Ik heb TDSSKiller laten draaien maar ik kan het logbestand niet copieren want is geen kladblok bestand.
hij heeft 2 fouten gevonden namelijk deze.
Suspicious FsUsbExDisk (UnsignedFile.Multi.Generic) spdt ( LockedFile.Multi.Generic) en hij geeft aan Skipped by user.
en als ik combofix wil d.loaden geeft nog steeds aan kan combofix niet d.loaden.
gr. Roy
Hallo Roy,
Doe de volgende stappen:
1. Download Ccleaner scan er nog niet mee.
Bij het installeren van de nieuwste Ccleaner wordt nu ook Google Chrome (helaas) mee geinstalleerd.
Je moet tijdens het installeren een vinkje weg halen, zodat Google Chrome niet geinstalleerd word.
2. Download OTC.exe (by OldTimer)
• Plaats het bestand op je bureaublad.
• Zorg dat er een internetverbinding is.
• Klik vervolgens met je rechtermuisknop op OTCleanIt.exe en kies voor Run as Administrator (Nederlands: Uitvoeren als Administrator) om het programma te starten.
• Lukt dat niet , doen dan dubbelklikken op het icoon.
• Klik nu op de knop “CleanUp!”
• Als je firewall, of een ander beveiligingsprogramma, een waarschuwing geeft dat OTC.exe internettoegang wil, mag je dit toestaan, het programma heeft die connectie nodig.
• OTC zal als laatste vragen of je de computer herstarten wilt, dit mag je toestaan, hiermee verwijdert het zichzelf ook.
Nota: Het gebruik van OTC.exe zal alle gebruikte tools(inclusief bijbehorende logs en backupmappen) van je computer doen verwijderen.
3. Start op in veilige modus (met netwerk ondersteuning)
4. Verwijder AVG hier enig uitleg en verwijdtool erbij:
http://www.gratissoftwaresite.nl/tips/Norton+Mcafee+Kaspersky+AVG+Avast+en+AntiVir+de%C3%AFnstalleren
5.Start CCleaner op.
• Klik in de linkse kolom op Cleaner.
• Klik achtereenvolgens op Analyseren en Opschonen.
• Klik vervolgens in de linkse kolom op Register en klik op Scan naar problemen.
• Als er fouten gevonden worden klik je op Herstel geselecteerde problemen en OK.
• Dan krijg je de vraag om een back-up te maken, klik op JA en kies dan Herstel alle geselecteerde fouten.
• Sluit hierna CCleaner af.
6. Download ComboFix van één van deze locaties:
* BELANGRIJK !!! Sla ComboFix.exe op je Bureaublad op.
- Het kan voorkomen dat de computer meerdere malen opnieuw gestart moet worden, dit is normaal.
- Dubbelklik op "Combofix.exe" om de tool te starten.
- Klik niet in het scherm van Combofix als deze actief is, hierdoor kan de ‘tool’ vastlopen.
* Noot !!! Als er een error wordt getoond met de melding “Illegal operation attempted on a registery key that has been marked for deletion.” herstart dan de computer.
- Wanneer ComboFix klaar is, zal het het een logbestand voor je maken. Post de inhoud van dit logbestand (te vinden als C:\ComboFix.txt) in je volgende bericht.
* Het kan enige tijd duren voordat het logje van combofix komt, dus denk niet van hij is op tilt.
Start nu je pc weer op als combofix dat nog niet heeft gedaan.
7. Installeer nu een virusscanner..
Neem een van hier onderstaande gratis scanners:
Avira (Deze toont wel een popup na een update)
Zo dit was een hele lijst doe alles stap voor stap en plaats hierna het Combofix logje en een nieuw HijackThis logje.
Suc6 Ben
Hallo Ben,
Alles uitgevoerd zoals je hebt uit gelegd en hier zijn de 2 logjes.
