Doorzoek het forum
Zoeken met Startpagina
Startpagina Thema's
Jeroen
Beste Huib,
Opdracht van Argus uitgevoerd.
Zojuist ook jouw opdracht opgestart … kan enkele uren duren volgens de melding, dus PC blijft vannacht aan.
Download Combofix naar je Bureaublad.
* Bezoek volgende pagina met de instructies voor het downloaden en gebruiken van Combofix.
http://www.bleepingcomputer.com/combofix/nl/hoe-dient-combofix-gebruikt-te-worden
OPMERKING: indien je, tijdens of na het downloaden van Combofix of tijdens het gebruik van Combofix een melding krijgt van je Antivirus- of een andere realtime scanner, schakel dan deze scanner uit en download Combofix opnieuw.
Sommige scanners zien bepaalde componenten die Combofix gebruikt als verdacht en gaan deze blokkeren of verwijderen!
Dubbelklik op Combofix.exe om het te starten.
Indien je Combofix al eerder hebt gebruikt, kan je een waarschuwing krijgen dat een update beschikbaar is. Sta toe dat ComboFix wordt geupdated.
Klik op OK in het “NirCmd” venstertje.
Klik na afloop terug op Ja om het scannen op malware te starten.
Tijdens het runnen van de fix, NIET in het venster klikken, want dit zal je pc doen vasthangen.
Wanneer de fix voltooid is en na herstart, zal de log Combofix.txt openen.
Post het logje van ComboFix.
@ Huib
Opdracht uitgevoerd (safety.live.com)
Vanmorgen waren de pop-ups reeds verdwenen en heb nog enkele meldingen van Norton gehad.
Vervolgens álles uitgevoerd wat werd gevraagd … kon overigens nergens een log maken.
Herstart PC en ja hoor … pop-ups verdwenen 
Hiermee het probleem opgelost?
@ Argus
ComfoFix nog niet uitgevoerd.
Wil ik vanavond doen (moet werken vandaag).
Ondanks dat de pop-ups zijn verdwenen lijkt het me verder geen kwaad kunnen als ik deze opdracht ook gewoon uitvoer.
ComboFix 09-08-25.01 - Jeroen Pluijmen 26-08-2009 0:22.1.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.31.1043.18.511.162
Gestart vanuit: c:\documents and settings\Jeroen Pluijmen\Bureaublad\ComboFix.exe
.
(((((((((((((((((((((((((((((((((( Andere Verwijderingen )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\LocalService\Local Settings\Temporary Internet Files\_inimac
c:\program files\Microsoft Office\SYSTEM\sysbar.exe
c:\recycler\S-1-5-21-329068152-920026266-682003330-1003
c:\windows\Installer\14d991.msp
c:\windows\Installer\14d9f7.msp
c:\windows\system32\1.txt
c:\windows\system32\68331516.dat
c:\windows\system32\70756348.dat
c:\windows\system32\nerocheck.exe
c:\windows\system32\open.ico
c:\windows\tcpser2.exe
G:\Autorun.inf
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
——-\Service_Apcdli
——-\Service_mtlrd
(((((((((((((((((((( Bestanden Gemaakt van 2009-07-25 to 2009-08-25 ))))))))))))))))))))))))))))))
.
