Archief - Werk PC die raar doet

Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.
H

HighWire

Legacy Member
Hallo!

Onderaan staat het logje maar laat mij even de problemen toelichten:

Op totale random momenten valt het internet eventjes uit op deze PC (enkel en alleen deze, de rest in het netwerk ondervind geen last.) Een reboot lost dit meestal op.

Ook als ik bvb de search bar in het startmenu wens te gebruiken crashed Explorer.exe.

Van tijd tot tijd stoppen bepaalde programma's met werken (Mozilla Thunderbird heeft hier het meeste last van.)

De aangesloten printer weigert soms te werken, dan moet ik deze eerst versteken van USB poort vooraleer deze werkt (eens dit gedaan is kan het goed zijn dat ik 1 document kan afdrukken en het dan nogmaals moet doen, printer wordt dan als Offline weergegeven.) Op andere computers werkt deze printer zonder enig probleem.

Als iemand zo vriendelijk wil zijn voor onderstaand logje eens te doorpluizen?
Alvast met dank!


Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 13:32:10, on 21/02/2012
Platform: Windows 7 (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16930)
Boot mode: Normal

Running processes:
C:\Program Files\Alwil Software\Avast5\AvastUI.exe
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe
C:\Program Files\Logitech\SetPoint\x86\SetPoint32.exe
C:\Program Files (x86)\Common Files\Java\Java Update\jucheck.exe
C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Windows\SysWOW64\Macromed\Flash\FlashUtil10o_ActiveX.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN | Hotmail | Messenger | Nieuws, sport, entertainment, video, lifestyle, auto en nog veel meer, dat is MSN !
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN | Hotmail | Messenger | Nieuws, sport, entertainment, video, lifestyle, auto en nog veel meer, dat is MSN !
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [avast5] "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~2\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~2\Office12\REFIEBAR.DLL
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: Intel(R) Management and Security Application Local Management Service (LMS) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: Intel(R) Management & Security Application User Notification Service (UNS) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 7068 bytes
J

Juisterr

Legacy Member
Voor ik een analyse tool erop los laat wil ik even weten wat je bedoelt met werk pc?
Als deze pc onderdeel is van een werk situatie / omgeving dan zou je eerst even langs de systeembeheerder gaan. Bovenstaand logje is schoon trouwens.
H

HighWire

Legacy Member
Het is de PC die in het magazijn van men vader staat (wij verhuren aanhangwagens), systeembeheerder ben ik zelf, vandaar het logje :)

Netwerk daar bestaat uit 2 vaste computers (eentje vanvoor aan de receptie, eentje op de buro van men vader) en 1 laptop die wireless verbonden is met het netwerk daar.

Gaat niet om bvb een PC in een gigantisch netwerk binnen een groot bedrijf, is een klein familiebedrijfje :)
J

Juisterr

Legacy Member
In dat geval is het prima hoor, ik wil geen last krijgen met een systeembeheerder want deze tool wil nog wel eens wat verwijderen dat bv. niet op de juiste plek staat, pc anywhere bv is een gewild slachtoffer.
Download ComboFix van één van deze locaties:

Link 1
Link 2


* BELANGRIJK !!! Sla ComboFix.exe op je Bureaublad op.
>>Hier<< kunt u lezen hoe u Combofix dient te gebruiken.



4de6eab6867f3-Combofix.JPG


1. Schakel alle antivirus- en antispywareprogramma's uit, want anders kunnen ze misschien conflicteren met ComboFix.

* (hier of hier staat een handleiding over hoe je deze kan uitschakelen: )

2. Het kan voorkomen dat de computer meerdere malen opnieuw gestart moet worden, dit is normaal.
3. Dubbelklik op "Combofix.exe" om de tool te starten.
4. Klik niet in het scherm van Combofix als deze actief is, hierdoor kan de 'tool' vastlopen.

* Noot !!! Als er een error wordt getoond met de melding "Illegal operation attempted on a registery key that has been marked for deletion." herstart dan de computer.

