Archief - Win Scam geïnstalleerd door virus - dringend hulp gezocht!

Dakantochnie · 31 jan 2011

Hallo,

Door een virus dat zich gisterennacht op mijn pc gevestigd heeft, is er plots het programmaatje 'Win Scan' geïnstalleerd. Ik kan dit niet op de standaard manier verwijderen (komt niet voor in lijst met geïnstalleerde programma's), noch uitschakelen via msconfig.

Ik heb hier reeds achter gegoogled, met weinig succes (wat me vreemd lijkt, maar soit). Niettemin raadde iemand op een forum aan om 'OTL' te laten draaien, wat ik dan ook deed. Hieronder de logfile:

OTL.txt: OTL logfile created on: 31/01/2011 14:48:10 - Run

Extras.txt: OTL Extras logfile created on: 31/01/2011 14:48:10

Alvast bedankt!

Dakantochnie · 31 jan 2011

HiJackThis zei:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 15:36:15, on 31/01/2011
Platform: Windows 7 (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16700)
Boot mode: Normal

Running processes:
C:\ProgramData\UQYbTlAvaPtNcj.exe
C:\Program Files (x86)\Common Files\Symantec Shared\ccApp.exe
C:\ProgramData\zOr7JWG5UqpFz8z.exe
C:\Users\*** ***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\preme.exe
C:\Program Files (x86)\Symantec\Symantec Endpoint Protection\ProtectionUtilSurrogate.exe
D:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Program Files (x86)\Viewpoint\Viewpoint Manager\ViewMgr.exe
D:\Program Files\mIRC\mirc.exe
D:\Program Files\Mozilla\Firefox\firefox.exe
D:\Program Files\HijackThis\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = De Standaard Online
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Title1
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Title1
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REGystem.ini: UserInit=userinit.exe
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - D:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - D:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: FireShot - {6E6E744E-4D20-4ce3-9A7A-26DFFFE22F68} - C:\Users\*** ***\AppData\Roaming\Mozilla\Firefox\Profiles\nqhq6bzq.default\extensions\{0b457cAA-602d-484a-8fe7-c1d894a011ba}\library\fsaddin-0.80.dll (file missing)
O4 - HKLM\..\Run: [ccApp] "C:\Program Files (x86)\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe
O4 - HKCU\..\Run: [UQYbTlAvaPtNcj.exe] C:\ProgramData\UQYbTlAvaPtNcj.exe
O4 - HKCU\..\Run: [zOr7JWG5UqpFz8z] C:\ProgramData\zOr7JWG5UqpFz8z.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
O4 - Startup: preme.exe
O8 - Extra context menu item: Afbeelding verzenden naar &Bluetooth-apparaat... - D:\Program Files\Widcomm\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Append Link Target to Existing PDF - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Append to Existing PDF - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert Link Target to Adobe PDF - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Download met Mipony - file://D:\Program Files\MiPony\Browser\IEContext.htm
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pagina verzenden naar &Bluetooth-apparaat... - D:\Program Files\Widcomm\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Verzenden naar Bluetooth - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\Program Files\Widcomm\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: Verzenden naar &Bluetooth-apparaat... - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\Program Files\Widcomm\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Toon of verberg HP Smart Web Printing - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - D:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://ccfiles.creative.com/Web/softwareupdate/su2/ocx/15109/CTPID.cab
O20 - AppInit_DLLs: acaptuser32.dll
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Mobiel Apple apparaat (Apple Mobile Device) - Apple Inc. - C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Bonjour-service (Bonjour Service) - Apple Inc. - C:\Program Files (x86)\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files (x86)\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files (x86)\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Program Files (x86)\Creative\Shared Files\CTAudSvc.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: Google Updateservice (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: iPod-service (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~2\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: Rx2Agent - Raxco Software, Inc. - D:\Program Files\Raxco\PerfectSpeed\Rx2Agent.exe
O23 - Service: Rx2Engine - Raxco Software, Inc. - D:\Program Files\Raxco\PerfectSpeed\Rx2Engine.exe
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - D:\Program Files\SiSoftware Sandra Lite 2010.SP3\RpcAgentSrv.exe
O23 - Service: Symantec Management Client (SmcService) - Symantec Corporation - C:\Program Files (x86)\Symantec\Symantec Endpoint Protection\Smc.exe
O23 - Service: Symantec Network Access Control (SNAC) - Symantec Corporation - C:\Program Files (x86)\Symantec\Symantec Endpoint Protection\SNAC64.EXE
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: SonicWALL Global VPN Client Service (SWGVCSvc) - SonicWALL, Inc. - D:\Program Files\SonicWall\SWGVCSvc.exe
O23 - Service: Symantec Endpoint Protection (Symantec AntiVirus) - Symantec Corporation - C:\Program Files (x86)\Symantec\Symantec Endpoint Protection\Rtvscan.exe
O23 - Service: TeamViewer 5 (TeamViewer5) - TeamViewer GmbH - D:\Program Files\TeamViewer\Version5\TeamViewer_Service.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: Viewpoint Manager Service - Viewpoint Corporation - C:\Program Files (x86)\Viewpoint\Common\ViewpointService.exe
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 11106 bytes