2009-08-25 21:27 . 2009-08-25 21:27 76488 –sh–w- c:\windows\system32\regedit42.exe
2009-08-25 21:27 . 2009-08-25 21:27 76488 –sh–w- c:\windows\system32\regedit12.exe
2009-08-25 21:27 . 2009-08-25 21:27 76488 —-a-w- c:\windows\system32\tcpsov23.exe
2009-08-25 21:27 . 2009-08-25 21:27 73028 —-a-w- c:\windows\system32\setupl7.exe
2009-08-25 17:49 . 2009-05-04 10:45 371248 —-a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20090825.004\EECTRL.SYS
2009-08-25 17:49 . 2009-05-04 10:45 101936 —-a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20090825.004\ERASER.SYS
2009-08-25 17:49 . 2009-05-04 10:45 2414128 —-a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20090825.004\CCERASER.DLL
2009-08-25 08:00 . 2009-08-25 08:00 84912 —-a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20090825.004\NAVENG.SYS
2009-08-25 08:00 . 2009-08-25 08:00 259440 —-a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20090825.004\ECMSVR32.DLL
2009-08-25 08:00 . 2009-08-25 08:00 177520 —-a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20090825.004\NAVENG32.DLL
2009-08-25 08:00 . 2009-08-25 08:00 1647984 —-a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20090825.004\NAVEX32A.DLL
2009-08-25 08:00 . 2009-08-25 08:00 1323568 —-a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20090825.004\NAVEX15.SYS
2009-08-24 22:13 . 2009-08-24 22:14 ——– d—–w- c:\program files\Windows Live Safety Center
2009-08-24 22:07 . 2009-08-24 22:07 ——– d-sh–w- c:\documents and settings\Jeroen Pluijmen\UserData
2009-08-24 20:48 . 2009-08-24 20:48 ——– d—–w- c:\documents and settings\Jeroen Pluijmen\Application Data\Malwarebytes
2009-08-24 20:48 . 2009-08-03 11:36 38160 —-a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-24 20:48 . 2009-08-24 20:48 ——– d—–w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-08-24 20:48 . 2009-08-03 11:36 19096 —-a-w- c:\windows\system32\drivers\mbam.sys
2009-08-24 20:48 . 2009-08-24 20:48 ——– d—–w- c:\program files\Malwarebytes' Anti-Malware
2009-08-24 18:48 . 2009-08-24 18:48 ——– d—–w- c:\program files\360
2009-08-24 18:37 . 2009-08-24 18:37 71575 —-a-w- c:\windows\system32\tcpsov66.exe
2009-08-24 18:25 . 2009-08-24 18:25 ——– d—–w- c:\program files\Trend Micro
2009-08-23 10:16 . 2009-08-24 20:04 81 —-a-w- c:\windows\system32\sysme.bat
2009-08-23 10:16 . 2009-08-24 20:04 64 —-a-w- c:\windows\system32\tencent.sys
2009-08-23 08:30 . 2009-08-23 08:30 65536 —-a-w- c:\windows\system32\smism.exe
2009-08-22 18:28 . 2009-08-22 18:28 105 —-a-w- c:\windows\system32\sdsk88sdddf.dat
2009-08-13 19:17 . 2009-07-10 13:31 1315328 -c—-w- c:\windows\system32\dllcache\msoe.dll
2009-08-12 17:26 . 2009-07-11 19:34 276344 —-a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20090810.001\IDSXpx86.sys
2009-08-12 17:26 . 2009-07-11 19:34 293424 —-a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20090810.001\IDSvix86.sys
2009-08-12 17:26 . 2009-07-11 19:34 533880 —-a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20090810.001\Scxpx86.dll
2009-08-12 17:26 . 2009-07-11 19:34 451960 —-a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20090810.001\IDSxpx86.dll
2009-08-12 17:26 . 2009-07-11 19:34 397360 —-a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20090810.001\IDSviA64.sys
