Virus???

**Xeno** · 27 mei 2008, 18:35

Hoi Pegpeg,

Ja, het gaat zichzelf herbesmetten.

Wil je CFScript uitvoeren in veilige modus volgens mijn laatste instructie, en de log posten van Combo.
Hierna zien we of ik een regfix moet schrijven, voor je register te cleanen.

Groetjes,
Xeno :)

**pegpeg** · 27 mei 2008, 18:50

log-26052008.txt

dit zijn de laatste gegevens voor je ziet het er al beter uit??

Mvg

combofix

omboFix 08-05-25.5 - user 2008-05-27 18:25:39.3 - NTFSx86
Gestart vanuit: C:\Documents and Settings\user\Bureaublad\ComboFix.exe
Command switches used :: C:\Documents and Settings\user\Bureaublad\CFScript.txt
* Nieuw herstelpunt werd aangemaakt
WAARSCHUWING - DE RECOVERY CONSOLE IS NIET OP DIT SYSTEEM GEINSTALLEERD !!
FILE ::
C:\\WINDOWS\\eksplorasi.exe
C:\WINDOWS\ShellNew\sempalong.exe
.
(((((((((((((((((((((((((((((((((( Andere Verwijderingen )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\\WINDOWS\\eksplorasi.exe
C:\Documents and Settings\user\Local Settings\Application Data\inetinfo.exe
C:\Documents and Settings\user\Local Settings\Application Data\lsass.exe
C:\WINDOWS\ShellNew\sempalong.exe
.
(((((((((((((((((((( Bestanden Gemaakt van 2008-04-27 to 2008-05-27 ))))))))))))))))))))))))))))))
.
2008-05-26 20:27 . 2008-05-26 20:27 268 --ah----- C:\sqmdata02.sqm
2008-05-26 20:27 . 2008-05-26 20:27 244 --ah----- C:\sqmnoopt02.sqm
2008-05-26 17:48 . 2008-05-26 17:48 268 --ah----- C:\sqmdata01.sqm
2008-05-26 17:48 . 2008-05-26 17:48 244 --ah----- C:\sqmnoopt01.sqm
2008-05-26 16:41 . 2008-05-26 16:41 268 --ah----- C:\sqmdata00.sqm
2008-05-26 16:41 . 2008-05-26 16:41 244 --ah----- C:\sqmnoopt00.sqm
2008-05-26 16:38 . 2008-05-26 16:42 <DIR> d-------- C:\RVAXO
2008-05-26 16:36 . 2008-05-26 14:14 827,419 --a------ C:\WINDOWS\system32\RVAXO.bat
2008-05-26 16:36 . 2001-10-01 14:51 69,632 --a------ C:\WINDOWS\system32\remove.exe
2008-05-26 16:31 . 2008-05-26 16:31 <DIR> d-------- C:\Program Files\GV_Killer
2008-05-26 16:31 . 2004-03-08 23:00 152,848 --a------ C:\WINDOWS\system32\COMDLG32.OCX
2008-05-26 16:31 . 2001-09-07 11:00 59,904 --a------ C:\WINDOWS\system32\wbemdisp.tlb
2008-05-23 18:09 . 2008-05-27 17:18 <DIR> d-------- C:\WINDOWS\system32\CatRoot2
2008-05-19 16:37 . 2008-05-19 16:37 <DIR> d-------- C:\Program Files\Trend Micro
2008-05-17 18:33 . 2008-04-22 16:10 <DIR> d--h----- C:\Documents and Settings\Administrator\Sjablonen
2008-05-17 18:33 . 2008-04-22 17:56 <DIR> d--h----- C:\Documents and Settings\Administrator\Onlangs geopend
2008-05-17 18:33 . 2008-04-22 17:56 <DIR> d--h----- C:\Documents and Settings\Administrator\Netwerkprinteromgeving
2008-05-17 18:33 . 2008-04-22 17:56 <DIR> d-------- C:\Documents and Settings\Administrator\Mijn documenten
2008-05-17 18:33 . 2008-04-22 17:56 <DIR> dr------- C:\Documents and Settings\Administrator\Menu Start
2008-05-17 18:33 . 2008-04-22 17:56 <DIR> d-------- C:\Documents and Settings\Administrator\Favorieten
2008-05-17 18:33 . 2008-04-22 17:56 <DIR> d-------- C:\Documents and Settings\Administrator\Bureaublad
2008-05-17 18:33 . 2008-05-17 18:33 <DIR> d-------- C:\Documents and Settings\Administrator
2008-05-17 18:28 . 2008-05-17 18:31 <DIR> d-------- C:\WINDOWS\BDOSCAN8
2008-05-17 18:20 . 2008-04-22 16:10 <DIR> d--h----- C:\Documents and Settings\Farid\Sjablonen
2008-05-17 18:20 . 2008-04-22 17:56 <DIR> d--h----- C:\Documents and Settings\Farid\Onlangs geopend
2008-05-17 18:20 . 2008-04-22 17:56 <DIR> d--h----- C:\Documents and Settings\Farid\Netwerkprinteromgeving
2008-05-17 18:20 . 2008-04-22 17:56 <DIR> d-------- C:\Documents and Settings\Farid\Mijn documenten
2008-05-17 18:20 . 2008-04-22 17:56 <DIR> dr------- C:\Documents and Settings\Farid\Menu Start
2008-05-17 18:20 . 2008-04-22 17:56 <DIR> d-------- C:\Documents and Settings\Farid\Favorieten
2008-05-17 18:20 . 2008-04-22 17:56 <DIR> d-------- C:\Documents and Settings\Farid\Bureaublad
