Archief - antimalware docter, lsass.exe, ...

Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.
y

yekezei

Legacy Member
Hello,

Ik werd geïnfecteerd door Antimalware Docter en heb het verwijderd via een spyware removal programma. Ook had ik problemen met lsass.exe dat altijd actief was in mijn processen maar mijn virusscanner heeft dit blijkbaar ook opgelost.

Gelieve eens te checken of degelijk alles weg is.

Andere ongewenste crap mag ook altijd verwijderd worden.

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 11:51:25, on 6/08/2010
Platform: Windows 7 (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskhost.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\LogMeIn Hamachi\hamachi-2-ui.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Yassin\AppData\Local\Google\Update\GoogleUpdate.exe
C:\Users\Yassin\Downloads\HijackThis.exe
C:\Users\Yassin\AppData\Local\Google\Update\Download\{389ECFE1-4737-400D-8343-E9B2473D9F33}\chrome_installer.exe
C:\Users\Yassin\AppData\Local\Temp\CR_4BFD.tmp\setup.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ask.com?o=15187&l=dis
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:6522
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Windows Live Aanmelden - Help - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {C3B751D8-562C-42C6-8CB3-DC21ACA55B98} - c:\windows\system32\serrqqd.dll (file missing)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Mobiel Apple apparaat (Apple Mobile Device) - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-service (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LogMeIn Hamachi 2.0 Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - C:\Program Files\LogMeIn Hamachi\hamachi-2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-service (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe

--
End of file - 5492 bytes
J

Juisterr

Legacy Member
Start Hijackthis op en kies voor 'Do a system scan only'
Selecteer alleen de items die hieronder zijn genoemd:

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: (no name) - {C3B751D8-562C-42C6-8CB3-DC21ACA55B98} - c:\windows\system32\serrqqd.dll (file missing)

Sluit alle vensters behalve Hijackthis
Klik op 'Fix checked' om de items te verwijderen.


Download ComboFix van één van deze locaties:
Link 1

Link 2

* BELANGRIJK !!! Sla ComboFix.exe op je Bureaublad op
  • Schakel alle antivirus- en antispywareprogramma's uit, want anders kunnen ze misschien conflicteren met ComboFix. Hier is een handleiding over hoe je ze kan uitschakelen:

    Klik hier
    Als het je niet lukt om ze uit te schakelen, ga dan gewoon door naar de volgende stap.
  • Dubbeklik op ComboFix.exe en volg de meldingen op het scherm.
  • ComboFix zal controleren of dat de Microsoft Windows Recovery Console reeds is geïnstalleerd.

    **Let op: Als de Microsoft Windows Recovery Console al is geïnstalleerd, dan krijg je de volgende schermen niet te zien en zal ComboFix automatisch verder gaan met het scannen naar malware.
  • Volg de meldingen op het scherm om ComboFix de Microsoft Windows Recovery Console te laten downloaden en installeren.
cf-rc-auto.jpg



Je krijgt de volgende melding te zien wanneer ComboFix de Microsoft Windows Recovery Console succesvol heeft geïnstalleerd:
rc-auto-done.jpg



Klik op Ja om verder te gaan met het scannen naar malware.

NOTE: Wanneer ComboFix start, kan het zijn dat je een Error melding krijgt dat de “contents of the ComboFix package has been compromised”
Ga niet verder met de instructies, maar download ComboFix opnieuw. Deze melding kan verschijnen wanneer een file-infector (Virut) actief is op de computer.


4ac516149830d-ComboFix_Virut.jpg

Blijf je die melding krijgen dan meld je dit.


Wanneer ComboFix klaar is, zal het het een logbestand voor je maken. Post de inhoud van dit logbestand (te vinden als C:\ComboFix.txt) in je volgende bericht.
y

yekezei

Legacy Member
Bij het runnen van Combofix zei hij 2 maal dat er een rootkit hinderde. Derde maal lukte het.


Alvast bedankt!

ComboFix 10-08-06.01 - Yassin 07/08/2010 2:16.1.2 - x86
Microsoft Windows 7 Professional 6.1.7600.0.1252.32.1043.18.2046.1248 [GMT 2:00]
Gestart vanuit: c:\users\Yassin\Desktop\ComboFix.exe
* Aanwezig AV is actief

.