ComboFix 12-03-01.01 - Beheerder 01-03-2012 14:36:49.3.1 - x86 NETWORK
Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1252.31.1043.18.1013.603
Gestart vanuit: C:\Users\Beheerder\Desktop\ComboFix.exe
AV: AVG Anti-Virus Free Edition 2012 *Disabled/Updated* {5A2746B1-DEE9-F85A-FBCD-ADB11639C5F0}
SP: AVG Anti-Virus Free Edition 2012 *Disabled/Updated* {E146A755-F8D3-F7D4-C17D-96C36DBE8F4D}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
(((((((((((((((((((((((((((((((((( Andere Verwijderingen )))))))))))))))))))))))))))))))))))))))))))))))))
C:\ProgramData\mazuki.dll
C:\ProgramData\Windows
C:\ProgramData\windows\dsdd.dat
C:\ProgramData\Windows\nudr.dat
C:\Users\Beheerder\AppData\Roaming\Beheerderlog.dat
C:\Users\Beheerder\AppData\Roaming\inst.exe
C:\Users\Beheerder\AppData\Roaming\vso_ts_preview.xml
C:\Windows\Help32\skybound.gecko.dll
C:\Windows\Help32\surfguard.exe
C:\Windows\iun6002.exe
C:\Windows\ST6UNST.000
C:\Windows\system32\weber
(((((((((((((((((((( Bestanden Gemaakt van 2012-02-01 to 2012-03-01 ))))))))))))))))))))))))))))))
2012-03-01 13:43:11 . 2012-03-01 13:43:18 ——– d—–w- C:\Users\Beheerder\AppData\Local\temp
2012-03-01 13:43:11 . 2012-03-01 13:43:11 ——– d—–w- C:\Users\Public\AppData\Local\temp
2012-03-01 13:43:11 . 2012-03-01 13:43:11 ——– d—–w- C:\Users\Default\AppData\Local\temp
2012-03-01 12:06:09 . 2012-03-01 12:06:09 ——– d—–w- C:\Users\Beheerder\AppData\Roaming\Thinstall
2012-03-01 12:06:09 . 2012-03-01 12:06:09 ——– d—–w- C:\Users\Beheerder\AppData\Local\Thinstall
2012-03-01 09:59:32 . 2012-03-01 09:59:32 ——– d—–w- C:\Users\Beheerder\AppData\Local\TechSmith
2012-03-01 09:56:26 . 2012-03-01 09:56:26 ——– d—–w- C:\Windows\system32\QuickTime
2012-02-24 09:10:35 . 2012-02-24 09:10:35 ——– d—–w- C:\Users\Beheerder\AppData\Roaming\Malwarebytes
2012-02-24 09:10:34 . 2012-02-24 17:22:31 ——– d—–w- C:\Program Files\MALWAREBYTES ANTI-MALWARE
2012-02-23 15:39:38 . 2012-02-23 15:39:38 ——– d—–w- C:\Users\Beheerder\AppData\Roaming\Boomzap
2012-02-21 18:17:53 . 2012-02-21 19:04:13 ——– d—–w- C:\ProgramData\xml_param
2012-02-21 18:14:20 . 2012-02-21 18:14:20 ——– d—–w- C:\Users\Beheerder\AppData\Roaming\Wondershare Video Converter Ultimate
2012-02-21 18:13:49 . 2012-02-21 18:13:49 ——– d—–w- C:\Users\Beheerder\AppData\Local\Wondershare
2012-02-21 18:13:47 . 2012-02-21 18:58:03 ——– d—–w- C:\Program Files\Common Files\Wondershare
2012-02-21 18:13:22 . 2012-02-16 16:22:26 892928 —-a-w- C:\Windows\system32\iconv.dll
2012-02-21 18:13:18 . 2012-02-23 13:26:26 ——– d—–w- C:\Program Files\Wondershare
2012-02-16 14:07:27 . 2012-02-16 14:20:01 ——– d—–w- C:\Users\Beheerder\AppData\Roaming\Ashampoo
2012-02-16 13:32:41 . 2012-02-16 13:32:41 ——– d—–w- C:\ProgramData\ashampoo
2012-02-16 13:31:40 . 2012-02-16 14:20:22 ——– d—–w- C:\Users\Beheerder\AppData\Local\ashampoo
2012-02-16 09:26:51 . 2011-12-14 16:17:47 680448 —-a-w- C:\Windows\system32\msvcrt.dll
2012-02-16 09:26:50 . 2012-01-12 19:52:56 2044416 —-a-w- C:\Windows\system32\win32k.sys
2012-02-16 09:26:49 . 2011-12-20 10:56:10 2409784 —-a-w- C:\Program Files\Windows Mail\OESpamFilter.dat
2012-02-11 14:23:34 . 2012-02-11 14:23:36 ——– d—–w- C:\Program Files\Free WMA to MP3 Converter
2012-02-10 15:00:37 . 2012-02-10 15:00:37 ——– d—–w- C:\Users\Default\AppData\Roaming\hpqLog
2012-02-10 14:59:43 . 2009-04-29 06:46:54 15872 —-a-w- C:\Windows\system32\drivers\HpqKbFiltr.sys
2012-02-10 14:59:42 . 2006-11-02 05:09:50 1419232 —-a-w- C:\Windows\system32\drivers\wdfcoinstaller01005.dll
2012-02-10 14:59:41 . 2008-09-08 12:31:26 1885488 —-a-w- C:\Windows\system32\BttnCmns.dll
2012-02-10 14:59:41 . 2008-09-08 12:31:26 1885488 —-a-r- C:\Windows\system32\BttnCmn.dll
2012-02-10 14:59:40 . 2012-02-10 15:00:47 ——– d—–w- C:\Program Files\Hewlett-Packard
2012-02-10 14:58:22 . 2012-02-10 14:59:28 ——– d—–w- C:\Windows\QLB
2012-02-05 15:38:46 . 2012-02-05 15:38:46 ——– d—–w- C:\Users\Beheerder\AppData\Roaming\GamesCafe
.