2008-05-17 18:20 . 2008-05-17 18:20 <DIR> d-------- C:\Documents and Settings\Farid
2008-05-14 20:27 . 2008-05-14 20:27 <DIR> d-------- C:\Documents and Settings\user\Bluetooth Software
2008-05-08 14:15 . 2008-05-27 18:21 <DIR> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-05-08 14:15 . 2008-05-08 14:15 <DIR> d-------- C:\Documents and Settings\user\Application Data\Malwarebytes
2008-05-08 14:15 . 2008-05-08 14:15 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-05-08 14:15 . 2008-05-05 20:46 27,048 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-05-08 14:15 . 2008-05-05 20:46 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-05-07 20:37 . 2008-05-07 20:37 <DIR> d-------- C:\Program Files\Microsoft CAPICOM 2.1.0.2
2008-05-06 19:01 . 2008-05-06 19:05 <DIR> d-------- C:\Program Files\Symantec
2008-05-06 19:01 . 2008-05-06 19:01 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Symantec
2008-05-01 16:33 . 2008-05-26 18:03 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-05-01 16:33 . 2008-05-01 16:33 1,409 --a------ C:\WINDOWS\QTFont.for
2008-04-30 18:43 . 2008-04-30 18:43 <DIR> d-------- C:\Program Files\C-Media 3D Audio
2008-04-30 18:43 . 2005-12-15 13:46 2,834,432 --a------ C:\WINDOWS\system\cmicnfg.cpl
2008-04-30 18:43 . 2004-02-17 10:51 1,458,176 --a------ C:\WINDOWS\system\SmWizard.exe
2008-04-30 18:43 . 2008-04-30 18:40 1,454,080 --a------ C:\WINDOWS\system\SET6F.tmp
2008-04-30 18:43 . 2005-12-15 13:57 1,368,000 --a------ C:\WINDOWS\system32\drivers\cmuda.sys
2008-04-30 18:43 . 2002-04-29 15:04 917,504 --a------ C:\WINDOWS\system\cmids3d.dll
2008-04-30 18:43 . 2004-04-23 15:02 233,472 --a------ C:\WINDOWS\system32\cmirmdrv.exe
2008-04-30 18:43 . 2005-12-15 18:48 172,032 --a------ C:\WINDOWS\system32\cmuda.dll
2008-04-30 18:43 . 2003-04-24 13:29 32,768 --a------ C:\WINDOWS\system32\udaprop.dll
2008-04-30 18:43 . 2003-02-18 18:26 28,672 --a------ C:\WINDOWS\system32\cmirmdrv.dll
2008-04-30 18:04 . 2003-11-04 15:10 69,632 --a------ C:\WINDOWS\system32\lfgif13n.dll
2008-04-30 18:03 . 2004-05-14 16:53 462,848 --a------ C:\WINDOWS\system32\ltkrn13n.dll
2008-04-30 18:03 . 2004-05-14 16:53 450,560 --a------ C:\WINDOWS\system32\ltimg13n.dll
2008-04-30 18:03 . 2004-05-14 16:53 401,408 --a------ C:\WINDOWS\system32\lfcmp13n.dll
2008-04-30 18:03 . 2004-05-14 16:53 299,008 --a------ C:\WINDOWS\system32\ltdis13n.dll
2008-04-30 18:03 . 2004-01-12 02:09 206,336 --a------ C:\WINDOWS\system32\ltefx13n.dll
2008-04-30 18:03 . 2004-05-14 16:53 163,840 --a------ C:\WINDOWS\system32\ltfil13n.dll
2008-04-30 18:03 . 2004-05-14 16:53 57,344 --a------ C:\WINDOWS\system32\lfbmp13n.dll
2008-04-30 11:31 . 1998-10-09 14:36 327,168 --a------ C:\WINDOWS\IsUn0413.exe
2008-04-30 11:31 . 2003-08-05 14:23 266,240 --a------ C:\WINDOWS\CMIUninstall.exe
2008-04-30 11:31 . 2003-07-22 11:15 225,280 --a------ C:\WINDOWS\CmiRmRedundDir.exe
2008-04-30 11:31 . 2002-10-18 15:56 28,672 --a------ C:\WINDOWS\CMIRmDriver.dll
2008-04-30 11:31 . 2008-05-04 21:48 206 --a------ C:\WINDOWS\system\CmiCnfg.ini
2008-04-30 11:31 . 2008-04-30 18:43 92 --a------ C:\WINDOWS\CMISETUP.INI
2008-04-30 11:31 . 2008-04-30 18:43 26 --a------ C:\WINDOWS\CMCDPLAY.INI
2008-04-29 15:48 . 2004-02-24 11:08 400,384 --------- C:\WINDOWS\system32\drivers\alcxsens.sys
2008-04-29 15:48 . 2004-04-28 17:19 66,048 --------- C:\WINDOWS\soundb9f.rra
2008-04-29 15:10 . 2008-04-29 15:10 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Apple Computer
2008-04-29 15:10 . 2008-04-29 15:10 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Apple
2008-04-28 18:35 . 2004-08-03 22:58 7,552 --a------ C:\WINDOWS\system32\drivers\MSKSSRV.sys
2008-04-28 18:35 . 2004-08-03 22:58 7,552 --a--c--- C:\WINDOWS\system32\dllcache\mskssrv.sys