(((((((((((((((((((((((((((((((((( Andere Verwijderingen )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programdata\Microsoft\Windows\Start Menu\Programs\Acer Crystal Eye Webcam Video Class Camera
c:\programdata\Microsoft\Windows\Start Menu\Programs\Acer Crystal Eye Webcam Video Class Camera \Uninstall.lnk
c:\users\Yassin\AppData\Local\mxouprfod
c:\users\Yassin\AppData\Local\mxouprfod\wcbpwbutssd.exe
c:\users\Yassin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Antimalware Doctor.lnk
c:\users\Yassin\AppData\Roaming\Microsoft\Windows\Start Menu\Antimalware Doctor.lnk
c:\windows\system32\comsats.sys
c:\windows\system32\Install.txt
c:\windows\system32\service.sys
c:\windows\system32\szetyj67v.txt

Besmet exemplaar van c:\windows\system32\drivers\rdpencdd.sys werd aangetroffen en gedesinfecteerd
Hersteld exemplaar van - Kitty ate it :p
.
(((((((((((((((((((( Bestanden Gemaakt van 2010-07-07 to 2010-08-07 ))))))))))))))))))))))))))))))
.

2010-08-07 00:28 . 2010-08-07 00:47 -------- d-----w- c:\users\Yassin\AppData\Local\temp
2010-08-07 00:28 . 2010-08-07 00:28 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-08-06 09:25 . 2010-08-06 09:25 -------- d-----w- c:\users\Yassin\AppData\Local\ESET
2010-08-06 09:24 . 2010-08-06 09:24 -------- d-----w- c:\program files\ESET
2010-08-05 12:56 . 2010-08-05 12:56 -------- d-----w- c:\programdata\Hitman Pro
2010-08-05 12:56 . 2010-08-05 12:56 -------- d-----w- c:\program files\Hitman Pro 3.5
2010-08-05 11:54 . 2010-08-06 10:31 -------- d-----w- c:\users\Yassin\AppData\Local\hdytowada
2010-08-05 11:54 . 2010-08-06 10:33 -------- d-----w- c:\users\Yassin\AppData\Local\spxuonmsj
2010-08-04 19:47 . 2010-08-04 21:44 -------- d-----w- c:\programdata\TmForever
2010-08-02 15:13 . 2010-08-02 15:13 -------- d-----w- c:\program files\Counter-Strike 1.6
2010-07-25 11:35 . 2010-07-25 11:35 -------- d-----w- c:\program files\SequoiaView
2010-07-24 20:29 . 2010-07-24 20:29 -------- d-----w- c:\program files\Common Files\Skype
2010-07-19 16:29 . 2010-07-19 16:29 -------- d-----w- c:\programdata\Solidshield
2010-07-19 15:39 . 2010-07-19 15:39 -------- d-----w- c:\program files\Ubisoft
2010-07-15 10:45 . 2010-07-15 10:45 -------- d-----w- c:\programdata\Blizzard Entertainment
2010-07-14 08:55 . 2010-07-14 08:55 -------- d-----w- c:\programdata\Office Genuine Advantage
2010-07-11 22:39 . 2010-07-11 22:39 -------- d-----w- c:\users\Yassin\AppData\Local\Adobe
2010-07-11 22:39 . 2010-07-11 22:39 -------- d--h--w- c:\windows\msdownld.tmp
2010-07-11 22:23 . 2010-07-12 00:08 -------- d-----w- c:\users\Yassin\AppData\Local\PMB Files
2010-07-11 22:23 . 2010-07-11 22:24 -------- d-----w- c:\programdata\PMB Files
2010-07-11 22:23 . 2010-07-11 22:23 -------- d-----w- c:\program files\Pando Networks