((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))
2012-02-02 21:42:24 . 2011-09-27 19:57:03 414368 —-a-w- C:\Windows\system32\FlashPlayerCPLApp.cpl
2011-12-25 20:30:22 . 2011-12-25 20:30:22 0 —ha-w- C:\Users\Beheerder\AppData\Local\BIT8E96.tmp
2011-12-17 14:35:10 . 2011-12-17 14:35:10 1169736 —-a-w- C:\Users\Beheerder\AppData\Roaming\Gvqkqq.exe
((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))
*Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond
REGEDIT4
“QlbCtrl.exe”=“C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe”
“AvgRemover”=“C:\Users\Beheerder\Desktop\avg_remover_stf_x86_2012_1796.exe”
“EnableUIADesktopToggle”= 0 (0x0)
“aux”=wdmaud.drv
@=“Driver”
2012-01-02 09:07:56 843712 —-a-r- C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
2012-01-03 21:51:18 37296 —-a-w- C:\Program Files\Adobe\Reader 9.0\Reader\reader_sl.exe
2011-12-16 06:55:44 187696 —-a-w- C:\Program Files\BrowserCompanion\BCHelper.exe
2012-01-24 18:15:00 2716992 —-a-w- C:\Program Files\CCleaner\CCleaner.exe
2010-10-29 12:49:28 249064 —-a-w- C:\Program Files\Common Files\Java\Java Update\jusched.exe
2008-01-21 02:25:33 202240 —-a-w- C:\Program Files\Windows Media Player\wmpnscfg.exe
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
Inhoud van de ‘Gedeelde Taken’ map
2012-03-01 C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
- C:\Program Files\Google\Update\GoogleUpdate.exe
2012-03-01 C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
- C:\Program Files\Google\Update\GoogleUpdate.exe
——- Bijkomende Scan ——-
uStart Page = hxxp://www.google.nl/
mStart Page = hxxp://downloads.phpnuke.org/nl/index.php?rvs=google
IE: Download with Xilisoft YouTube Video Converter - C:\Program Files\Xilisoft\YouTube Video Converter\upod_link.HTM
TCP: DhcpNameServer = 212.54.35.25 212.54.40.25
- - - - ORPHANS VERWIJDERD - - - -
WebBrowser-{B80F591E-FE9A-46CF-A13E-180377240586} - (no file)
MSConfigStartUp-DAEMON Tools Lite - C:\Program Files\DAEMON Tools Lite\DTLite.exe
MSConfigStartUp-SweetIM - C:\Program Files\SweetIM\Messenger\SweetIM.exe
MSConfigStartUp-Wondershare Helper Compact - C:\Program Files\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe
MSConfigStartUp-{86F255BE-147E-9438-4B04-8CBA42D177C1} - C:\Users\Beheerder\AppData\Roaming\Ifegum\zuhix.exe
AddRemove-Cool's_Codec_pack_4.12 - C:\Windows\iun6002.exe
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 15:14:43, on 1-3-2012
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v9.00 (9.00.8112.16421)
Boot mode: Normal
Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Windows\system32\conime.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCtrl.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\Macromed\Flash\FlashUtil11e_ActiveX.exe
C:\Program Files\AVG\AVG2012\avgtray.exe
C:\Windows\system32\taskmgr.exe
C:\Users\Beheerder\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://downloads.phpnuke.org/nl/index.php?rvs=google
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG2012\avgssie.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: “C:\Program Files\AVG\AVG2012\avgtray.exe”
O8 - Extra context menu item: Download with Xilisoft YouTube Video Converter - C:\Program Files\Xilisoft\YouTube Video Converter\upod_link.HTM
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: (no name) - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - (no file)
O11 - Options group: Accelerated graphics
O18 - Protocol: base64 - {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} - (no file)
O18 - Protocol: chrome - {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} - (no file)
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG2012\avgpp.dll
O18 - Protocol: prox - {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} - (no file)
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
O23 - Service: Mobiel Apple apparaat (Apple Mobile Device) - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: AVGIDSAgent - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG2012\AVGIDSAgent.exe
O23 - Service: AVG WatchDog (avgwd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG2012\avgwdsvc.exe
O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
O23 - Service: Google Updateservice (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Update-service (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: iPod-service (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: ServiceLayer - Nokia - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TeamViewer 5 (TeamViewer5) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version5\TeamViewer_Service.exe
–
End of file - 4243 bytes
Hallo Roy,
Zo weer een stap verder (tu)
Plaats eerst Combofix.exe op je bureau blad !
