HJT-log expertise gevraagd

Hallo,

Mijn naam is Edo, mijn pc lijkt bevuild met malware te zijn, wil iemand onderstaande beoordelen?

Het enige -merkbare- onverklaarbare gedrag van mijn pc is dat de cursor telkens naar een hoek van het scherm springt.

Mijn virusscanners MSE en MBAM geven geen meldingen.

zo nu en dan scan ik mijn pc met verschillende malware scanners.

Ditmaal gebruikte ik Spyhunt 4 (gratis versie, zonder fix) en Hijackthis.

---

Spyhunt maakte melding van 183 bedreigingen van:

• Conduit Search/toolbar
  
• Superfish
  
• Atlas DMT (cookie).
  

met Regedit verwijderde ik de Conduit verwijzingen.(geen nieuwe melding).

de locatie volgens Spyhunt van Superfish en Atlas DMT lijkt niet te bestaan in de Windows verkenner (?):

C:\User\Mijnnaam\Appdata\Roaming\Mozilla\Firefox\Profiles\06k5guol.defaukt-1371113387607\Extensions\fitefox@ghostery.com\chrome\localeja-JP\ghostery.properties

en

C:\User\Mijnnaam\Appdata\Roaming\Microsoft\Windows\Cookies\RFPW0WVO.txt

(Indien nuttig, kan ik printscreens van de scanresultaten tonen).

Zijn dit reele bedreigingen?

Zal ik Spyhunt aanschaffen om van de herstelfuncie gebruik te kunnen maken?

---

Hijackthis geeft de volgende resultaten, ik kan ze niet beoordelen, ze staan hieronder:

(de woorden conduit, Superfish en Atlas komen er niet in voor).

Logfile of Trend Micro HijackThis v2.0.5

Scan saved at 8:06:56, on 14-6-2013

Platform: Windows Vista SP2 (WinNT 6.00.1906)

MSIE: Internet Explorer v9.00 (9.00.8112.16490)

FIREFOX: 21.0 (nl)

Boot mode: Normal

Running processes:

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Windows\system32\taskeng.exe

C:\Program Files\Microsoft Security Client\msseces.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Common Files\Java\Java Update\jusched.exe

C:\Program Files\Windows Sidebar\sidebar.exe

C:\Program Files\Microsoft Office\Office14\MSOSYNC.EXE

C:\Program Files\NVIDIA Corporation\Display\nvtray.exe

C:\Users\Mijnnaam\AppData\Roaming\Dropbox\bin\Dropbox.exe

D:\computer\Programma's\T-Clock\Win32\Clock.exe

C:\Program Files\Windows Media Player\wmpnscfg.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Windows\system32\conime.exe

D:\computer\scan\H_this\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Preserve

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN NL: Hotmail, Outlook, Skype, Messenger, het laatste nieuws, entertainment en meer!

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN NL: Hotmail, Outlook, Skype, Messenger, het laatste nieuws, entertainment en meer!

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O1 - Hosts: ::1 localhost

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre7\bin\ssv.dll

O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\MICROS~4\Office14\URLREDIR.DLL

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [MSC] "c:\Program Files\Microsoft Security Client\msseces.exe" -hide -runkey

O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [KeePass 2 PreLoad] "C:\Program Files\KeePass Password Safe 2\KeePass.exe" --preload

O4 - HKLM\..\Run: [APSDaemon] "C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe"

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"

O4 - HKCU\..\Run: [sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun

O4 - HKCU\..\Run: [OfficeSyncProcess] "C:\Program Files\Microsoft Office\Office14\MSOSYNC.EXE"

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETWORK SERVICE')

O4 - Startup: Dropbox.lnk = C:\Users\Mijnnaam\AppData\Roaming\Dropbox\bin\Dropbox.exe

O4 - Startup: Stoic Joker's T-Clock 2010.lnk = D:\computer\Programma's\T-Clock\Win32\Clock.exe

O9 - Extra button: Verzenden naar OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Verzenden naar OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll

O9 - Extra button: &Gekoppelde notities van OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll

O9 - Extra 'Tools' menuitem: &Gekoppelde notities van OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll

O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics

O15 - Trusted Zone: http://www.samsungsetup.com

O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll

O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL

O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll

O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe

O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe

O23 - Service: Bonjour-service (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Google Update-service (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: Google Update-service (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: HitmanPro Scheduler (HitmanProScheduler) - SurfRight B.V. - C:\Program Files\HitmanPro\hmpsched.exe

O23 - Service: iPod-service (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe

O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe

O23 - Service: NVIDIA Update Service Daemon (nvUpdatusService) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe

O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe

--

End of file - 6933 bytes

---

Wil iemand hier zijn licht op werpen?

