antivirus.startpagina.nl

HJT- en Mbam-logbestanden.

  • Anonymous avatar

    Ruud

    Waarschijnlijk na het tevergeefs in de Media Player versie 11 proberen te starten van een wma-file - die gedownload werd via LimeWire (laatste versie) - verschijnen er regelmatig popups met spam van de meest uiteenlopende handel.

    Na het doen van alle geadviseerde scans en het verwijderen van diverse geinfecteerde bestanden blijven de popups echter nog steeds komen. Nogal wat popups komen overigens van www.nl.celldorado.com. Soms komen ze ook op de taakbalk te staan.

    Ik hoop dat het via deze weg lukt om verlost te worden van deze terreur. Hieronder vindt u de HJT- en Mbam-logebestanden die gemaakt werden na de diverse schoonmaakacties.

    Logfile of Trend Micro HijackThis v2.0.2

    Scan saved at 22:51:08, on 26-6-2009

    Platform: Windows XP SP3 (WinNT 5.01.2600)

    MSIE: Internet Explorer v7.00 (7.00.6000.16850)

    Boot mode: Normal

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe

    C:\WINDOWS\system32\spoolsv.exe

    C:\WINDOWS\Explorer.EXE

    C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

    C:\Program Files\Java\jre6\bin\jqs.exe

    C:\WINDOWS\system32\HPZipm12.exe

    C:\PROGRA~1\AVG\AVG8\avgtray.exe

    C:\Program Files\Java\jre6\bin\jusched.exe

    C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe

    C:\Program Files\Windows Live\Messenger\msnmsgr.exe

    C:\PROGRA~1\AVG\AVG8\avgrsx.exe

    C:\PROGRA~1\AVG\AVG8\avgemc.exe

    C:\PROGRA~1\AVG\AVG8\avgnsx.exe

    C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

    C:\Program Files\AVG\AVG8\avgcsrvx.exe

    C:\Program Files\Internet Explorer\iexplore.exe

    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen

    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

    O2 - BHO: FairBrowsingHelper - {29005487-F6D9-4BBA-C32B-A99E72FBB552} - C:\Program Files\FairBrowsingHelper\FairBrowsingHelper.dll

    O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll

    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

    O2 - BHO: Windows Live Aanmelden - Help - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

    O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

    O4 - HKLM\..\Run: C:\WINDOWS\system32\NeroCheck.exe

    O4 - HKLM\..\Run: D:\Program Files\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe

    O4 - HKLM\..\Run: C:\PROGRA~1\AVG\AVG8\avgtray.exe

    O4 - HKLM\..\Run: “C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe”

    O4 - HKLM\..\Run: “C:\Program Files\Java\jre6\bin\jusched.exe”

    O4 - HKLM\..\Run: C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe

    O4 - HKCU\..\Run: “C:\Program Files\Windows Live\Messenger\msnmsgr.exe” /background

    O4 - HKCU\..\Run: C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

    O4 - HKUS\S-1-5-19\..\Run: C:\WINDOWS\System32\CTFMON.EXE (User ‘Lokale service’)

    O4 - HKUS\S-1-5-20\..\Run: C:\WINDOWS\System32\CTFMON.EXE (User ‘Netwerkservice’)

    O4 - HKUS\S-1-5-18\..\Run: C:\WINDOWS\System32\CTFMON.EXE (User ‘SYSTEM’)

    O4 - HKUS\.DEFAULT\..\Run: C:\WINDOWS\System32\CTFMON.EXE (User ‘Default user’)

    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

    O9 - Extra ‘Tools’ menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

    O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

    O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1244323539152

    O16 - DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} (AxisMediaControlEmb Class) - http://83.84.124.118:9999/activex/AMC.cab

    O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll

    O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll

    O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe

    O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

    O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe

    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

    End of file - 5701 bytes

    Malwarebytes' Anti-Malware 1.38

    Database versie: 2339

    Windows 5.1.2600 Service Pack 3

    26-6-2009 22:46:18

    mbam-log-2009-06-26 (22-46-18).txt

    Scan type: Snelle Scan

    Objecten gescand: 79415

    Verstreken tijd: 3 minute(s), 33 second(s)

    Geheugenprocessen geïnfecteerd: 0

    Geheugenmodulen geïnfecteerd: 0

    Registersleutels geïnfecteerd: 0

    Registerwaarden geïnfecteerd: 0

    Registerdata bestanden geïnfecteerd: 0

    Mappen geïnfecteerd: 0

    Bestanden geïnfecteerd: 0

    Geheugenprocessen geïnfecteerd:

    (Geen kwaadaardige items gevonden)

    Geheugenmodulen geïnfecteerd:

    (Geen kwaadaardige items gevonden)

    Registersleutels geïnfecteerd:

    (Geen kwaadaardige items gevonden)

    Registerwaarden geïnfecteerd:

    (Geen kwaadaardige items gevonden)

    Registerdata bestanden geïnfecteerd:

    (Geen kwaadaardige items gevonden)

    Mappen geïnfecteerd:

    (Geen kwaadaardige items gevonden)

    Bestanden geïnfecteerd:

    (Geen kwaadaardige items gevonden)

  • Anonymous avatar

    Piet

    Doe een scan met http://onecare.live.com/site/nl-NL/default.htm en vertel de uitkomst,

    Wel de full nemen

  • Anonymous avatar

    Ruud

    Ga ik onmiddellijk doen.