2008-04-28 18:35 . 2004-08-03 22:58 5,376 --a------ C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2008-04-28 18:35 . 2004-08-03 22:58 5,376 --a--c--- C:\WINDOWS\system32\dllcache\mspclock.sys
2008-04-28 18:35 . 2004-08-03 22:58 4,992 --a------ C:\WINDOWS\system32\drivers\MSPQM.sys
2008-04-28 18:35 . 2004-08-03 22:58 4,992 --a--c--- C:\WINDOWS\system32\dllcache\mspqm.sys
2008-04-28 18:34 . 2008-04-28 18:34 <DIR> d-------- C:\Program Files\Realtek AC97
2008-04-27 10:15 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2008-04-27 10:15 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
.
((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-06 17:01 --------- d-----w C:\Program Files\Common Files\Symantec Shared
2008-04-29 13:11 --------- d-----w C:\Program Files\QuickTime
2008-04-28 16:38 --------- d-----w C:\Program Files\Google
2008-04-26 16:45 --------- d-----w C:\Program Files\Microsoft ActiveSync
2008-04-26 16:43 --------- d-----w C:\Program Files\Microsoft.NET
2008-04-26 12:46 --------- dcsh--w C:\Program Files\Common Files\WindowsLiveInstaller
2008-04-26 12:46 --------- d-----w C:\Program Files\Windows Live
2008-04-26 12:42 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller
2008-04-25 18:11 23,600 ----a-w C:\WINDOWS\system32\drivers\TVICHW32.SYS
2008-04-22 15:55 --------- d-----w C:\Program Files\Common Files\Adobe
2008-04-22 14:58 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-04-22 14:58 --------- d-----w C:\Program Files\Realtek Sound Manager
2008-04-22 14:58 --------- d-----w C:\Program Files\AvRack
2008-04-22 14:39 --------- d-----w C:\Program Files\MSBuild
2008-04-22 14:33 9,480 ----a-w C:\WINDOWS\system32\icardres.dll
2008-04-22 14:33 83,968 ----a-w C:\WINDOWS\system32\infocardapi.dll
2008-04-22 14:33 556,296 ----a-w C:\WINDOWS\system32\icardagt.exe
2008-04-22 14:33 --------- d-----w C:\Program Files\Reference Assemblies
2008-04-22 14:33 --------- d-----w C:\Program Files\MSXML 6.0
2008-04-22 14:10 --------- d-----w C:\Program Files\Windows Media Connect 2
2008-04-02 16:30 --------- d-----w C:\Program Files\Common Files\Download Manager
2008-04-02 06:37 164 ----a-w C:\install.dat
2008-04-01 20:20 --------- d-----w C:\Program Files\ESET
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 183,072 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-24 19:51 42,713 ----a-w C:\WINDOWS\system32\user's Setting.scr
2008-03-20 08:01 1,846,016 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-01 12:49 827,392 ----a-w C:\WINDOWS\system32\wininet.dll
2006-08-25 18:58 788,992 ----a-w C:\Program Files\1043.MST
2006-08-25 18:58 5,118 ----a-w C:\Program Files\0x0413.ini
2006-08-25 18:58 33,976,320 ----a-w C:\Program Files\iPod for Windows 2006-03-23.msi
.
((((((((((((((((((((((((((((( snapshot@2008-05-26_17.56.08.42 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-26 15:49:36 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-27 15:24:12 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:03 15360]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34 5724184]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-03-28 23:37 413696]
"SoundMan"="SOUNDMAN.EXE" [2005-05-17 12:48 77824 C:\WINDOWS\SOUNDMAN.EXE]
"Cmaudio"="cmicnfg.cpl" []
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 01:03 110592 C:\WINDOWS\system32\bthprops.cpl]
"Malwarebytes Anti-Malware Reboot"="C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" [2008-05-05 20:46 1179256]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 01:03 15360]
C:\Documents and Settings\NL\Start Menu\Programs\Startup\
Empty.pif [2008-03-24 21:51:15 42713]
C:\Documents and Settings\user\Menu Start\Programma's\Opstarten\
Empty.pif [2008-03-24 21:51:15 42713]
C:\Documents and Settings\All Users\Menu Start\Programma's\Opstarten\
BTTray.lnk - C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe [2004-10-01 15:12:18 565309]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