Dakantochnie · 31 jan 2011

HiJackThis zei:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 15:57:50, on 31/01/2011
Platform: Windows 7 (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16700)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Common Files\Symantec Shared\ccApp.exe
C:\Users\*** ***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\preme.exe
C:\Program Files (x86)\Symantec\Symantec Endpoint Protection\ProtectionUtilSurrogate.exe
D:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
D:\Program Files\mIRC\mirc.exe
C:\Program Files (x86)\Viewpoint\Viewpoint Manager\ViewMgr.exe
D:\Program Files\HijackThis\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = De Standaard Online
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Title1
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Title1
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REGystem.ini: UserInit=userinit.exe
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - D:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - D:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: FireShot - {6E6E744E-4D20-4ce3-9A7A-26DFFFE22F68} - C:\Users\*** ***\AppData\Roaming\Mozilla\Firefox\Profiles\nqhq6bzq.default\extensions\{0b457cAA-602d-484a-8fe7-c1d894a011ba}\library\fsaddin-0.80.dll (file missing)
O4 - HKLM\..\Run: [ccApp] "C:\Program Files (x86)\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
O4 - Startup: preme.exe
O8 - Extra context menu item: Afbeelding verzenden naar &Bluetooth-apparaat... - D:\Program Files\Widcomm\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Append Link Target to Existing PDF - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Append to Existing PDF - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert Link Target to Adobe PDF - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Download met Mipony - file://D:\Program Files\MiPony\Browser\IEContext.htm
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pagina verzenden naar &Bluetooth-apparaat... - D:\Program Files\Widcomm\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Verzenden naar Bluetooth - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\Program Files\Widcomm\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: Verzenden naar &Bluetooth-apparaat... - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\Program Files\Widcomm\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Toon of verberg HP Smart Web Printing - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - D:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://ccfiles.creative.com/Web/softwareupdate/su2/ocx/15109/CTPID.cab
O20 - AppInit_DLLs: acaptuser32.dll
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Mobiel Apple apparaat (Apple Mobile Device) - Apple Inc. - C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Bonjour-service (Bonjour Service) - Apple Inc. - C:\Program Files (x86)\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files (x86)\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files (x86)\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Program Files (x86)\Creative\Shared Files\CTAudSvc.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: Google Updateservice (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: iPod-service (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~2\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: Rx2Agent - Raxco Software, Inc. - D:\Program Files\Raxco\PerfectSpeed\Rx2Agent.exe
O23 - Service: Rx2Engine - Raxco Software, Inc. - D:\Program Files\Raxco\PerfectSpeed\Rx2Engine.exe
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - D:\Program Files\SiSoftware Sandra Lite 2010.SP3\RpcAgentSrv.exe
O23 - Service: Symantec Management Client (SmcService) - Symantec Corporation - C:\Program Files (x86)\Symantec\Symantec Endpoint Protection\Smc.exe
O23 - Service: Symantec Network Access Control (SNAC) - Symantec Corporation - C:\Program Files (x86)\Symantec\Symantec Endpoint Protection\SNAC64.EXE
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: SonicWALL Global VPN Client Service (SWGVCSvc) - SonicWALL, Inc. - D:\Program Files\SonicWall\SWGVCSvc.exe
O23 - Service: Symantec Endpoint Protection (Symantec AntiVirus) - Symantec Corporation - C:\Program Files (x86)\Symantec\Symantec Endpoint Protection\Rtvscan.exe
O23 - Service: TeamViewer 5 (TeamViewer5) - TeamViewer GmbH - D:\Program Files\TeamViewer\Version5\TeamViewer_Service.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: Viewpoint Manager Service - Viewpoint Corporation - C:\Program Files (x86)\Viewpoint\Common\ViewpointService.exe
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 10769 bytes