5. Wanneer ComboFix klaar is, zal het het een logbestand voor je maken. Post de inhoud van dit logbestand (te vinden als C:\ComboFix.txt) in je volgende bericht.
H

HighWire

Legacy Member
Sorry voor het lange wachten, heb het tijdje vrij druk gehad waardoor ik niet op de pc geraakte, bij deze het logje:

ComboFix 12-03-13.01 - Peter 15/03/2012 10:17:37.2.4 - x64
Microsoft Windows 7 Home Premium 6.1.7600.0.1252.32.1043.18.3932.3010 [GMT 1:00]
Gestart vanuit: c:\users\Peter\Desktop\ComboFix.exe
AV: avast! Antivirus *Disabled/Updated* {C37D8F93-0602-E43C-40AA-47DAD597F308}
SP: avast! Antivirus *Disabled/Updated* {781C6E77-2038-EBB2-7A1A-7CA8AE10B9B5}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((( Andere Verwijderingen )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\system32\fxsst.dll . . . . konden niet verwijderd worden
c:\windows\system32\slwga.dll . . . . konden niet verwijderd worden
c:\windows\system32\srrstr.dll . . . . konden niet verwijderd worden
c:\windows\system32\systemcpl.dll . . . . konden niet verwijderd worden
c:\windows\system32\termsrv.dll . . . . konden niet verwijderd worden
.
----- File Replicators -----
.
c:\programdata\Adobe\ARM\Reader_10.0.0\13096\AcrobatUpdater.exe
c:\programdata\Adobe\ARM\Reader_10.0.0\13096\AdobeARMHelper.exe
c:\programdata\Adobe\ARM\Reader_10.0.0\13096\ReaderUpdater.exe
c:\programdata\Adobe\ARM\Reader_10.0.0\205\AcrobatUpdater.exe
c:\programdata\Adobe\ARM\Reader_10.0.0\205\AdobeARMHelper.exe
c:\programdata\Adobe\ARM\Reader_10.0.0\205\ReaderUpdater.exe
c:\programdata\Adobe\ARM\Reader_10.0.0\20993\AcrobatUpdater.exe
c:\programdata\Adobe\ARM\Reader_10.0.0\20993\AdobeARMHelper.exe
c:\programdata\Adobe\ARM\Reader_10.0.0\20993\ReaderUpdater.exe
c:\programdata\Adobe\ARM\Reader_10.0.0\21045\AcrobatUpdater.exe
c:\programdata\Adobe\ARM\Reader_10.0.0\21045\AdobeARMHelper.exe
c:\programdata\Adobe\ARM\Reader_10.0.0\21045\ReaderUpdater.exe
c:\programdata\Adobe\ARM\Reader_10.0.0\24020\AcrobatUpdater.exe
c:\programdata\Adobe\ARM\Reader_10.0.0\24020\AdobeARMHelper.exe
c:\programdata\Adobe\ARM\Reader_10.0.0\24020\ReaderUpdater.exe
c:\programdata\Adobe\ARM\Reader_10.0.0\25714\AcrobatUpdater.exe
c:\programdata\Adobe\ARM\Reader_10.0.0\25714\AdobeARMHelper.exe
c:\programdata\Adobe\ARM\Reader_10.0.0\25714\ReaderUpdater.exe
c:\programdata\Adobe\ARM\Reader_10.0.0\26390\AcrobatUpdater.exe
c:\programdata\Adobe\ARM\Reader_10.0.0\26390\AdobeARMHelper.exe
c:\programdata\Adobe\ARM\Reader_10.0.0\26390\ReaderUpdater.exe
c:\programdata\Adobe\ARM\Reader_10.0.0\28016\AcrobatUpdater.exe
c:\programdata\Adobe\ARM\Reader_10.0.0\28016\AdobeARMHelper.exe
c:\programdata\Adobe\ARM\Reader_10.0.0\28016\ReaderUpdater.exe
c:\programdata\Adobe\ARM\Reader_10.0.0\29958\AcrobatUpdater.exe
c:\programdata\Adobe\ARM\Reader_10.0.0\29958\AdobeARMHelper.exe
c:\programdata\Adobe\ARM\Reader_10.0.0\29958\ReaderUpdater.exe
c:\programdata\Adobe\ARM\Reader_10.0.0\30484\AcrobatUpdater.exe
c:\programdata\Adobe\ARM\Reader_10.0.0\30484\AdobeARMHelper.exe
c:\programdata\Adobe\ARM\Reader_10.0.0\30484\ReaderUpdater.exe