.
Inhoud van de 'Gedeelde Taken' map
"2008-05-03 20:35:05 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-27 18:29:19
Windows 5.1.2600 Service Pack 2 NTFS
scannen van verborgen processen ...
scannen van verborgen autostart items ...
scannen van verborgen bestanden ...
Scan succesvol afgerond
verborgen bestanden: 0
**************************************************************************
.
Voltooingstijd: 2008-05-27 18:32:58
ComboFix-quarantined-files.txt 2008-05-27 16:32:43
ComboFix2.txt 2008-05-27 15:20:20
ComboFix3.txt 2008-05-26 15:56:23
Pre-Run: 16,484,118,528 bytes beschikbaar
Post-Run: 16,489,828,352 bytes beschikbaar
189 --- E O F --- 2008-05-17 11:58:51

**Xeno** · 27 mei 2008, 22:20

Hoi Pegpeg,

Is zeer hardnekkig, en moeten het anders doen.

1. Open de map RVAXO op je bureaublad en dubbelklik Uninstall.cmd
Dit zal alles van RVAXO verwijderen.

2. Ga naar start > uitvoeren en kopieer en plak volgende command in het veld:

ComboFix /u

Let op: Zorg ervoor dat er dus een spatie is tussen Combofix en /
Daarna klik enter.