2009-08-06 22:12 . 2009-08-06 22:12 ——– d—–w- c:\windows\system32\XPSViewer
2009-08-06 22:12 . 2009-08-06 22:12 ——– d—–w- c:\program files\MSBuild
2009-08-06 22:12 . 2009-08-06 22:12 ——– d—–w- c:\program files\Reference Assemblies
2009-08-06 22:11 . 2008-07-06 12:06 89088 -c—-w- c:\windows\system32\dllcache\filterpipelineprintproc.dll
2009-08-06 22:11 . 2008-07-06 12:06 575488 -c—-w- c:\windows\system32\dllcache\xpsshhdr.dll
2009-08-06 22:11 . 2008-07-06 12:06 575488 ——w- c:\windows\system32\xpsshhdr.dll
2009-08-06 22:11 . 2008-07-06 12:06 117760 ——w- c:\windows\system32\prntvpt.dll
2009-08-06 22:11 . 2008-07-06 10:50 597504 -c—-w- c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2009-08-06 22:11 . 2008-07-06 12:06 1676288 -c—-w- c:\windows\system32\dllcache\xpssvcs.dll
2009-08-06 22:11 . 2008-07-06 12:06 1676288 ——w- c:\windows\system32\xpssvcs.dll
2009-08-06 22:10 . 2009-08-06 22:12 ——– d—–w- C:\fd125e2c53fdb549b156be7874b2
2009-08-05 09:01 . 2009-08-05 09:01 205312 -c—-w- c:\windows\system32\dllcache\mswebdvd.dll
2009-08-04 16:58 . 2009-04-24 11:39 211088 —-a-w- c:\windows\system32\bgsserv.exe
2009-07-31 18:25 . 2009-07-11 19:34 276344 —-a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20090730.003\IDSXpx86.sys
2009-07-31 18:25 . 2009-07-11 19:34 533880 —-a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20090730.003\Scxpx86.dll
2009-07-31 18:25 . 2009-07-11 19:34 451960 —-a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20090730.003\IDSxpx86.dll
2009-07-31 18:25 . 2009-07-11 19:34 293424 —-a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20090730.003\IDSvix86.sys
2009-07-31 18:25 . 2009-07-11 19:34 397360 —-a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20090730.003\IDSviA64.sys
.
((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-25 22:38 . 2003-05-15 07:39 292 —-a-w- c:\windows\system32\DVCStateBkp-{00000002-00000000-0000000C-00001102-00000004-10051102}.dat
2009-08-25 22:38 . 2003-05-15 07:39 292 —-a-w- c:\windows\system32\DVCState-{00000002-00000000-0000000C-00001102-00000004-10051102}.dat
2009-08-25 17:39 . 2008-09-29 14:39 ——– d—–w- c:\documents and settings\All Users\Application Data\Google Updater
2009-08-25 05:56 . 2007-08-27 16:56 ——– d—–w- c:\program files\DYMO Label
2009-08-24 18:37 . 2009-08-24 18:37 26 —-a-w- c:\windows\Fonts\s3sds212.dat
2009-08-06 22:21 . 2003-03-27 10:24 97930 —-a-w- c:\windows\system32\perfc013.dat
2009-08-06 22:21 . 2003-03-27 10:24 526740 —-a-w- c:\windows\system32\perfh013.dat
2009-08-05 09:01 . 2003-05-15 08:11 205312 —-a-w- c:\windows\system32\mswebdvd.dll
2009-07-17 19:04 . 2003-03-27 10:23 58880 —-a-w- c:\windows\system32\atl.dll
2009-07-13 08:08 . 2003-05-14 14:03 286720 —-a-w- c:\windows\system32\wmpdxm.dll
2009-07-11 19:34 . 2009-07-11 19:34 276344 —-a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\BinHub\IDSXpx86.sys
2009-07-11 19:34 . 2009-07-11 19:34 293424 —-a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\BinHub\IDSvix86.sys
2009-07-11 19:34 . 2009-07-11 19:34 533880 —-a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\BinHub\Scxpx86.dll
2009-07-11 19:34 . 2009-07-11 19:34 451960 —-a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\BinHub\IDSxpx86.dll
2009-07-11 19:34 . 2009-07-11 19:34 397360 —-a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\BinHub\IDSviA64.sys