Open een kladblok bestand. (Start>Alle programma’s>Bureau-accessoires>Kladblok),
kopieer en plak het volgende (vetgedrukte, blauwe tekst) in het lege kladblokvenster:
File::
C:\Users\Beheerder\AppData\Local\BIT8E96.tmp
C:\Users\Beheerder\AppData\Roaming\Gvqkqq.exe
Sla dit op op je Bureaublad als CFScript.txt.
Sleep CFScript.txt in ComboFix.exe zoals getoond in onderstaand voorbeeld :
http://crew.nucia.eu/smeenk/CFScript.gif
Dit zal ComboFix doen herstarten.
Na het herstarten van je computer, (indien het vraagt om te herstarten), kopieer en plak de inhoud van Combofix.txt in je volgende antwoord.
Start HijackThis en kies voor “Do a systemscan only”.
Vink vervolgens enkel deze onderstaande regels aan: ( indien nog aanwezig )
O9 - Extra button: (no name) - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - (no file)
O18 - Protocol: base64 - {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} - (no file)
O18 - Protocol: chrome - {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} - (no file)
O18 - Protocol: prox - {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} - (no file)
Sluit vervolgens alle vensters, behalve HijackThis. Klik daarna op "Fix checked".
Wanneer je een vraag krijgt of je het zeker weet, bevestig deze dan met "Ja".
Leeg even de Temp map:
C:\Users\Beheerder\AppData\Local\Temp <– Legen niet verwijderen.
Leeg de prullenbak.
Plaats nu het Combotxt en een nieuw HijackThis logje en vertel hoe het gaat.
Gr.Ben
Hier ben ik weer alle acties weer uitgevoerd hierbij de logs. en de pc draaid verder wel weer top.
ComboFix 12-02-25.02 - Beheerder 01-03-2012 19:05:52.3.1 - x86
Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1252.31.1043.18.1013.419
Gestart vanuit: c:\users\Beheerder\Desktop\ComboFix.exe
gebruikte Opdracht switches :: c:\users\Beheerder\Desktop\CFScript.txt..txt
AV: AVG Anti-Virus 2012 *Disabled/Updated* {5A2746B1-DEE9-F85A-FBCD-ADB11639C5F0}
SP: AVG Anti-Virus 2012 *Disabled/Updated* {E146A755-F8D3-F7D4-C17D-96C36DBE8F4D}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((( Andere Verwijderingen )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
—- Voorgaande Run ——-
.
c:\programdata\mazuki.dll
c:\programdata\Windows
c:\programdata\windows\dsdd.dat
c:\programdata\Windows\nudr.dat
c:\users\Beheerder\AppData\Roaming\Beheerderlog.dat
c:\users\Beheerder\AppData\Roaming\inst.exe
c:\users\Beheerder\AppData\Roaming\vso_ts_preview.xml
c:\windows\Help32\skybound.gecko.dll
c:\windows\Help32\surfguard.exe
c:\windows\iun6002.exe
c:\windows\ST6UNST.000
c:\windows\system32\weber
.
.
(((((((((((((((((((( Bestanden Gemaakt van 2012-02-01 to 2012-03-01 ))))))))))))))))))))))))))))))
.
.
2012-03-01 18:17 . 2012-03-01 18:17 ——– d—–w- c:\users\Public\AppData\Local\temp
2012-03-01 18:17 . 2012-03-01 18:17 ——– d—–w- c:\users\Default\AppData\Local\temp
2012-03-01 14:00 . 2012-03-01 14:04 ——– d—–w- c:\windows\system32\drivers\AVG
2012-03-01 13:56 . 2012-03-01 14:04 ——– d—–w- c:\programdata\MFAData
2012-03-01 13:43 . 2012-03-01 18:18 ——– d—–w- c:\users\Beheerder\AppData\Local\temp
2012-03-01 12:06 . 2012-03-01 12:06 ——– d—–w- c:\users\Beheerder\AppData\Roaming\Thinstall
2012-03-01 12:06 . 2012-03-01 12:06 ——– d—–w- c:\users\Beheerder\AppData\Local\Thinstall
2012-03-01 09:59 . 2012-03-01 09:59 ——– d—–w- c:\users\Beheerder\AppData\Local\TechSmith
2012-03-01 09:56 . 2012-03-01 09:56 ——– d—–w- c:\windows\system32\QuickTime
2012-02-24 09:10 . 2012-02-24 09:10 ——– d—–w- c:\users\Beheerder\AppData\Roaming\Malwarebytes