Dit zal Combofix verwijderen+gerelateerde mappen en bestanden, herstelt de klokinstellingen opnieuw, verbergt de bestandsextensies, gaat verborgen bestanden en systeembestanden terug verbergen en reset je Systeemherstel opnieuw, en maakt een nieuw herstelpunt aan.

3. Schakel je Antivirus tijdelijk uit tijdens deze fix, deze zou in de weg kunnen zitten.

Rechtsklik hier en sla "UnhookExec.inf" op op je bureaublad.

Rechtsklik op "UnhookExec.inf" en selecteer "Install."

Download CleanX-II by sUBs en sla het op op je bureaublad.

Verbreek nu de verbinding met Internet, belangrijk

Start je PC op in veilige modus.

Dubbelklik op CleanX-II.exe voor de tool te runnen, en volg de aanwijzingen door op OK te klikken.

Na de scan krijg je een rapport, staan in het rapport files vermeld onder POST RUN ANALYSIS, laat dan de tool een tweede maal runnen.
Post hierna het rapport die je kan vinden in C:\REPORT.TXT.

Herstart in normale modus, en post ook een verse HJT log.

Succes,
Xeno :)

**pegpeg** · 28 mei 2008, 17:18

hoi xeno!!

heb je stappen ondernomen maar in de safe modus krijg ik het bericht" als ik het bestand clean opstart windows kan het bestand c:\documents and settings\DESKTOP\cleanxII.txt neit vinden....ik heb ook gezien dat mappen er 2 maal in voor komen als ik bv een map open doc1 open: dan staat er in deze open map dezelfde doc1 en snap je en zo verder en verder

alvast bedankt Mvg

**Xeno** · 29 mei 2008, 02:27

Hoi Pegpeg,

Dat is jammer, gaan het dan manueel doen.

Start je pc op in veilige modus.

Open kladblok en kopieer en plak volgende aanwezig in het citaatvenster erin:
(vergeet REGEDIT4 niet te kopieren en plakken!)

REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Tok-Cirrhatus"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Bron-Spizaetus"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe"
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
"HideFileExt"=dword:00000000
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFolderOptions"=-

Sla dit op als fix.reg kies voor opslaan als alle bestanden en plaats het op je bureaublad.
Zo moet die regfix er nadien uitzien:

Dubbelklik erop.
Bij de vraag of je het wilt toevoegen aan het register, klik je op ja/ok.

Herstart in normale modus, en post een HJT log.

Succes,
Xeno :)

**pegpeg** · 29 mei 2008, 16:38

hoi xeno!!

heb het gedaan en nu ging HJT gewoon werken das al iets he hier het logje

alvast bedankt Mvg

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:37:16, on 29/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20772)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = Sign In
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: Adobe PDF Reader Help bij koppelingen - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Aanmelden - Help - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Lokale service')
O4 - HKUS\S-1-5-19\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'Lokale service')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Netwerkservice')
O4 - HKUS\S-1-5-20\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'Netwerkservice')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verzenden naar &Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/reso...an8/oscan8.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/micr...?1209229085265
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://plugin.driveragent.com/files/driveragent.cab
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
--
End of file - 4971 bytes

**Xeno** · 29 mei 2008, 21:53

Hoi Pegpeg,

Het probleem was, dat je alle nasty bestanden van de infectie terzelfdertijd moet kunnen aanpakken, en blijkbaar hebben de tools dat niet gedaan.
We kunnen nu beginnen met nog eens goed te kijken, en dan alles proper maken.
Start HijackThis, klik op Do a system scan only en vink de volgende regels aan en klik dan op Fix Checked en bevestig het door in het volgende scherm op Ja te klikken.
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = Sign In
O4 - HKUS\S-1-5-19\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User Lokale service)
O4 - HKUS\S-1-5-20\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User Netwerkservice)

Klik op ATF-Cleaner.exe naar je bureaublad.
Belangrijk: Sluit al je browservensters(IE en/of Firefox en/of Opera) om de tool goed te kunnen laten werken.
Dubbelklik op ATF cleaner om het programma te starten.
Op het tabblad Main, plaats je een vinkje bij Select All.
Klik op de knop Empty Selected.
Het volgende doen als je ook FireFox als browser hebt:
Klik op tabblad Firefox, plaats een vinkje bij Select All.
Wil je de door Firefox opgeslagen wachtwoorden behouden, dan klik je in het venster dat verschijnt op No.
(dit haalt het vinkje weer weg bij Firefox saved passwords)
Klik op de knop Empty Selected.
Het volgende doen als je ook Opera als browser hebt:
Klik op tabblad Opera, plaats een vinkje bij Select All.
Wil je de door Opera opgeslagen wachtwoorden behouden, dan klik je in het venster dat verschijnt op No.
Klik op de knop Empty Selected.
Ga naar het tabblad Main en klik op de knop Exit om het programma af te sluiten.