Bij voorbaat dank, met vriendelijke groet, Edo.

Het logje van hijackthis ziet er ook goed uit.

Download AdwCleaner by Xplode naar het bureaublad.

• Sluit alle openstaande vensters.
  
• Dubbelklik op AdwCleaner om hem te starten.
  
• Klik vervolgens op Verwijderen.
  
• Klik bij AdwCleaner – Informatie op OK
  
• Klik bij AdwCleaner – Herstarten Noodzakelijk op OK
  

Dat tijdens de actie de snelkoppelingen verdwijnen, is normaal.

Nadat de PC opnieuw is opgestart, opent een logfile.

Post aansluitend de inhoud van dit log in je volgende bericht.

Bedankt voor je snelle reactie,

AdwCleaner geeft de volgende uitvoer:

---

# AdwCleaner v2.303 - Verslag gemaakt op 14/06/2013 om 14:02:18

# Geactualiseerd op 08/06/2013 door Xplode

# Besturingssysteem : Windows Vista Home Premium Service Pack 2 (32 bits)

# Gebruiker : Mijnnaam - BASE

# Opstarten Modus : Normale modus

# Gelanceerd vanaf : C:\Users\Mijnnaam\Desktop\adwcleaner(2).exe

# Optie [Zoeken]

***** [Diensten] *****

***** [Files / Mappen] *****

***** [Register] *****

Sleutel Aanwezig : HKCU\Software\APN PIP

Sleutel Aanwezig : HKCU\Software\PIP

Sleutel Aanwezig : HKCU\Software\Softonic

Sleutel Aanwezig : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\063A857434EDED11A893800002C0A966

Sleutel Aanwezig : HKLM\Software\PIP

***** [browsers] *****

-\\ Internet Explorer v9.0.8112.16490

[OK] Het register bevat geen enkele ongeoorloofde invoer.

-\\ Mozilla Firefox v21.0 (nl)

File : C:\Users\Mijnnaam\AppData\Roaming\Mozilla\Firefox\Profiles\06k5guol.default-1371113387607\prefs.js

[OK] De file bevat geen enkele ongeoorloofde invoer.

*************************

AdwCleaner[R1].txt - [1023 octets] - [07/06/2013 22:54:01]

AdwCleaner[R2].txt - [1326 octets] - [07/06/2013 22:56:07]

AdwCleaner[R3].txt - [1383 octets] - [13/06/2013 10:54:26]

AdwCleaner[R4].txt - [1404 octets] - [14/06/2013 13:56:51]

AdwCleaner[R5].txt - [1335 octets] - [14/06/2013 14:02:18]

########## EOF - C:\AdwCleaner[R5].txt - [1395 octets] ##########

---

Ziet er goed uit, nietwaar?

Denk je dat ik eerdere melding van Spyhunt van Superfish en Atlas DMT kan negeren?

Bedankt voor je hulp,

Edo

Denk je dat ik eerdere melding van Spyhunt van Superfish en Atlas DMT kan negeren?

Die mag je inderdaad negeren.

Ziet er goed uit, nietwaar?

Er zijn niet veel onregelmatigheden gevonden maar je moet ze wel nog verwijderen.

Download AdwCleaner by Xplode naar het bureaublad.

• Sluit alle openstaande vensters.
  
• Dubbelklik op AdwCleaner om hem te starten.
  
• Klik vervolgens op Verwijderen.
  
• Klik bij AdwCleaner – Informatie op OK
  
• Klik bij AdwCleaner – Herstarten Noodzakelijk op OK
  

Dat tijdens de actie de snelkoppelingen verdwijnen, is normaal.

Nadat de PC opnieuw is opgestart, opent een logfile.

Post aansluitend de inhoud van dit log in je volgende bericht.

Ik merk net dat je ook op een ander forum je logjes hebt laten controleren (zie PC Web Plus - RSIT log check gevraagd)

Daar is gebleken dat je pc OK was en het onderwerp werd afgesloten.

Het is dan ook nutteloos om hier verder te gaan en deze discussie wordt dan ook gesloten.

Als je andere problemen hebt, die niet met malware te maken hebben, kan je daarvoor altijd een discussie starten in het geschikte forumonderdeel.