c:\programdata\Adobe\ARM\Reader_10.0.0\5027\AcrobatUpdater.exe
c:\programdata\Adobe\ARM\Reader_10.0.0\5027\AdobeARMHelper.exe
c:\programdata\Adobe\ARM\Reader_10.0.0\5027\ReaderUpdater.exe
c:\programdata\Adobe\ARM\Reader_10.0.0\5121\AcrobatUpdater.exe
c:\programdata\Adobe\ARM\Reader_10.0.0\5121\AdobeARMHelper.exe
c:\programdata\Adobe\ARM\Reader_10.0.0\5121\ReaderUpdater.exe
c:\programdata\Adobe\ARM\Reader_10.0.0\5629\AcrobatUpdater.exe
c:\programdata\Adobe\ARM\Reader_10.0.0\5629\AdobeARMHelper.exe
c:\programdata\Adobe\ARM\Reader_10.0.0\5629\ReaderUpdater.exe
c:\programdata\Adobe\ARM\Reader_10.0.0\5830\AcrobatUpdater.exe
c:\programdata\Adobe\ARM\Reader_10.0.0\5830\AdobeARMHelper.exe
c:\programdata\Adobe\ARM\Reader_10.0.0\5830\ReaderUpdater.exe
c:\programdata\Adobe\ARM\Reader_10.0.0\9059\AcrobatUpdater.exe
c:\programdata\Adobe\ARM\Reader_10.0.0\9059\AdobeARMHelper.exe
c:\programdata\Adobe\ARM\Reader_10.0.0\9059\ReaderUpdater.exe
c:\programdata\Adobe\ARM\Reader_10.0.0\993\AcrobatUpdater.exe
c:\programdata\Adobe\ARM\Reader_10.0.0\993\AdobeARMHelper.exe
c:\programdata\Adobe\ARM\Reader_10.0.0\993\ReaderUpdater.exe
c:\users\All Users\Adobe\ARM\Reader_10.0.0\13096\AcrobatUpdater.exe
c:\users\All Users\Adobe\ARM\Reader_10.0.0\13096\AdobeARMHelper.exe
c:\users\All Users\Adobe\ARM\Reader_10.0.0\13096\ReaderUpdater.exe
c:\users\All Users\Adobe\ARM\Reader_10.0.0\205\AcrobatUpdater.exe
c:\users\All Users\Adobe\ARM\Reader_10.0.0\205\AdobeARMHelper.exe
c:\users\All Users\Adobe\ARM\Reader_10.0.0\205\ReaderUpdater.exe
c:\users\All Users\Adobe\ARM\Reader_10.0.0\20993\AcrobatUpdater.exe
c:\users\All Users\Adobe\ARM\Reader_10.0.0\20993\AdobeARMHelper.exe
c:\users\All Users\Adobe\ARM\Reader_10.0.0\20993\ReaderUpdater.exe
c:\users\All Users\Adobe\ARM\Reader_10.0.0\21045\AcrobatUpdater.exe
c:\users\All Users\Adobe\ARM\Reader_10.0.0\21045\AdobeARMHelper.exe
c:\users\All Users\Adobe\ARM\Reader_10.0.0\21045\ReaderUpdater.exe
c:\users\All Users\Adobe\ARM\Reader_10.0.0\24020\AcrobatUpdater.exe
c:\users\All Users\Adobe\ARM\Reader_10.0.0\24020\AdobeARMHelper.exe
c:\users\All Users\Adobe\ARM\Reader_10.0.0\24020\ReaderUpdater.exe
c:\users\All Users\Adobe\ARM\Reader_10.0.0\25714\AcrobatUpdater.exe
c:\users\All Users\Adobe\ARM\Reader_10.0.0\25714\AdobeARMHelper.exe
c:\users\All Users\Adobe\ARM\Reader_10.0.0\25714\ReaderUpdater.exe
c:\users\All Users\Adobe\ARM\Reader_10.0.0\26390\AcrobatUpdater.exe
c:\users\All Users\Adobe\ARM\Reader_10.0.0\26390\AdobeARMHelper.exe
c:\users\All Users\Adobe\ARM\Reader_10.0.0\26390\ReaderUpdater.exe
c:\users\All Users\Adobe\ARM\Reader_10.0.0\28016\AcrobatUpdater.exe
c:\users\All Users\Adobe\ARM\Reader_10.0.0\28016\AdobeARMHelper.exe
c:\users\All Users\Adobe\ARM\Reader_10.0.0\28016\ReaderUpdater.exe
c:\users\All Users\Adobe\ARM\Reader_10.0.0\29958\AcrobatUpdater.exe
c:\users\All Users\Adobe\ARM\Reader_10.0.0\29958\AdobeARMHelper.exe
c:\users\All Users\Adobe\ARM\Reader_10.0.0\29958\ReaderUpdater.exe
c:\users\All Users\Adobe\ARM\Reader_10.0.0\30484\AcrobatUpdater.exe