Download Dr.Web CureIt naar je Bureaublad.

- Dubbelklik drweb-cureit.exe en klik op Start. In het volgende scherm bij de vraag Snelle Scan nu starten? klik je op OK..
- Indien een popup verschijnt met het voorstel tot kopen/50% korting, mag je deze sluiten met het kruisje.
- Dit zal de bestanden scannen die momenteel in het geheugen geladen zijn en wanneer er iets gevonden wordt, klik de selecteer alles en daarna repareren knop. Dit is enkel een korte scan.
- Kies bovenaan in het menu opties voor Language/Taal en wijzig deze naar Dutch (Nederlands) indien deze bij jou anders staat ingesteld.
- Druk op F9.
- Onder Scan haal je het vinkje weg bij Heuristische analyse.
- Kies daarna voor Acties en stel daar het volgende in onder Malware :
Adware: Verplaats
Dialers: Verplaats
Jokes: Rapportage
Riskware: Rapportage
Hacktools: Verplaats
- Haal dan het vinkje weg bij Prompt bij actie,en druk dan op OK.
- Zet nu een vinkje bij Custom Scan.
- Selecteer hier alle stations. Een rood bolletje zal dan tevoorschijn komen op de drives die je laat scannen.
- Klik daarna de groene pijl rechts onder het logo van Dr.Web om de scan te starten.
- Gevonden bestanden worden naar de %userprofile%\DoctorWeb\quarantaine-map verplaatst indien herstel niet mogelijk is.
- Nadat de scan gedaan is in het menu bovenaan, klik bestand en kies Rapportage lijst opslaan. Bewaar het op je Bureaublad.
- Sluit daarna Dr.Web Cureit.
- Wijzig de naam van het bestand DrWeb.cvs in DrWeb.txt.
- Herstart je computer!! Belangrijke stap, want het kan zijn dat Dr.Web Cureit bestanden zal verplaatsen/verwijderen tijdens herstart.
- Post ook het laatste rapport van drweb-cureit als BIJLAGE.
Indien je Combofix al eerder hebt gebruikt, gelieve die versie dan eerst te verwijderen van je bureaublad en dan Combofix opnieuw te downloaden via onderstaande link, want Combofix wordt dagelijks geupdate..
Download Combofix.exe naar je Bureaublad.
OPMERKING: indien je tijdens of na het downloaden van Combofix of tijdens het gebruik van Combofix een melding krijgt van je Antivirus- of een andere realtime scanner, schakel dan deze scanner uit en download Combofix opnieuw.
Sommige scanners zien bepaalde componenten die Combofix gebruikt als verdacht en gaan deze blokkeren of verwijderen!
Dubbelklik op Combofix.exe
Volg de instructies, aanvaard de disclaimer door 1 (continue) te typen gevolgd door ENTER.
Tijdens het runnen van de fix NIET in het venster klikken, want dit zal je pc doen vasthangen.
Wanneer de fix voltooid is en na herstart, zal de log combofix.txt openen. Plaats deze log in je volgende post.

Succes,
Xeno :)

**pegpeg** · 14 juni 2008, 12:56

hoi xeno en alles goed?? ben even 2 weken in het buitenland geest voor men werk en heb de laatste stap niet meer kunnen doen. mijn vraag was moet ik gewoon verdergaan met wat je het laatste hebt opgevee, ik zal voor de zekerheid een HJT logje plaatsen
alvast bedankt

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:55:02, on 14/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20815)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = Sign In
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: Adobe PDF Reader Help bij koppelingen - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Aanmelden - Help - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Lokale service')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Netwerkservice')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verzenden naar &Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/reso...an8/oscan8.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/micr...?1209229085265
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://plugin.driveragent.com/files/driveragent.cab
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
--
End of file - 4775 bytes

**Xeno** · 14 juni 2008, 19:35

Hoi Pegpeg,

Geen probleem hoor.
Je HJT log ziet er nu goed uit.