2009-06-29 16:01 . 2005-10-21 15:51 827392 —-a-w- c:\windows\system32\wininet.dll
2009-06-29 16:01 . 2009-06-11 21:16 78336 —-a-w- c:\windows\system32\ieencode.dll
2009-06-29 16:01 . 2003-03-27 10:24 17408 —-a-w- c:\windows\system32\corpol.dll
2009-06-16 14:40 . 2003-03-27 10:24 119808 —-a-w- c:\windows\system32\t2embed.dll
2009-06-16 14:40 . 2003-03-27 10:24 81920 —-a-w- c:\windows\system32\fontsub.dll
2009-06-15 10:45 . 2003-03-27 10:24 79872 —-a-w- c:\windows\system32\telnet.exe
2009-06-10 14:16 . 2003-03-27 10:23 85504 —-a-w- c:\windows\system32\avifil32.dll
2009-06-10 07:22 . 2003-05-14 13:57 2066432 —-a-w- c:\windows\system32\mstscax.dll
2009-06-10 06:16 . 2003-03-27 10:24 132096 —-a-w- c:\windows\system32\wkssvc.dll
2009-06-03 19:11 . 2005-08-30 08:26 1295360 —-a-w- c:\windows\system32\quartz.dll
2006-05-05 19:46 . 2006-05-05 19:46 45651843 —-a-w- c:\program files\NIS06910NL.exe
2005-07-31 16:02 . 2005-07-31 16:02 257 —ha-w- c:\program files\hpothb07.tif
2005-07-31 16:02 . 2005-07-31 16:02 149 —ha-w- c:\program files\hpothb07.dat
2004-09-03 22:51 . 2004-09-03 22:51 5194 —-a-w- c:\program files\Untitled-1.htm
.
((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond
REGEDIT4
“MsnMsgr”=“c:\program files\MSN Messenger\MsnMsgr.Exe”
“swg”=“c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe”
“NvCplDaemon”=“c:\windows\System32\NvCpl.dll”
“CTSysVol”=“c:\program files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe”
“CTDVDDet”=“c:\program files\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE”
“SBDrvDet”=“c:\program files\Creative\SB Drive Det\SBDrvDet.exe”
“UpdReg”=“c:\windows\UpdReg.EXE”
“CTStartup”=“c:\program files\Creative\Splash Screen\CTEaxSpl.EXE”
“zBrowser Launcher”=“c:\program files\Logitech\iTouch\iTouch.exe”
“DXM6Patch_981116”=“c:\windows\p_981116.exe”
“HPDJ Taskbar Utility”=“c:\windows\System32\spool\drivers\w32x86\3\hpztsb09.exe”
“HPHUPD05”=“c:\program files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe”
“HP Software Update”=“c:\program files\Hewlett-Packard\HP Software Update\HPWuSchd.exe”
“HPHmon05”=“c:\windows\System32\hphmon05.exe”
“Share-to-Web Namespace Daemon”=“c:\program files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe”
“LogitechVideoRepair”=“c:\program files\Logitech\Video\ISStart.exe”
“LogitechVideoTray”=“c:\program files\Logitech\Video\LogiTray.exe”
“SunJavaUpdateSched”=“c:\program files\Java\j2re1.4.2_04\bin\jusched.exe”
“Adobe Reader Speed Launcher”=“c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe”
“PCSuiteTrayApplication”=“c:\program files\Nokia\Nokia PC Suite 6\LaunchApplication.exe”
“CTHelper”=“CTHELPER.EXE” - c:\windows\system32\CTHELPER.EXE
“AsioReg”=“CTASIO.DLL” - c:\windows\system32\CTASIO.DLL
“Logitech Utility”=“Logi_MwX.Exe” - c:\windows\LOGI_MWX.EXE
“CTFMON.EXE”=“c:\windows\System32\CTFMON.EXE”
“PcSync”=“c:\program files\Nokia\Nokia PC Suite 6\PcSync2.exe”
c:\documents and settings\Jeroen Pluijmen\Menu Start\Programma's\Opstarten\
Service Manager.lnk - c:\program files\Microsoft SQL Server\80\Tools\Binn\SqlMangr.exe
c:\documents and settings\All Users\Menu Start\Programma's\Opstarten\
eEye JScript Patch Checker.lnk - c:\program files\eEye Digital Security\Jscript Patch\jscriptpatchchecker.exe