menace2070 · 31 jan 2011

download malwarebyts en laten scannen

Nielsvds · 31 jan 2011

Check deze locaties:

Het kan zijn dat je nog verborgen bestanden moet weergeven door deze instructies te volgen:

C:\ProgramData\zOr7JWG5UqpFz8z.exe
C:\ProgramData\UQYbTlAvaPtNcj.exe

Download ook autoruns. Zorg dat everything is geselecteerd. Ga nu naar opzoek naar verwijzingen die als path image C:\ProgramData\zOr7JWG5UqpFz8z.exe
C:\ProgramData\UQYbTlAvaPtNcj.exe heeft en klik hier rechts op en druk delete. Of om het makkelijk te maken maak een zelf een opstartlijst aan door naar file save te gaan en post dan hier je arn file.

Verwijder ook je herstelpunten.

Verwijder ook de browsercache van je browser.

Download ook dr web cureit en voer een scan uit. Doe ook nog eens een scan met superantispyware.

Om zeker van te zijn dat er geen kwestbare versie van software geïnstalleerd is zodat je niet opnieuw geïnfecteerd geraakt gebruik je best secunia personal inspector.

rscaboy · 31 jan 2011

Remove Winscan

Mss ben je hier iets mee.

Dakantochnie · 1 feb 2011

rscaboy zei:
Remove Winscan

Mss ben je hier iets mee.

Nielsvds zei:
Check deze locaties:

Het kan zijn dat je nog verborgen bestanden moet weergeven door deze instructies te volgen:

C:\ProgramData\zOr7JWG5UqpFz8z.exe
C:\ProgramData\UQYbTlAvaPtNcj.exe

Download ook autoruns. Zorg dat everything is geselecteerd. Ga nu naar opzoek naar verwijzingen die als path image C:\ProgramData\zOr7JWG5UqpFz8z.exe
C:\ProgramData\UQYbTlAvaPtNcj.exe heeft en klik hier rechts op en druk delete. Of om het makkelijk te maken maak een zelf een opstartlijst aan door naar file save te gaan en post dan hier je arn file.

Verwijder ook je herstelpunten.

Verwijder ook de browsercache van je browser.

Download ook dr web cureit en voer een scan uit. Doe ook nog eens een scan met superantispyware.

Om zeker van te zijn dat er geen kwestbare versie van software geïnstalleerd is zodat je niet opnieuw geïnfecteerd geraakt gebruik je best secunia personal inspector.

Alles uitgevoerd wat jullie zeiden, en ik ben er vanaf!

Merci!

Maser00 · 1 feb 2011

Ik heb even heel vlug gekeken aangezien ik nu weinig tijd heb, ik kan dus iets over het hoofd gezien hebben:

O4 - Startup: C:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\preme.exe ()

-> Eens laten scannen op virustotal.

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1

Zelf ingesteld? EDIT: MBAM heeft deze al verwijderd.

C:\ProgramData\~zOr7JWG5UqpFz8z
C:\ProgramData\~zOr7JWG5UqpFz8zr
C:\Users\***\Desktop\Win Scan.lnk

-> moeten verwijderd worden.