2012-02-24 09:10 . 2012-02-24 17:22 ——– d—–w- c:\program files\MALWAREBYTES ANTI-MALWARE
2012-02-23 15:39 . 2012-02-23 15:39 ——– d—–w- c:\users\Beheerder\AppData\Roaming\Boomzap
2012-02-21 18:17 . 2012-02-21 19:04 ——– d—–w- c:\programdata\xml_param
2012-02-21 18:14 . 2012-02-21 18:14 ——– d—–w- c:\users\Beheerder\AppData\Roaming\Wondershare Video Converter Ultimate
2012-02-21 18:13 . 2012-02-21 18:13 ——– d—–w- c:\users\Beheerder\AppData\Local\Wondershare
2012-02-21 18:13 . 2012-02-21 18:58 ——– d—–w- c:\program files\Common Files\Wondershare
2012-02-21 18:13 . 2012-02-16 16:22 892928 —-a-w- c:\windows\system32\iconv.dll
2012-02-21 18:13 . 2012-02-23 13:26 ——– d—–w- c:\program files\Wondershare
2012-02-16 14:07 . 2012-02-16 14:20 ——– d—–w- c:\users\Beheerder\AppData\Roaming\Ashampoo
2012-02-16 13:32 . 2012-02-16 13:32 ——– d—–w- c:\programdata\ashampoo
2012-02-16 13:31 . 2012-02-16 14:20 ——– d—–w- c:\users\Beheerder\AppData\Local\ashampoo
2012-02-16 09:26 . 2011-12-14 16:17 680448 —-a-w- c:\windows\system32\msvcrt.dll
2012-02-16 09:26 . 2012-01-12 19:52 2044416 —-a-w- c:\windows\system32\win32k.sys
2012-02-16 09:26 . 2011-12-20 10:56 2409784 —-a-w- c:\program files\Windows Mail\OESpamFilter.dat
2012-02-11 14:23 . 2012-02-11 14:23 ——– d—–w- c:\program files\Free WMA to MP3 Converter
2012-02-10 15:00 . 2012-02-10 15:00 ——– d—–w- c:\users\Default\AppData\Roaming\hpqLog
2012-02-10 14:59 . 2009-04-29 06:46 15872 —-a-w- c:\windows\system32\drivers\HpqKbFiltr.sys
2012-02-10 14:59 . 2006-11-02 05:09 1419232 —-a-w- c:\windows\system32\drivers\wdfcoinstaller01005.dll
2012-02-10 14:59 . 2008-09-08 12:31 1885488 —-a-w- c:\windows\system32\BttnCmns.dll
2012-02-10 14:59 . 2008-09-08 12:31 1885488 —-a-r- c:\windows\system32\BttnCmn.dll
2012-02-10 14:59 . 2012-02-10 15:00 ——– d—–w- c:\program files\Hewlett-Packard
2012-02-10 14:58 . 2012-02-10 14:59 ——– d—–w- c:\windows\QLB
2012-02-05 15:38 . 2012-02-05 15:38 ——– d—–w- c:\users\Beheerder\AppData\Roaming\GamesCafe
.
.
.
((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-02-02 21:42 . 2011-09-27 19:57 414368 —-a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-12-25 20:30 . 2011-12-25 20:30 0 —ha-w- c:\users\Beheerder\AppData\Local\BIT8E96.tmp
2011-12-17 14:35 . 2011-12-17 14:35 1169736 —-a-w- c:\users\Beheerder\AppData\Roaming\Gvqkqq.exe
.
.
((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond
REGEDIT4
.
“QlbCtrl.exe”=“c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe”
“AVG_TRAY”=“c:\program files\AVG\AVG2012\avgtray.exe”
.
“EnableUIADesktopToggle”= 0 (0x0)
.
“aux”=wdmaud.drv
.
BootExecute REG_MULTI_SZ autocheck autochk *\0c:\progra~1\AVG\AVG2012\avgrsx.exe /sync /restart
.
@=“Driver”
.
2012-01-02 09:07 843712 —-a-r- c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
.
2012-01-03 21:51 37296 —-a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe
.
2011-12-16 06:55 187696 —-a-w- c:\program files\BrowserCompanion\BCHelper.exe
.
2012-01-24 18:15 2716992 —-a-w- c:\program files\CCleaner\CCleaner.exe
.
c:\program files\DAEMON Tools Lite\DTLite.exe
.
2010-10-29 12:49 249064 —-a-w- c:\program files\Common Files\Java\Java Update\jusched.exe
.
c:\program files\SweetIM\Messenger\SweetIM.exe
.
2008-01-21 02:25 202240 —-a-w- c:\program files\Windows Media Player\wmpnscfg.exe
.
c:\program files\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe
.
c:\users\Beheerder\AppData\Roaming\Ifegum\zuhix.exe
.
— Andere Services/Drivers In Geheugen —
.