c:\users\All Users\Adobe\ARM\Reader_10.0.0\30484\AdobeARMHelper.exe
c:\users\All Users\Adobe\ARM\Reader_10.0.0\30484\ReaderUpdater.exe
c:\users\All Users\Adobe\ARM\Reader_10.0.0\5027\AcrobatUpdater.exe
c:\users\All Users\Adobe\ARM\Reader_10.0.0\5027\AdobeARMHelper.exe
c:\users\All Users\Adobe\ARM\Reader_10.0.0\5027\ReaderUpdater.exe
c:\users\All Users\Adobe\ARM\Reader_10.0.0\5121\AcrobatUpdater.exe
c:\users\All Users\Adobe\ARM\Reader_10.0.0\5121\AdobeARMHelper.exe
c:\users\All Users\Adobe\ARM\Reader_10.0.0\5121\ReaderUpdater.exe
c:\users\All Users\Adobe\ARM\Reader_10.0.0\5629\AcrobatUpdater.exe
c:\users\All Users\Adobe\ARM\Reader_10.0.0\5629\AdobeARMHelper.exe
c:\users\All Users\Adobe\ARM\Reader_10.0.0\5629\ReaderUpdater.exe
c:\users\All Users\Adobe\ARM\Reader_10.0.0\5830\AcrobatUpdater.exe
c:\users\All Users\Adobe\ARM\Reader_10.0.0\5830\AdobeARMHelper.exe
c:\users\All Users\Adobe\ARM\Reader_10.0.0\5830\ReaderUpdater.exe
c:\users\All Users\Adobe\ARM\Reader_10.0.0\9059\AcrobatUpdater.exe
c:\users\All Users\Adobe\ARM\Reader_10.0.0\9059\AdobeARMHelper.exe
c:\users\All Users\Adobe\ARM\Reader_10.0.0\9059\ReaderUpdater.exe
c:\users\All Users\Adobe\ARM\Reader_10.0.0\993\AcrobatUpdater.exe
c:\users\All Users\Adobe\ARM\Reader_10.0.0\993\AdobeARMHelper.exe
c:\users\All Users\Adobe\ARM\Reader_10.0.0\993\ReaderUpdater.exe
.
-- Voorgaande Run --
.
c:\windows\SysWOW64\msdt.exe . . . is geïnfecteerd!!
.
c:\windows\SysWOW64\msdt.exe . . . is geïnfecteerd!!
.
Besmet exemplaar van c:\windows\SysWOW64\mstsc.exe werd aangetroffen en gedesinfecteerd
Hersteld exemplaar van - c:\windows\winsxs\wow64_microsoft-windows-t..minalservicesclient_31bf3856ad364e35_6.1.7600.20861_none_b4c12ca1883a4fc8\mstsc.exe
.
c:\windows\SysWOW64\msdt.exe . . . is geïnfecteerd!!
.
Besmet exemplaar van c:\windows\SysWOW64\mstsc.exe werd aangetroffen en gedesinfecteerd
Hersteld exemplaar van - c:\windows\winsxs\wow64_microsoft-windows-t..minalservicesclient_31bf3856ad364e35_6.1.7600.20861_none_b4c12ca1883a4fc8\mstsc.exe
.
c:\windows\SysWOW64\WerFault.exe . . . is geïnfecteerd!!
.
--------
.
c:\windows\SysWOW64\msdt.exe . . . is geïnfecteerd!!
.
c:\windows\SysWOW64\WerFault.exe . . . is geïnfecteerd!!
.
c:\windows\SysWow64\dsound.dll . . . is geïnfecteerd!!
.
.
(((((((((((((((((((( Bestanden Gemaakt van 2012-02-15 to 2012-03-15 ))))))))))))))))))))))))))))))
.
.
2012-03-15 10:16 . 2012-03-15 10:16 -------- d-----w- c:\users\Default\AppData\Local\temp
2012-03-15 02:03 . 2011-11-19 18:30 5504880 ----a-w- c:\windows\system32\ntoskrnl.exe
2012-03-15 02:03 . 2011-11-19 14:25 3957616 ----a-w- c:\windows\SysWow64\ntkrnlpa.exe
2012-03-15 02:03 . 2011-11-19 14:25 3902320 ----a-w- c:\windows\SysWow64\ntoskrnl.exe
2012-03-14 09:17 . 2012-03-14 09:17 69000 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{63B10A34-EF49-4619-A4A0-E02FB1338322}\offreg.dll
2012-03-14 02:07 . 2012-02-03 04:16 3143168 ----a-w- c:\windows\system32\win32k.sys
2012-03-14 02:07 . 2012-02-10 06:18 1541120 ----a-w- c:\windows\system32\DWrite.dll