Logitech Desktop Messenger.lnk - c:\program files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE
Service Manager.lnk - c:\program files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
BootExecute REG_MULTI_SZ autocheck autochk *\0SsiEfr.e
“DisableMonitoring”=dword:00000001
“DisableMonitoring”=dword:00000001
“DisableMonitoring”=dword:00000001
“EnableFirewall”= 0 (0x0)
“%windir%\\system32\\sessmgr.exe”=
“c:\\Program Files\\Messenger\\msmsgs.exe”=
“%windir%\\Network Diagnostic\\xpnetdiag.exe”=
“c:\\Program Files\\uTorrent\\uTorrent.exe”=
“c:\\Program Files\\MSN Messenger\\msnmsgr.exe”=
“c:\\Program Files\\MSN Messenger\\livecall.exe”=
R0 SymEFA;Symantec Extended File Attributes;c:\windows\system32\drivers\N360\0300000.086\SymEFA.sys
R1 BHDrvx86;Symantec Heuristics Driver;c:\windows\system32\drivers\N360\0300000.086\BHDrvx86.sys
R1 ccHP;Symantec Hash Provider;c:\windows\system32\drivers\N360\0300000.086\cchpx86.sys
R1 IDSxpx86;IDSxpx86;c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20090810.001\IDSXpx86.sys
R2 N360;Norton 360;c:\program files\Norton 360\Engine\3.0.0.134\ccSvcHst.exe
R3 ctgame;Game Port;c:\windows\system32\drivers\ctgame.sys
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys
S2 BackGroumd switch;BackGroumd Switch Disktop Control;c:\windows\system32\regedit42.exe
S2 BeckGround switch;BeckGround Switch Disktop Control;c:\windows\system32\regedit12.exe
S2 darkshell;darkshell;\??\c:\windows\system32 –> c:\windows\system32
.
Inhoud van de ‘Gedeelde Taken’ map
2009-08-25 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe
.
- - - - ORPHANS VERWIJDERD - - - -
HKCU-Run-LDM - \Program\BackWeb-8876480.exe
HKLM-Run-NeroCheck - c:\windows\System32\\NeroCheck.exe
HKU-Default-Run-Spyware Doctor - (no file)
.
——- Bijkomende Scan ——-
.
uStart Page = hxxp://www.google.nl/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
mSearch Bar =
uInternet Settings,ProxyOverride = localhost
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&xporteren naar Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-26 00:42
Windows 5.1.2600 Service Pack 3 NTFS
scannen van verborgen processen …
scannen van verborgen autostart items …
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
CTStartup = “c:\program files\Creative\Splash Screen\CTEaxSpl.EXE” /run???<~??:~????????????;???????h?@?x?????:~D??????sx??s????????y??w????@@@???}|D@@?????>??w?????83?H??????|??}|??????}|L(?s?83??????/?s????????D???????????????????,????????????+?s@@@?D???`|?w??????@
scannen van verborgen bestanden …
Scan succesvol afgerond
verborgen bestanden: 0
**************************************************************************
“ImagePath”=“\”c:\program files\Norton 360\Engine\3.0.0.134\ccSvcHst.exe\“ /s \”N360\“ /m \”c:\program files\Norton 360\Engine\3.0.0.134\diMaster.dll\“ /prefetch:1”
“ImagePath”=“\??\c:\windows\system32”
.
——————— VERGRENDELDE REGISTER SLEUTELS ———————
“WVJSMZU2N2J3TUTL6NSXFNN2ZH1”=hex:01,00,01,00,00,00,00,00,26,fe,c6,ed,74,95,2e,
16,35,81,92,71,e8,29,5a,84,14,35,16,70,d8,6e,ff,61
.
——————— DLLs Geladen Onder Lopende Processen ———————
- - - - - - - > ‘explorer.exe’(2468)
c:\program files\Logitech\MouseWare\System\LgWndHk.dll
c:\program files\Logitech\iTouch\iTchHk.dll
c:\program files\Common Files\Logitech\Scrolling\LgMsgHk.dll
.