*NewlyCreated* - AVGIDSDRIVER
*NewlyCreated* - AVGIDSFILTER
*NewlyCreated* - AVGIDSSHIM
*NewlyCreated* - AVGLDX86
*NewlyCreated* - AVGMFX86
.
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
.
Inhoud van de ‘Gedeelde Taken’ map
.
2012-03-01 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe
.
2012-03-01 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe
.
.
——- Bijkomende Scan ——-
.
uStart Page = hxxp://www.google.nl/
mStart Page = hxxp://downloads.phpnuke.org/nl/index.php?rvs=google
IE: Download with Xilisoft YouTube Video Converter - c:\program files\Xilisoft\YouTube Video Converter\upod_link.HTM
TCP: DhcpNameServer = 212.54.35.25 212.54.40.25
.
- - - - ORPHANS VERWIJDERD - - - -
.
WebBrowser-{B80F591E-FE9A-46CF-A13E-180377240586} - (no file)
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-03-01 19:18
Windows 6.0.6002 Service Pack 2 NTFS
.
scannen van verborgen processen …
.
scannen van verborgen autostart items …
.
scannen van verborgen bestanden …
.
Scan succesvol afgerond
verborgen bestanden: 0
.
**************************************************************************
.
——————— VERGRENDELDE REGISTER SLEUTELS ———————
.
“hanaglkelgmjdape”=hex:6a,61,61,61,6b,6a,6d,61,6d,6c,6e,63,6c,63,61,6d,67,6e,
69,70,00,00
“iapfnelhhmnpbkjjon”=hex:63,61,67,70,6a,6a,00,7f
“iadamlgihijbidelod”=hex:6a,61,61,61,6b,6a,6d,61,6d,6c,6e,63,6c,63,61,6d,67,6e,
69,70,00,00
“dbfaomodopjongocomgbgkjfbaccmllphipdoagi”=hex:68,61,6b,64,6c,61,70,64,6d,6e,
6c,62,68,69,62,6e,00,00
“jbfaomodopjongocomgbjlkkgpchahenlcdmjlkffikmkghelcih”=hex:68,61,6b,64,6c,61,
70,64,6d,6e,6c,62,68,69,62,6e,00,00
“dbfaomodopjongocomgblkglhmhmkponbdogeoen”=hex:62,61,6e,63,00,67
.
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
“BlindDial”=dword:00000000
.
Voltooingstijd: 2012-03-01 19:25:00
ComboFix-quarantined-files.txt 2012-03-01 18:24
.
Pre-Run: 16.585.084.928 bytes beschikbaar
Post-Run: 16.439.164.928 bytes beschikbaar
.
- - End Of File - - 478FD6256735AB1D9E3DF81E716E5930
ComboFix 12-02-25.02 - Beheerder 01-03-2012 19:05:52.3.1 - x86
Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1252.31.1043.18.1013.419
Gestart vanuit: c:\users\Beheerder\Desktop\ComboFix.exe
gebruikte Opdracht switches :: c:\users\Beheerder\Desktop\CFScript.txt..txt
AV: AVG Anti-Virus 2012 *Disabled/Updated* {5A2746B1-DEE9-F85A-FBCD-ADB11639C5F0}
SP: AVG Anti-Virus 2012 *Disabled/Updated* {E146A755-F8D3-F7D4-C17D-96C36DBE8F4D}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((( Andere Verwijderingen )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
—- Voorgaande Run ——-
.
c:\programdata\mazuki.dll
c:\programdata\Windows
c:\programdata\windows\dsdd.dat
c:\programdata\Windows\nudr.dat
c:\users\Beheerder\AppData\Roaming\Beheerderlog.dat
c:\users\Beheerder\AppData\Roaming\inst.exe
c:\users\Beheerder\AppData\Roaming\vso_ts_preview.xml
c:\windows\Help32\skybound.gecko.dll
c:\windows\Help32\surfguard.exe
c:\windows\iun6002.exe
c:\windows\ST6UNST.000
c:\windows\system32\weber
.
.
(((((((((((((((((((( Bestanden Gemaakt van 2012-02-01 to 2012-03-01 ))))))))))))))))))))))))))))))
.
.