2012-03-14 02:07 . 2012-02-10 06:17 1837568 ----a-w- c:\windows\system32\d3d10warp.dll
2012-03-14 02:07 . 2012-02-10 06:17 902656 ----a-w- c:\windows\system32\d2d1.dll
2012-03-14 02:07 . 2012-02-10 06:17 320512 ----a-w- c:\windows\system32\d3d10_1core.dll
2012-03-14 02:07 . 2012-02-10 06:17 197120 ----a-w- c:\windows\system32\d3d10_1.dll
2012-03-14 02:07 . 2012-02-10 05:41 1074176 ----a-w- c:\windows\SysWow64\DWrite.dll
2012-03-14 02:07 . 2012-02-10 05:41 218624 ----a-w- c:\windows\SysWow64\d3d10_1core.dll
2012-03-14 02:07 . 2012-02-10 05:41 161792 ----a-w- c:\windows\SysWow64\d3d10_1.dll
2012-03-14 02:07 . 2012-02-10 05:41 1170944 ----a-w- c:\windows\SysWow64\d3d10warp.dll
2012-03-14 02:07 . 2012-02-10 05:41 739840 ----a-w- c:\windows\SysWow64\d2d1.dll
2012-03-14 02:06 . 2012-02-08 07:13 8643640 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{63B10A34-EF49-4619-A4A0-E02FB1338322}\mpengine.dll
2012-03-14 02:05 . 2012-01-25 06:27 149504 ----a-w- c:\windows\system32\rdpcorekmts.dll
2012-03-14 02:05 . 2012-01-25 06:20 9216 ----a-w- c:\windows\system32\rdrmemptylst.exe
2012-03-14 02:05 . 2012-01-25 06:27 76288 ----a-w- c:\windows\system32\rdpwsx.dll
2012-03-14 02:05 . 2012-02-15 06:27 1031680 ----a-w- c:\windows\system32\rdpcore.dll
2012-03-14 02:05 . 2012-02-15 05:44 826368 ----a-w- c:\windows\SysWow64\rdpcore.dll
2012-03-14 02:05 . 2012-02-15 04:47 204800 ----a-w- c:\windows\system32\drivers\rdpwd.sys
2012-03-14 02:05 . 2012-02-15 04:46 23552 ----a-w- c:\windows\system32\drivers\tdtcp.sys
2012-03-09 02:26 . 2012-03-09 02:26 -------- d-----w- c:\windows\SysWow64\wbem\en-US
2012-03-09 02:26 . 2012-03-09 02:26 -------- d-----w- c:\windows\system32\wbem\en-US
2012-02-21 12:31 . 2012-02-21 12:32 -------- d-----w- C:\HJT
2012-02-17 09:57 . 2012-01-04 09:58 509952 ----a-w- c:\windows\system32\ntshrui.dll
2012-02-17 09:57 . 2012-01-04 09:03 442880 ----a-w- c:\windows\SysWow64\ntshrui.dll
2012-02-17 09:55 . 2012-01-03 06:24 515584 ----a-w- c:\windows\system32\timedate.cpl
2012-02-17 09:55 . 2012-01-03 05:44 478208 ----a-w- c:\windows\SysWow64\timedate.cpl
2012-02-17 09:55 . 2011-12-28 03:59 499200 ----a-w- c:\windows\system32\drivers\afd.sys
2012-02-17 09:55 . 2011-12-16 08:42 634368 ----a-w- c:\windows\system32\msvcrt.dll
2012-02-17 09:55 . 2011-12-16 07:59 690688 ----a-w- c:\windows\SysWow64\msvcrt.dll
.
.
.
((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-02-23 08:18 . 2010-07-26 22:41 279656 ------w- c:\windows\system32\MpSigStub.exe
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[7] 2011-07-16 . B9B42A302325537D7B9DC52D47F33A73 . 1162752 . . [6.1.7601.17651] .. c:\windows\winsxs\amd64_microsoft-windows-kernel32_31bf3856ad364e35_6.1.7601.17651_none_f1b5ac086d0e33d5\kernel32.dll
[7] 2011-07-16 . 27AC02D8EE4C02E7648C41CB880151DA . 1163264 . . [6.1.7601.21772] .. c:\windows\winsxs\amd64_microsoft-windows-kernel32_31bf3856ad364e35_6.1.7601.21772_none_f22aa945863b24d8\kernel32.dll