.
((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-07 00:23 . 2009-07-14 08:27 694632 ----a-w- c:\windows\system32\perfh013.dat
2010-08-07 00:23 . 2009-07-14 08:27 131076 ----a-w- c:\windows\system32\perfc013.dat
2010-08-06 09:18 . 2009-12-09 22:09 -------- d-----w- c:\users\Yassin\AppData\Roaming\uTorrent
2010-08-05 12:06 . 2010-08-05 12:06 294144 ----a-w- c:\programdata\Microsoft\Windows Defender\LocalCopy\{8E20E1EF-5A97-C0DC-AFCC-DC6515432EB8}-godvkvwtssd.exe
2010-08-02 15:05 . 2010-01-07 23:46 -------- d-----w- c:\program files\Windows Live Safety Center
2010-07-25 14:54 . 2009-12-30 15:33 -------- d-----w- c:\program files\Steam
2010-07-24 21:32 . 2009-12-11 19:45 -------- d-----w- c:\users\Yassin\AppData\Roaming\Skype
2010-07-24 20:29 . 2009-12-11 19:47 -------- d-----w- c:\users\Yassin\AppData\Roaming\skypePM
2010-07-22 10:34 . 2009-12-24 10:19 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-07-22 10:34 . 2010-01-06 13:16 -------- d-----w- c:\program files\Microsoft Games
2010-07-15 00:21 . 2009-12-09 22:45 -------- d-----w- c:\programdata\Microsoft Help
2010-07-12 11:39 . 2009-12-11 13:59 -------- d-----w- c:\program files\iTunes
2010-07-11 22:40 . 2010-04-08 13:57 -------- d-----w- c:\program files\Common Files\Adobe AIR
2010-07-11 22:39 . 2010-07-11 22:41 53632 ----a-w- c:\users\Yassin\AppData\Roaming\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
2010-07-11 22:39 . 2010-04-08 13:57 53632 ----a-w- c:\users\Default\AppData\Roaming\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
2010-06-30 22:01 . 2010-06-30 18:21 -------- d-----w- c:\programdata\PopCap Games
2010-06-19 19:06 . 2010-01-24 15:27 -------- d-----w- c:\program files\YouTube Downloader
2010-05-27 07:24 . 2010-06-11 14:22 34304 ----a-w- c:\windows\system32\atmlib.dll
2010-05-27 03:49 . 2010-06-11 14:22 293888 ----a-w- c:\windows\system32\atmfd.dll
2010-05-21 12:14 . 2009-12-09 18:30 221568 ------w- c:\windows\system32\MpSigStub.exe
2010-05-21 05:18 . 2010-06-11 14:22 977920 ----a-w- c:\windows\system32\wininet.dll
2010-05-18 18:28 . 2010-05-18 18:28 100368 ----a-w- c:\windows\system32\drivers\VBoxNetAdp.sys
2010-05-18 18:28 . 2010-05-26 10:36 142864 ----a-w- c:\windows\system32\drivers\VBoxDrv.sys
2010-05-18 18:28 . 2010-05-26 10:36 41744 ----a-w- c:\windows\system32\drivers\VBoxUSBMon.sys
2010-05-18 18:28 . 2010-05-18 18:28 133648 ----a-w- c:\windows\system32\VBoxNetFltNotify.dll
2010-05-18 18:28 . 2010-05-18 18:28 111248 ----a-w- c:\windows\system32\drivers\VBoxNetFlt.sys
2010-05-11 21:20 . 2010-04-03 08:33 138184 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2010-05-11 21:19 . 2010-04-03 08:33 215016 ----a-w- c:\windows\system32\PnkBstrB.exe
2010-05-11 14:50 . 2010-04-03 08:33 138056 ----a-w- c:\users\Yassin\AppData\Roaming\PnkBstrK.sys
2010-05-11 14:50 . 2010-04-03 08:33 138056 ----a-w- c:\users\Yassin\AppData\Roaming\PnkBstrK.sys
2010-05-11 14:49 . 2010-05-11 14:49 2427248 ----a-w- c:\windows\system32\pbsvc_heroes.exe
2010-05-09 09:14 . 2010-06-23 05:57 641536 ----a-w- c:\windows\system32\CPFilters.dll
2010-05-09 09:14 . 2010-06-23 05:57 417792 ----a-w- c:\windows\system32\msdri.dll
2009-06-10 21:26 . 2009-07-14 02:04 9633792 --sha-r- c:\windows\Fonts\StaticCache.dat
2009-07-14 01:14 . 2009-07-13 23:42 396800 --sha-w- c:\windows\winsxs\x86_microsoft-windows-mail-app_31bf3856ad364e35_6.1.7600.16385_none_f12e83abb108c86c\WinMail.exe
.

