55 . 2011-05-23 14:55 100184 ----a-w- c:\windows\system32\BgGamingMonitor.dll
.
.
((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
.
*Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-18 1233920]
"LightScribe Control Panel"="c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe" [2007-07-18 451872]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2007-06-01 153136]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"BullGuard"="c:\program files\BullGuard Ltd\BullGuard\BullGuard.exe" [2011-06-30 1620824]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-07-06 449584]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\System32\BgGamingMonitor .dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\BsMain]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\BsScanner]
@="Service"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\ v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R3 BgRaSvc;BgRaSvc;c:\program files\BullGuard Ltd\BullGuard\Support\BgRaSvc.exe [2011-05-18 125784]
R3 RTL8192su;Realtek RTL8192SU Wireless LAN 802.11n USB 2.0 Network Adapter;c:\windows\system32\DRIVERS\RTL8192su.sys [2010-11-25 541800]
R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30 319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
S0 tdrpman147;Acronis Try&Decide and Restore Points filter (build 147);c:\windows\system32\DRIVERS\tdrpm147.sys [2010-04-03 971232]
S1 AFW;Agnitum Firewall Driver;c:\windows\system32\DRIVERS\afw.sys [2011-06-15 34920]
S1 BdSpy;BdSpy;c:\windows\system32\DRIVERS\BdSpy.sys [2011-06-15 61152]
S1 NovaShieldFilterDriver;NovaShieldFilterDriver;c:\w indows\system32\DRIVERS\NSKernel.sys [2011-06-15 215624]
S1 NovaShieldTDIDriver;NovaShieldTDIDriver;c:\windows \system32\DRIVERS\NSNetmon.sys [2011-06-15 20040]
S2 BsBhvScan;BullGuard behavioural detection service;c:\program files\BullGuard Ltd\BullGuard\BullGuardBhvScanner.exe [2011-08-09 338264]
S2 BsBrowser;BullGuard antiphishing service;c:\windows\System32\SvcHost.exe [2008-01-18 21504]
S2 BsFileScan;BullGuard on-access service;c:\windows\System32\SvcHost.exe [2008-01-18 21504]
S2 BsFire;BullGuard firewall service;c:\windows\System32\SvcHost.exe [2008-01-18 21504]
S2 BsMailProxy;BullGuard e-mail monitoring service;c:\windows\System32\SvcHost.exe [2008-01-18 21504]
S2 BsMain;BullGuard main service;c:\windows\System32\SvcHost.exe [2008-01-18 21504]
S2 BsUpdate;BullGuard update service;c:\program files\BullGuard Ltd\BullGuard\BullGuardUpdate.exe [2011-05-18 320344]
S2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [2011-07-06 366640]
S3 afwcore;afwcore;c:\windows\system32\DRIVERS\afwcor e.sys [2011-06-15 328296]
S3 BsScanner;BullGuard scanning service;c:\program files\BullGuard Ltd\BullGuard\BullGuardScanner.exe [2011-08-09 288088]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\dr ivers\mbam.sys [2011-07-06 22712]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc
BullGuard_Main REG_MULTI_SZ BsMain
BullGuard REG_MULTI_SZ BsFileScan BsMailProxy BsFire
BullGuard_LowPriv REG_MULTI_SZ BsBrowser
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2007-07-18 16:53 451872 ----a-w- c:\program files\Common Files\LightScribe\LSRunOnce.exe
.
Inhoud van de 'Gedeelde Taken' map
.
2011-07-28 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2609824437-374755029-1169629061-1002Core.job
- c:\users\Niek\AppData\Local\Google\Update\GoogleUp date.exe [2009-11-30 16:54]
.
2011-08-11 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2609824437-374755029-1169629061-1002UA.job
- c:\users\Niek\AppData\Local\Google\Update\GoogleUp date.exe [2009-11-30 16:54]
.
2011-08-11 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2609824437-374755029-1169629061-1003Core.job
- c:\users\Luuk\AppData\Local\Google\Update\GoogleUp date.exe [2009-11-14 17:25]
.
2011-08-11 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2609824437-374755029-1169629061-1003UA.job
- c:\users\Luuk\AppData\Local\Google\Update\GoogleUp date.exe [2009-11-14 17:25]
.
.
------- Bijkomende Scan -------
.
uStart Page = hxxp://www.kadaza.nl/
mStart Page = about:blank
uSearchURL,(Default) = hxxp://g.msn.nl/0SENLNL/SAOS01?FORM=TOOLBR
IE: E&xporteren naar Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6 FF0C6D236BF8.dll/cmsidewiki.html
IE: Translate this web page with Babylon - c:\program files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm
IE: Translate with Babylon - c:\program files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm
LSP: c:\windows\system32\BGLsp.dll
TCP: DhcpNameServer = 62.179.104.196 213.46.228.196
.
- - - - ORPHANS VERWIJDERD - - - -
.
WebBrowser-{3AD798D0-4642-4C55-BC14-CFE7DD19E0D1} - (no file)
WebBrowser-{7C5C0F58-E061-457D-9033-77307F5ED00C} - (no file)
WebBrowser-{FC600575-3013-4E8E-941C-4B00DAFCE730} - (no file)
HKCU-Run-swg - c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNo tifier.exe
HKCU-Run-Livestation - c:\program files\Livestation\Livestation.exe
AddRemove-Adobe Acrobat 5.0 - c:\windows\ISUN0413.EXE
.
.
.
************************************************** ************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-08-11 21:15
Windows 6.0.6001 Service Pack 1 NTFS
.
scannen van verborgen processen ...
.
scannen van verborgen autostart items ...
.
scannen van verborgen bestanden ...
.
Scan succesvol afgerond
verborgen bestanden: 0
.
************************************************** ************************
.
--------------------- VERGRENDELDE REGISTER SLEUTELS ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Cl ass\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- DLLs Geladen Onder Lopende Processen ---------------------
.
- - - - - - - > 'winlogon.exe'(1004)
c:\windows\system32\BgGamingMonitor.dll
.
- - - - - - - > 'lsass.exe'(912)
c:\windows\system32\BgGamingMonitor.dll
.
Voltooingstijd: 2011-08-11 21:17:58
ComboFix-quarantined-files.txt 2011-08-11 19:17
.
Pre-Run: 12.513.075.200 bytes beschikbaar
Post-Run: 12.853.743.616 bytes beschikbaar
.
- - End Of File - - A551157825A7430941A9F95B9AE5CE03
bedankt alvast !
Ik weet uit ervaring dat het nu heel snel kan gaan in de afhandeling ;-), maar voor mij is even belangrijk of je wat kan zeggen over :
- is het na hopelijk succesvolle afhandeling nu definitief weg?
- wat was de oorzaak van de hernieuwde de kop opsteken?
en - waarom is het de eerste x niet volledig verwijderd?
bedankt alvast voor je moeite!! super.
Momenteel bekijken 1 gebruikers deze discussie. (0 leden en 1 gasten)
Favorieten/bladwijzers