———————— Andere Aktieve Processen ————————
.
c:\windows\system32\CTSVCCDA.EXE
c:\program files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
c:\windows\system32\nvsvc32.exe
c:\program files\Logitech\MouseWare\system\EM_EXEC.EXE
c:\program files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\MsPMSPSv.exe
c:\windows\system32\LVComS.exe
c:\program files\PC Connectivity Solution\ServiceLayer.exe
.
**************************************************************************
.
Voltooingstijd: 2009-08-25 0:56 - machine werd herstart
ComboFix-quarantined-files.txt 2009-08-25 22:56
Pre-Run: 87.184.805.888 bytes beschikbaar
Post-Run: 87.328.649.216 bytes beschikbaar
WindowsXP-KB310994-SP2-Home-BootDisk-NLD.exe
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
c:\cmdcons\BOOTSECT.DAT=“Microsoft Windows Recovery Console” /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS=“Microsoft Windows XP Home Edition” /fastdetect /NoExecute=OptIn
249 — E O F — 2009-08-23 10:40
Ga naar Start - Uitvoeren en kopïeer het volgende er in:
Combofix /u
Klik daarna op OK.
Dit zal combofix deïnstalleren
Voer een scan uit met Kaspersky Onlinescanner
En post de inhoud van het Log(kavscan.txt)
Zal deze opdracht begin van de avond uitvoeren (ivm werk)
Echter …
Terug naar gisteren (dinsdagavond).
Zoals bekend waren de 2 pop-ups 's morgens verdwenen.
In de avond weer op de PC gezeten en rond half elf drie meldingen van Norton, gevolgd door de 2 beruchte pop-ups.
Bijkomend euvel : Internet viel steeds weg.
Met veel pijn en moeite ComboFix gedownload en uitgevoerd.
(dit omdat internet nauwelijks werkte, modem aan, modem uit, router aan, router uit, PC uit, PC aan etc etc).
Na de opdracht van ComboFix de herstart, echter de pop-ups blijven komen.
Toch weer geprobeerd om internet aan de gang te krijgen, met pijn en moeite de log van ComboFix hier neer kunnen zetten.
Vannacht gewoon nog eens een scan uitgevoerd met Norton (Live Update werkte niet vanwege wegvallen internetverbinding).
Vanmorgen herstart … maar nog steeds de 2 pop-ups en geen internet ….
Daarbij de volgende melding erbij bij de opstart van de PC:
“SQL Server could not find the default instance (MSSQLSERVER) - Please specify the name of an existing instance on the invocation of sqrserve.exe. If you believe that yout installation is corrupt or has been tampered with, uninstall the re-run setup to correct this problem”
Ter info : Mijn PC is geen server!
Heb gisteren wel nog wat gebladerd in Norton :
Backdoor.Trojan - Trojan.Dropper - Suspicious.MH690 - W32.Mumanow.f!inf - tcpsov25.exe - W32.Popwin
Bovenstaand zijn wat trefwoorden …
Na het werk zal ik ComboFix verwijderen en de opdracht uitvoeren, mits ik internet aan de praat krijg (desnoods even Ziggo bellen)
Laat dat met ComboFix en Kaspersky nog even zitten en doe eerst het volgende
VirusTotal
1.
Verborgen bestanden weergeven
http://users.telenet.be/marcvn/spyware/1117602.htm
2.
Laat het volgende bestand(en) bij http://www.virustotal.com/nl/ controleren
En post hier alleen de de URL die in de adresbalk staat
c:\windows\system32\regedit42.exe
c:\windows\system32\regedit12.exe
c:\windows\system32\tcpsov23.exe
c:\windows\system32\setupl7.exe
c:\windows\system32\tcpsov66.exe
c:\windows\system32\sysme.bat
c:\windows\system32\tencent.sys