    Mogelijk is het probleem al opgelost want een uurtje terug heb ik systeemherstel uitgevoerd naar een dag vóór de infectie en tot nu toe blijven de popups weg. Bedankt voor je reactie trouwens!

  • Anonymous avatar

    Ruud

    De scan met Onecare live leverde twee foute items op die door het programma automatisch werden verwijderd. Inmiddels zijn er trouwens geen popups meer verschenen. Nogmaals bedankt voor je hulp.

  • Anonymous avatar

    Huib

    Hoi Ruud,

    Morgen zal ik het jogje nakijken, dit om fouten te voorkomen;) ik heb n.l. een feestje gehad en ben niet helder:)-D

    Of een ander moet je verder helpen;)

    Groetjes Huib:)

  • Anonymous avatar

    Huib

    Hoi Ruud,

    Na een dag hard werken hier mijn reactie.

    Schakel Spybot's TeaTimer even uit omdat deze de fix in de weg kan zitten:

    - Start Spybot

    - Ga naar Mode > selecteer Advanced Mode

    - Ga naar Tools en klik op het Resident-icoon in de lijst

    - Haal het vinkje weg bij Resident TeaTimer en klik OK

    - Herstart de computer

    Als de computer schoon is, kun je TeaTimer weer aan zetten

    Download ResetTeaTimer.exe naar je Bureaublad.

    http://home.hetnet.nl/~stefsmeenk/ResetTeaTimer.exe

    Dubbelklik daarna op ResetTeaTimer.exe

    Dit zal de voorgaande items die je toegelaten of geblokkeerd hebt via TeaTimer terug resetten.

    Ken jij het programma FairBrowsingHelper:S:S

    Ik kan er n.l. niets goeds over vinden.

    Heb je deze zelf geinstalleerd, dan oke. Maar heb je deze niet zelf erop gezet, verwijder deze dan onder configuratiescherm -software.

    Als je hem verwijderd hebt, mag je deze ook in de fix aanvinken en anders niet.

    Start HijackThis en kies voor Do a system scan only, en vink de volgende regel aan:

    O2 - BHO: FairBrowsingHelper - {29005487-F6D9-4BBA-C32B-A99E72FBB552} - C:\Program Files\FairBrowsingHelper\FairBrowsingHelper.dll

    Sluit alle vensters, behalve HijackThis en klik op fix checked.

    Verwijder indien aanwezig het volgende vet gedrukte map:

    C:\Program Files\FairBrowsingHelper\ <—– Deze map.

    Start je computer opnieuw op en plaats een nieuw HijackThis logje en vertel gelijk hoe het met jou probleem is;)

    Succes,

    Huib:)

  • Anonymous avatar

    Ruud

    Hoi Huib,

    De map FairBrowsingHelper en ook de file FairBrowsingHelper.dll komen nergens meer voor op de harde schijf. Zoals gezegd heb ik gisteren systeemherstel toegepast naar een dag voordat de besmetting plaatsvond. De logjes zijn van vóór dat systeemherstel werd uitgevoerd. Na het systeemherstel verschenen er geen popups meer. Op advies van Piet werd na systeemherstel nog Onecare.live uitgevoerd die 2 niet nader omschreven foute items vond die automatisch door het programma werden verwijderd. Tot nu toe verschenen er gelukkig geen popups meer.

    Denk jij dat het mede gezien het wegblijven van popups nog nodig is om HJT en Mbam te draaien? Overigens hartelijk dank voor je hulp!

  • Anonymous avatar

    Huib

    Hoi Ruud,

    systeemherstel in zon situatie vind ik nooit prettig.

    Stel over een maand ofzo krijg je weer een probleem en je denkt van laat ik weer een ander herstelpunt nemen.

    Je neemt dan toevallig het hetstelpunt waar deze besmetting op zit en je hebt dan weer het probleem waar je nu vanaf bent.

    Plaats nogmaals een nieuw MBAM en HijackThis logje om te zien hoe of wat.

    Hierna kunnen we dan e.v.t. alle oude herstelpunten weg gooien;)

    Afhankelijk van jou bericht kan ik pas vanavond laat weer reageren omdat ik vanaf 13.00uur moet werken.

    Groetjes Huib:)

  • Anonymous avatar

    Ruud

    Wat een service Huib (tu)

    Ik ga ze beide maken en hier neerzetten.