[-] 2011-07-16 . 53D6D99DBFF6B7E6D510E61B831BDBE5 . 1162240 . . [6.1.7600.16850] .. c:\windows\winsxs\amd64_microsoft-windows-kernel32_31bf3856ad364e35_6.1.7600.16850_none_efce4eb86fe8ae92\kernel32.dll
[7] 2011-07-16 . 06835B46D9676BEDD80AF25ACF6845FD . 1162240 . . [6.1.7600.21010] .. c:\windows\winsxs\amd64_microsoft-windows-kernel32_31bf3856ad364e35_6.1.7600.21010_none_f083035588e611da\kernel32.dll
[7] 2011-06-03 . 8225958BAC83EAFCDB6BAB6EE5EDF6E6 . 1162240 . . [6.1.7600.20978] .. c:\windows\winsxs\amd64_microsoft-windows-kernel32_31bf3856ad364e35_6.1.7600.20978_none_f04a4dfb890f50f6\kernel32.dll
[7] 2011-05-14 . 98DA1B7572DAD6BA10296E0DF0950B37 . 1162240 . . [6.1.7600.16816] .. c:\windows\winsxs\amd64_microsoft-windows-kernel32_31bf3856ad364e35_6.1.7600.16816_none_efff90246fc2d6d8\kernel32.dll
[7] 2011-05-14 . 0E1B2E16235AA7F89F064EE75DFC905E . 1162752 . . [6.1.7601.17617] .. c:\windows\winsxs\amd64_microsoft-windows-kernel32_31bf3856ad364e35_6.1.7601.17617_none_f1e6ed746ce85c1b\kernel32.dll
[7] 2011-05-14 . 6743E8705A96FCBF71279B5AE2CCFDBC . 1163264 . . [6.1.7601.21728] .. c:\windows\winsxs\amd64_microsoft-windows-kernel32_31bf3856ad364e35_6.1.7601.21728_none_f266ba9d860d312d\kernel32.dll
[7] 2010-11-20 . 7A6326D96D53048FDEC542DF23D875A0 . 1161216 . . [6.1.7601.17514] .. c:\windows\SoftwareDistribution\Download\488053cdbca3231eeb2c2af7236d09ed\amd64_microsoft-windows-kernel32_31bf3856ad364e35_6.1.7601.17514_none_f1e3eab06ceb12ef\kernel32.dll
[7] 2010-11-20 . 7A6326D96D53048FDEC542DF23D875A0 . 1161216 . . [6.1.7601.17514] .. c:\windows\SoftwareDistribution\Download\dc27c38d9b7eaf96642aee3cb3400730\amd64_microsoft-windows-kernel32_31bf3856ad364e35_6.1.7601.17514_none_f1e3eab06ceb12ef\kernel32.dll
[7] 2009-07-14 . 5B4B379AD10DEDA4EDA01B8C6961B193 . 1162240 . . [6.1.7600.16385] .. c:\windows\winsxs\amd64_microsoft-windows-kernel32_31bf3856ad364e35_6.1.7600.16385_none_efb2d6e86ffc8f55\kernel32.dll
[-] 2011-07-16 . 53D6D99DBFF6B7E6D510E61B831BDBE5 . 1162240 . . [6.1.7600.16385] .. c:\windows\system32\kernel32.dll
.
[-] 2009-07-14 . 245060781E8932582B5D36D6AAB3401C . 453632 . . [6.1.7600.16385] .. c:\windows\SysWOW64\dsound.dll
[-] 2009-07-14 . 245060781E8932582B5D36D6AAB3401C . 453632 . . [6.1.7600.16385] .. c:\windows\winsxs\x86_microsoft-windows-audio-dsound_31bf3856ad364e35_6.1.7600.16385_none_5872147ba3367471\dsound.dll
.
((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]
"Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe" [2010-11-15 35736]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-11-15 932288]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Logitech SetPoint.lnk - c:\program files\Logitech\SetPoint\SetPoint.exe [2011-3-7 1207312]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R3 ALSysIO;ALSysIO;c:\users\ADMINI~1\AppData\Local\Temp\ALSysIO64.sys [x]
R3 IntcDAud;Intel(R) Display Audio;c:\windows\system32\DRIVERS\IntcDAud.sys [x]
R3 WatAdminSvc;Windows Activation Technologies-service;c:\windows\system32\Wat\WatAdminSvc.exe [x]
S1 aswSP;aswSP; [x]
S2 aswFsBlk;aswFsBlk; [x]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [x]