Verder heeft MBAM het meeste al verwijderd, maar alles is nog niet weg. Ik ff geen tijd om een fix te schrijven voor OTL (+ je hebt je naam aangepast). Je hebt trouwens ook een rootkitscan nodig. Aangezien ik niet weet welke dingen je nu al wel of niet (goed) gedaan hebt kan je best eens een nieuwe quick scan doen.

Aja en wa minder cracken, dan hebt ge da nie

Maser00 · 1 feb 2011

rscaboy zei:
Remove Winscan

Mss ben je hier iets mee.

Die site is nep en niet waardevol, alleen Geekstogo and Bleepingcomputer hebben goeie guides:
Remove Windows Scan (Uninstall Guide)

Nielsvds · 1 feb 2011

@Maser00 De tool die ze op spywaredb aanraden is niet nep en het bekende spyware doctor van pc tools. Maar ik geef je wel gelijk voor manuele verwijdering is het niet goed.

@Dakantochnie: Maak nog eens een nieuw hijackthis log + OTL log.

Maser00 · 1 feb 2011

Nielsvds zei:
@Maser00 De tool die ze op spywaredb aanraden is niet nep en het bekende spyware doctor van pc tools. Maar ik geef je wel gelijk voor manuele verwijdering is het niet goed.

Had weinig tijd om me toen te verduidelijken. Wat ik met "nep" bedoel is dat dit soort sites automatische handleidingen maken met bestanden die zogezegd verwijderd zouden moeten worden, die bestanden heten bijna altijd INFECTIENAAM.exe en altijd in Windows map en dergelijke...

Spyware doctor is niet slecht, maar ik denk niet dat die site bij pctools hoort.

http://www.mywot.com/en/scorecard/spywaredb.com

Dakantochnie · 1 feb 2011

Maser00 zei:
O4 - Startup: C:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\preme.exe ()

-> Eens laten scannen op virustotal.

Gedaan, clean!

Maser00 zei:
C:\ProgramData\~zOr7JWG5UqpFz8z
C:\ProgramData\~zOr7JWG5UqpFz8zr
C:\Users\***\Desktop\Win Scan.lnk

-> moeten verwijderd worden.

Done!

Maser00 zei:
Verder heeft MBAM het meeste al verwijderd, maar alles is nog niet weg. Ik ff geen tijd om een fix te schrijven voor OTL (+ je hebt je naam aangepast). Je hebt trouwens ook een rootkitscan nodig. Aangezien ik niet weet welke dingen je nu al wel of niet (goed) gedaan hebt kan je best eens een nieuwe quick scan doen.

Aja en wa minder cracken, dan hebt ge da nie

Nielsvds zei:
@Dakantochnie: Maak nog eens een nieuw hijackthis log + OTL log.

HijackThis: Logfile of Trend Micro HijackThis v2.0.4 Scan sav
OTL: OTL logfile created on: 1/02/2011 18:59:16 - Run 2

Merci alvast!

Nielsvds · 1 feb 2011

@Dakantochnie: Ik zie geen infecties.
@Maser00: Ze linken wel naar een pc tools antispyware installer. Waarschijnlijk krijgt deze site een vergoeding om pc tools antispyware aan te bieden. Als ik het goed voor heb is web of trust enkel een initiatief van gewone gebruikers en niet zoals linkscanner bij avg of siteadvisor van mcafee die onderhouden worden door beveiligingsfirma's.

Dakantochnie · 2 feb 2011

Nielsvds zei:
@Dakantochnie: Ik zie geen infecties.

Ok, des te beter, merci!

Archief - Win Scam geïnstalleerd door virus - dringend hulp gezocht!

Dakantochnie

Legacy Member

Dakantochnie

Legacy Member

Dakantochnie

Legacy Member

menace2070

Legacy Member

Nielsvds

Legacy Member

rscaboy

Legacy Member

Dakantochnie

Legacy Member

Maser00

Legacy Member

Maser00

Legacy Member

Nielsvds

Legacy Member

Maser00

Legacy Member

Dakantochnie

Legacy Member

Nielsvds

Legacy Member

Dakantochnie

Legacy Member