    Edit:

    Dat ging vlugger dan ik dacht:

    Logfile of Trend Micro HijackThis v2.0.2

    Scan saved at 8:47:14, on 29-6-2009

    Platform: Windows XP SP3 (WinNT 5.01.2600)

    MSIE: Internet Explorer v7.00 (7.00.6000.16850)

    Boot mode: Normal

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\spoolsv.exe

    C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

    C:\Program Files\Java\jre6\bin\jqs.exe

    C:\WINDOWS\system32\HPZipm12.exe

    C:\PROGRA~1\AVG\AVG8\avgemc.exe

    C:\PROGRA~1\AVG\AVG8\avgrsx.exe

    C:\PROGRA~1\AVG\AVG8\avgnsx.exe

    C:\WINDOWS\Explorer.EXE

    C:\PROGRA~1\AVG\AVG8\avgtray.exe

    C:\Program Files\Java\jre6\bin\jusched.exe

    C:\Program Files\Windows Live\Messenger\msnmsgr.exe

    C:\Program Files\AVG\AVG8\avgcsrvx.exe

    C:\Program Files\Internet Explorer\iexplore.exe

    C:\WINDOWS\system32\NOTEPAD.EXE

    C:\Program Files\Outlook Express\msimn.exe

    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen

    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

    O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll

    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

    O2 - BHO: Windows Live Aanmelden - Help - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

    O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

    O4 - HKLM\..\Run: C:\WINDOWS\system32\NeroCheck.exe

    O4 - HKLM\..\Run: D:\Program Files\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe

    O4 - HKLM\..\Run: C:\PROGRA~1\AVG\AVG8\avgtray.exe

    O4 - HKLM\..\Run: “C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe”

    O4 - HKLM\..\Run: “C:\Program Files\Java\jre6\bin\jusched.exe”

    O4 - HKLM\..\RunOnce: C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent

    O4 - HKCU\..\Run: “C:\Program Files\Windows Live\Messenger\msnmsgr.exe” /background

    O4 - HKUS\S-1-5-19\..\Run: C:\WINDOWS\System32\CTFMON.EXE (User ‘Lokale service’)

    O4 - HKUS\S-1-5-20\..\Run: C:\WINDOWS\System32\CTFMON.EXE (User ‘Netwerkservice’)

    O4 - HKUS\S-1-5-18\..\Run: C:\WINDOWS\System32\CTFMON.EXE (User ‘SYSTEM’)

    O4 - HKUS\.DEFAULT\..\Run: C:\WINDOWS\System32\CTFMON.EXE (User ‘Default user’)

    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

    O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

    O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

    O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase1140.cab

    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1244323539152

    O16 - DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} (AxisMediaControlEmb Class) - http://83.84.124.118:9999/activex/AMC.cab

    O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll

    O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll

    O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe

    O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

    End of file - 5073 bytes

    Malwarebytes' Anti-Malware 1.38

    Database versie: 2348

    Windows 5.1.2600 Service Pack 3

    29-6-2009 8:43:29

    mbam-log-2009-06-29 (08-43-29).txt

    Scan type: Snelle Scan

    Objecten gescand: 86564

    Verstreken tijd: 6 minute(s), 22 second(s)

    Geheugenprocessen geïnfecteerd: 0

    Geheugenmodulen geïnfecteerd: 0

    Registersleutels geïnfecteerd: 0

    Registerwaarden geïnfecteerd: 0

    Registerdata bestanden geïnfecteerd: 0

    Mappen geïnfecteerd: 0

    Bestanden geïnfecteerd: 0

    Geheugenprocessen geïnfecteerd:

    (Geen kwaadaardige items gevonden)

    Geheugenmodulen geïnfecteerd:

    (Geen kwaadaardige items gevonden)

    Registersleutels geïnfecteerd:

    (Geen kwaadaardige items gevonden)

    Registerwaarden geïnfecteerd:

    (Geen kwaadaardige items gevonden)

    Registerdata bestanden geïnfecteerd:

    (Geen kwaadaardige items gevonden)

    Mappen geïnfecteerd:

    (Geen kwaadaardige items gevonden)

    Bestanden geïnfecteerd:

    (Geen kwaadaardige items gevonden)

  • Anonymous avatar

    Ruudje

    ruud Schreef:

    ——————————————————-

    > Gepost door: ruud ()

    > Datum: 29 juni 2009 08:25

    > Logfile of Trend Micro HijackThis v2.0.2

    > Scan saved at 8:47:14, on 29-6-2009

    > Malwarebytes' Anti-Malware 1.38

    > Database versie: 2348

    > 29-6-2009 8:43:29

    Hoe kan jij de logjes posten voor ze gemaakt zijn?

    > Dat ging vlugger dan ik dacht

    Zelfs terug in de tijd.