S2 UNS;Intel(R) Management & Security Application User Notification Service;c:\program files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [2009-10-01 2314240]
S3 HECIx64;Intel(R) Management Engine Interface;c:\windows\system32\DRIVERS\HECIx64.sys [x]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [x]
.
.
.
--------- x86-64 -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-09-09 171520]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2010-03-17 10134560]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-08-25 161304]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-08-25 386584]
"Persistence"="c:\windows\system32\igfxpers.exe" [2010-08-25 415256]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2009-06-17 130576]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x0
.
------- Bijkomende Scan -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://www.google.be/
mLocal Page = c:\windows\SysWOW64\blank.htm
IE: E&xporteren naar Microsoft Excel - c:\progra~2\MICROS~2\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.0.1
.
.
--------------------- VERGRENDELDE REGISTER SLEUTELS ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10o_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10o_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10o.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10o.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10o.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10o.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Andere Aktieve Processen ------------------------
.
c:\program files\Alwil Software\Avast5\AvastSvc.exe
c:\program files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
c:\program files\Logitech\SetPoint\x86\SetPoint32.exe
.
**************************************************************************
.
Voltooingstijd: 2012-03-15 11:20:09 - machine werd herstart
ComboFix-quarantined-files.txt 2012-03-15 10:20
.
Pre-Run: 273.682.522.112 bytes beschikbaar
Post-Run: 273.363.759.104 bytes beschikbaar
.
- - End Of File - - 80D8427737606D0FCDC7471859B1A600
J

Juisterr

Legacy Member
dit moet ik even overleggen met een collega, kom er op terug.
J

Juisterr

Legacy Member
Ik denk dat je last hebt van een file-infector ( Sality of Virut ).
Daar werkt maar 1 ding tegen, compleet formateren, en dat is dan ook mijn advies.
H

HighWire

Legacy Member
Goed, dat weten we dan. Ik vraag mij enkel af vanwaar die vandaan komt... De enige die die PC actief gebruikt ben ik en ons vader, en ik kan met redelijke trots zeggen dat ons vader niet zomaar dingen download of op iets klikt (bij het minste dat hij iets niet vertrouwt belt hij naar mij :p)

Nuja, toch bedankt in alle geval! :)
H

HighWire

Legacy Member
Eventjes een update:

De PC is ondertussen volledig geformateerd en geherinstalleerd en alles werkt weer naar behoren! (Heb wel 1 BSOD gehad, maar dit lag aan een foutieve driver, snel opgelost).

Toch bedankt voor de hulp in ieder geval Juisterr!
Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.
Terug
Bovenaan