((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys]
@="FSFilter System Recovery"

[HKLM\~\startupfolder\C:^Users^Yassin^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^CurseClientStartup.ccip]
path=c:\users\Yassin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CurseClientStartup.ccip
backup=c:\windows\pss\CurseClientStartup.ccip.Startup
backupExtension=.Startup

[HKLM\~\startupfolder\C:^Users^Yassin^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^MagicDisc.lnk]
path=c:\users\Yassin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MagicDisc.lnk
backup=c:\windows\pss\MagicDisc.lnk.Startup
backupExtension=.Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogMeIn Hamachi Ui]
2010-03-30 09:16 1820040 ----a-w- c:\program files\LogMeIn Hamachi\hamachi-2-ui.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PLFSetL]
2007-07-05 11:35 94208 ----a-w- c:\windows\PLFSetL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PWRISOVM.EXE]
2008-01-20 07:05 217088 ----a-w- c:\program files\PowerISO\PWRISOVM.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-11-10 22:08 417792 ----a-w- c:\program files\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
2010-05-29 14:26 1238352 ----a-w- c:\program files\Steam\steam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\uTorrent]
2010-05-20 16:52 322352 ----a-w- c:\program files\uTorrent\uTorrent.exe

R2 uokkxzts;RDP Winstation Monitor;c:\windows\System32\svchost.exe [2009-07-14 20992]
R3 WatAdminSvc;Windows Activation Technologies-service;c:\windows\system32\Wat\WatAdminSvc.exe [2010-05-21 1343400]
S1 ehdrv;ehdrv;c:\windows\system32\DRIVERS\ehdrv.sys [2009-09-29 108792]
S1 VBoxDrv;VirtualBox Service;c:\windows\system32\DRIVERS\VBoxDrv.sys [2010-05-18 142864]
S1 VBoxUSBMon;VirtualBox USB Monitor Driver;c:\windows\system32\DRIVERS\VBoxUSBMon.sys [2010-05-18 41744]
S2 ekrn;ESET Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [2009-09-29 735960]
S2 epfwwfpr;epfwwfpr;c:\windows\system32\DRIVERS\epfwwfpr.sys [2009-09-29 95896]
S2 Hamachi2Svc;LogMeIn Hamachi 2.0 Tunneling Engine;c:\program files\LogMeIn Hamachi\hamachi-2.exe [2010-03-30 1107336]
S3 netw5v32;Stuurprogramma voor Intel(R) Wireless WiFi Link 5000 Series-adapter 32-bits Windows Vista;c:\windows\system32\DRIVERS\netw5v32.sys [2009-07-13 4231168]
S3 SrvHsfHDA;SrvHsfHDA;c:\windows\system32\DRIVERS\VSTAZL3.SYS [2009-07-13 207360]
S3 SrvHsfV92;SrvHsfV92;c:\windows\system32\DRIVERS\VSTDPV3.SYS [2009-07-13 980992]
S3 SrvHsfWinac;SrvHsfWinac;c:\windows\system32\DRIVERS\VSTCNXT3.SYS [2009-07-13 661504]
S3 VBoxNetAdp;VirtualBox Host-Only Ethernet Adapter;c:\windows\system32\DRIVERS\VBoxNetAdp.sys [2010-05-18 100368]
S3 VBoxNetFlt;VBoxNetFlt Service;c:\windows\system32\DRIVERS\VBoxNetFlt.sys [2010-05-18 111248]
S3 winbondcir;Winbond IR Transceiver;c:\windows\system32\DRIVERS\winbondcir.sys [2007-03-28 43008]


--- Andere Services/Drivers In Geheugen ---

*Deregistered* - ibnaz

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
uokkxzts
.
Inhoud van de 'Gedeelde Taken' map

2010-08-06 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3853072217-4248559959-2833249227-1000Core.job
- c:\users\Yassin\AppData\Local\Google\Update\GoogleUpdate.exe [2009-12-11 13:48]