2012-03-01 18:17 . 2012-03-01 18:17 ——– d—–w- c:\users\Public\AppData\Local\temp
2012-03-01 18:17 . 2012-03-01 18:17 ——– d—–w- c:\users\Default\AppData\Local\temp
2012-03-01 14:00 . 2012-03-01 14:04 ——– d—–w- c:\windows\system32\drivers\AVG
2012-03-01 13:56 . 2012-03-01 14:04 ——– d—–w- c:\programdata\MFAData
2012-03-01 13:43 . 2012-03-01 18:18 ——– d—–w- c:\users\Beheerder\AppData\Local\temp
2012-03-01 12:06 . 2012-03-01 12:06 ——– d—–w- c:\users\Beheerder\AppData\Roaming\Thinstall
2012-03-01 12:06 . 2012-03-01 12:06 ——– d—–w- c:\users\Beheerder\AppData\Local\Thinstall
2012-03-01 09:59 . 2012-03-01 09:59 ——– d—–w- c:\users\Beheerder\AppData\Local\TechSmith
2012-03-01 09:56 . 2012-03-01 09:56 ——– d—–w- c:\windows\system32\QuickTime
2012-02-24 09:10 . 2012-02-24 09:10 ——– d—–w- c:\users\Beheerder\AppData\Roaming\Malwarebytes
2012-02-24 09:10 . 2012-02-24 17:22 ——– d—–w- c:\program files\MALWAREBYTES ANTI-MALWARE
2012-02-23 15:39 . 2012-02-23 15:39 ——– d—–w- c:\users\Beheerder\AppData\Roaming\Boomzap
2012-02-21 18:17 . 2012-02-21 19:04 ——– d—–w- c:\programdata\xml_param
2012-02-21 18:14 . 2012-02-21 18:14 ——– d—–w- c:\users\Beheerder\AppData\Roaming\Wondershare Video Converter Ultimate
2012-02-21 18:13 . 2012-02-21 18:13 ——– d—–w- c:\users\Beheerder\AppData\Local\Wondershare
2012-02-21 18:13 . 2012-02-21 18:58 ——– d—–w- c:\program files\Common Files\Wondershare
2012-02-21 18:13 . 2012-02-16 16:22 892928 —-a-w- c:\windows\system32\iconv.dll
2012-02-21 18:13 . 2012-02-23 13:26 ——– d—–w- c:\program files\Wondershare
2012-02-16 14:07 . 2012-02-16 14:20 ——– d—–w- c:\users\Beheerder\AppData\Roaming\Ashampoo
2012-02-16 13:32 . 2012-02-16 13:32 ——– d—–w- c:\programdata\ashampoo
2012-02-16 13:31 . 2012-02-16 14:20 ——– d—–w- c:\users\Beheerder\AppData\Local\ashampoo
2012-02-16 09:26 . 2011-12-14 16:17 680448 —-a-w- c:\windows\system32\msvcrt.dll
2012-02-16 09:26 . 2012-01-12 19:52 2044416 —-a-w- c:\windows\system32\win32k.sys
2012-02-16 09:26 . 2011-12-20 10:56 2409784 —-a-w- c:\program files\Windows Mail\OESpamFilter.dat
2012-02-11 14:23 . 2012-02-11 14:23 ——– d—–w- c:\program files\Free WMA to MP3 Converter
2012-02-10 15:00 . 2012-02-10 15:00 ——– d—–w- c:\users\Default\AppData\Roaming\hpqLog
2012-02-10 14:59 . 2009-04-29 06:46 15872 —-a-w- c:\windows\system32\drivers\HpqKbFiltr.sys
2012-02-10 14:59 . 2006-11-02 05:09 1419232 —-a-w- c:\windows\system32\drivers\wdfcoinstaller01005.dll
2012-02-10 14:59 . 2008-09-08 12:31 1885488 —-a-w- c:\windows\system32\BttnCmns.dll
2012-02-10 14:59 . 2008-09-08 12:31 1885488 —-a-r- c:\windows\system32\BttnCmn.dll
2012-02-10 14:59 . 2012-02-10 15:00 ——– d—–w- c:\program files\Hewlett-Packard
2012-02-10 14:58 . 2012-02-10 14:59 ——– d—–w- c:\windows\QLB
2012-02-05 15:38 . 2012-02-05 15:38 ——– d—–w- c:\users\Beheerder\AppData\Roaming\GamesCafe
.
.
.
((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-02-02 21:42 . 2011-09-27 19:57 414368 —-a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-12-25 20:30 . 2011-12-25 20:30 0 —ha-w- c:\users\Beheerder\AppData\Local\BIT8E96.tmp
2011-12-17 14:35 . 2011-12-17 14:35 1169736 —-a-w- c:\users\Beheerder\AppData\Roaming\Gvqkqq.exe
.
.
((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond
REGEDIT4
.
“QlbCtrl.exe”=“c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe”
“AVG_TRAY”=“c:\program files\AVG\AVG2012\avgtray.exe”
.
“EnableUIADesktopToggle”= 0 (0x0)
.
“aux”=wdmaud.drv
.
BootExecute REG_MULTI_SZ autocheck autochk *\0c:\progra~1\AVG\AVG2012\avgrsx.exe /sync /restart
.
@=“Driver”
.
2012-01-02 09:07 843712 —-a-r- c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
.
2012-01-03 21:51 37296 —-a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe
.
2011-12-16 06:55 187696 —-a-w- c:\program files\BrowserCompanion\BCHelper.exe
.
2012-01-24 18:15 2716992 —-a-w- c:\program files\CCleaner\CCleaner.exe
.
c:\program files\DAEMON Tools Lite\DTLite.exe
.
2010-10-29 12:49 249064 —-a-w- c:\program files\Common Files\Java\Java Update\jusched.exe
.
c:\program files\SweetIM\Messenger\SweetIM.exe
.
2008-01-21 02:25 202240 —-a-w- c:\program files\Windows Media Player\wmpnscfg.exe
.
c:\program files\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe
.
c:\users\Beheerder\AppData\Roaming\Ifegum\zuhix.exe
.
— Andere Services/Drivers In Geheugen —
.
*NewlyCreated* - AVGIDSDRIVER
*NewlyCreated* - AVGIDSFILTER
*NewlyCreated* - AVGIDSSHIM
*NewlyCreated* - AVGLDX86
*NewlyCreated* - AVGMFX86
.
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
.
Inhoud van de ‘Gedeelde Taken’ map
.
2012-03-01 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe
.
2012-03-01 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe
.
.
——- Bijkomende Scan ——-
.
uStart Page = hxxp://www.google.nl/
mStart Page = hxxp://downloads.phpnuke.org/nl/index.php?rvs=google
IE: Download with Xilisoft YouTube Video Converter - c:\program files\Xilisoft\YouTube Video Converter\upod_link.HTM
TCP: DhcpNameServer = 212.54.35.25 212.54.40.25
.
- - - - ORPHANS VERWIJDERD - - - -
.
WebBrowser-{B80F591E-FE9A-46CF-A13E-180377240586} - (no file)
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-03-01 19:18
Windows 6.0.6002 Service Pack 2 NTFS
.
scannen van verborgen processen …
.
scannen van verborgen autostart items …
.
scannen van verborgen bestanden …
.
Scan succesvol afgerond
verborgen bestanden: 0
.
**************************************************************************
.
——————— VERGRENDELDE REGISTER SLEUTELS ———————
.
“hanaglkelgmjdape”=hex:6a,61,61,61,6b,6a,6d,61,6d,6c,6e,63,6c,63,61,6d,67,6e,
69,70,00,00
“iapfnelhhmnpbkjjon”=hex:63,61,67,70,6a,6a,00,7f
“iadamlgihijbidelod”=hex:6a,61,61,61,6b,6a,6d,61,6d,6c,6e,63,6c,63,61,6d,67,6e,
69,70,00,00
“dbfaomodopjongocomgbgkjfbaccmllphipdoagi”=hex:68,61,6b,64,6c,61,70,64,6d,6e,
6c,62,68,69,62,6e,00,00
“jbfaomodopjongocomgbjlkkgpchahenlcdmjlkffikmkghelcih”=hex:68,61,6b,64,6c,61,
70,64,6d,6e,6c,62,68,69,62,6e,00,00
“dbfaomodopjongocomgblkglhmhmkponbdogeoen”=hex:62,61,6e,63,00,67
.
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
“BlindDial”=dword:00000000
.
Voltooingstijd: 2012-03-01 19:25:00
ComboFix-quarantined-files.txt 2012-03-01 18:24
.
Pre-Run: 16.585.084.928 bytes beschikbaar
Post-Run: 16.439.164.928 bytes beschikbaar
.
- - End Of File - - 478FD6256735AB1D9E3DF81E716E5930
Hallo Roy,
Dan is alles dus oke.
We gaan weer opruimen:
1. Download OTC.exe (by OldTimer)
• Plaats het bestand op je bureaublad.
• Zorg dat er een internetverbinding is.
• Klik vervolgens met je rechtermuisknop op OTCleanIt.exe en kies voor Run as Administrator (Nederlands: Uitvoeren als Administrator) om het programma te starten.
• Lukt dat niet , doen dan dubbelklikken op het icoon.
• Klik nu op de knop “CleanUp!”
• Als je firewall, of een ander beveiligingsprogramma, een waarschuwing geeft dat OTC.exe internettoegang wil, mag je dit toestaan, het programma heeft die connectie nodig.
• OTC zal als laatste vragen of je de computer herstarten wilt, dit mag je toestaan, hiermee verwijdert het zichzelf ook.
Nota: Het gebruik van OTC.exe zal alle gebruikte tools(inclusief bijbehorende logs en backupmappen) van je computer doen verwijderen.
2. Ruim nu restanten met Ccleaner op.
3. Window systeemherstelpunten verwijderen klik hier.
Verander voor de zekerheid ook al je wachtwoorden en kijk uit in de toekomst wat je installeert of download.
Suc6.Ben
Doorzoek het forum
Zoeken met Startpagina
Startpagina Thema's