2010-08-07 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3853072217-4248559959-2833249227-1000UA.job
- c:\users\Yassin\AppData\Local\Google\Update\GoogleUpdate.exe [2009-12-11 13:48]
.
.
------- Bijkomende Scan -------
.
uStart Page = hxxp://www.ask.com?o=15187&l=dis
uInternet Settings,ProxyOverride = <local>
uInternet Settings,ProxyServer = http=127.0.0.1:6522
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\users\Yassin\AppData\Roaming\Mozilla\Firefox\Profiles\1t3zlu19.default\
FF - plugin: c:\program files\Google\Picasa3\npPicasa3.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Pando Networks\Media Booster\npPandoWebPlugin.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - plugin: c:\users\Yassin\AppData\Local\Google\Update\1.2.183.29\npGoogleOneClick8.dll
FF - plugin: c:\users\Yassin\AppData\Roaming\Mozilla\Firefox\Profiles\1t3zlu19.default\extensions\[email protected]\platform\WINNT_x86-msvc\plugins\npBFHUpdater.dll
.
.
------- Bestandsassociaties -------
.
.txt=
.
- - - - ORPHANS VERWIJDERD - - - -

WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
SafeBoot-dmboot.sys
SafeBoot-dmio.sys
SafeBoot-dmload.sys
SafeBoot-dmadmin
SafeBoot-dmserver
SafeBoot-SRService
MSConfigStartUp-28013 - c:\users\Yassin\AppData\Local\Temp\780363.exe



[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\ibnaz]

.
--------------------- VERGRENDELDE REGISTER SLEUTELS ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Andere Aktieve Processen ------------------------
.
c:\windows\system32\nvvsvc.exe
c:\windows\system32\nvvsvc.exe
c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\taskhost.exe
c:\windows\system32\conhost.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\program files\Windows Live\Contacts\wlcomm.exe
c:\windows\servicing\TrustedInstaller.exe
c:\users\Yassin\AppData\Local\Google\Chrome\Application\chrome.exe
c:\users\Yassin\AppData\Local\Google\Chrome\Application\chrome.exe
c:\users\Yassin\AppData\Local\Google\Chrome\Application\chrome.exe
c:\progra~1\THEKMP~1\KMPlayer.exe
c:\windows\system32\DllHost.exe
.
**************************************************************************
.
Voltooingstijd: 2010-08-07 02:56:58 - machine werd herstart
ComboFix-quarantined-files.txt 2010-08-07 00:56

Pre-Run: 11.684.777.984 bytes beschikbaar
Post-Run: 14.393.622.528 bytes beschikbaar

- - End Of File - - 77E60E86FB28BE9D42D724E71F42CDAD
J

Juisterr

Legacy Member
Download ComboFix van één van deze locaties:
Link 1

Link 2

* BELANGRIJK !!! Sla ComboFix.exe op je Bureaublad op
  • Schakel alle antivirus- en antispywareprogramma's uit, want anders kunnen ze misschien conflicteren met ComboFix. Hier is een handleiding over hoe je ze kan uitschakelen:

    Klik hier
    Als het je niet lukt om ze uit te schakelen, ga dan gewoon door naar de volgende stap.
  • Dubbeklik op ComboFix.exe en volg de meldingen op het scherm.
  • ComboFix zal controleren of dat de Microsoft Windows Recovery Console reeds is geïnstalleerd.

    **Let op: Als de Microsoft Windows Recovery Console al is geïnstalleerd, dan krijg je de volgende schermen niet te zien en zal ComboFix automatisch verder gaan met het scannen naar malware.
  • Volg de meldingen op het scherm om ComboFix de Microsoft Windows Recovery Console te laten downloaden en installeren.
cf-rc-auto.jpg



Je krijgt de volgende melding te zien wanneer ComboFix de Microsoft Windows Recovery Console succesvol heeft geïnstalleerd:
rc-auto-done.jpg



Klik op Ja om verder te gaan met het scannen naar malware.

NOTE: Wanneer ComboFix start, kan het zijn dat je een Error melding krijgt dat de &#8220;contents of the ComboFix package has been compromised&#8221;
Ga niet verder met de instructies, maar download ComboFix opnieuw. Deze melding kan verschijnen wanneer een file-infector (Virut) actief is op de computer.


4ac516149830d-ComboFix_Virut.jpg

Blijf je die melding krijgen dan meld je dit.


Wanneer ComboFix klaar is, zal het het een logbestand voor je maken. Post de inhoud van dit logbestand (te vinden als C:\ComboFix.txt) in je volgende bericht.
Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.
Terug
Bovenaan