Toch zou ik Combofix nog eens downloaden en een scan maken.
Dr.Web hoeft niet.

Groetjes,
Xeno :)

**pegpeg** · 14 juni 2008, 20:10

hoi xeno!!

hier is het combofix log!!

alvast bedankt

ComboFix 08-06-12.2 - user 2008-06-14 19:58:44.4 - NTFSx86
Gestart vanuit: C:\Documents and Settings\user\Bureaublad\ComboFix.exe
* Nieuw herstelpunt werd aangemaakt
WAARSCHUWING - DE RECOVERY CONSOLE IS NIET OP DIT SYSTEEM GEINSTALLEERD !!
.
(((((((((((((((((((( Bestanden Gemaakt van 2008-05-14 to 2008-06-14 ))))))))))))))))))))))))))))))
.
2008-06-14 18:44 . 2008-06-14 18:45 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Apple Computer
2008-06-14 18:42 . 2008-06-14 18:42 <DIR> d-------- C:\WINDOWS\LastGood
2008-06-14 18:42 . 2008-06-14 18:42 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Apple
2008-06-14 18:19 . 2004-12-18 20:32 38,229 --------- C:\WINDOWS\system32\drivers\StMp3Rec.sys
2008-06-14 17:49 . 2008-06-14 17:49 <DIR> d-------- C:\Program Files\FBrowsingAdvisor
2008-06-14 17:49 . 2008-06-14 17:49 <DIR> d-------- C:\Program Files\FBrowserAdvisor
2008-06-14 17:49 . 2008-06-14 18:03 <DIR> d-------- C:\Program Files\BrowsingEnhancer
2008-06-14 17:49 . 2006-04-14 23:05 9,952 --a------ C:\regxpcom.exe
2008-06-14 17:28 . 2008-06-14 18:57 <DIR> d-------- C:\Program Files\Morpheus
2008-05-30 13:52 . 2008-05-30 13:52 <DIR> d-------- C:\Documents and Settings\user\DoctorWeb
2008-05-29 17:19 . 2008-05-29 17:19 <DIR> d-------- C:\Documents and Settings\user\Application Data\Apple Computer
2008-05-27 10:50 . 2008-05-27 10:50 90,112 --a------ C:\WINDOWS\system32\QuickTimeVR.qtx
2008-05-27 10:50 . 2008-05-27 10:50 57,344 --a------ C:\WINDOWS\system32\QuickTime.qts
2008-05-26 20:27 . 2008-05-26 20:27 268 --ah----- C:\sqmdata02.sqm
2008-05-26 20:27 . 2008-05-26 20:27 244 --ah----- C:\sqmnoopt02.sqm
2008-05-26 17:48 . 2008-05-26 17:48 268 --ah----- C:\sqmdata01.sqm
2008-05-26 17:48 . 2008-05-26 17:48 244 --ah----- C:\sqmnoopt01.sqm
2008-05-26 16:41 . 2008-05-26 16:41 268 --ah----- C:\sqmdata00.sqm
2008-05-26 16:41 . 2008-05-26 16:41 244 --ah----- C:\sqmnoopt00.sqm
2008-05-26 16:31 . 2008-05-26 16:31 <DIR> d-------- C:\Program Files\GV_Killer
2008-05-26 16:31 . 2004-03-08 23:00 152,848 --a------ C:\WINDOWS\system32\COMDLG32.OCX
2008-05-26 16:31 . 2001-09-07 11:00 59,904 --a------ C:\WINDOWS\system32\wbemdisp.tlb
2008-05-23 18:09 . 2008-06-14 18:36 <DIR> d-------- C:\WINDOWS\system32\CatRoot2
2008-05-19 16:37 . 2008-05-19 16:37 <DIR> d-------- C:\Program Files\Trend Micro
2008-05-17 18:33 . 2008-04-22 16:10 <DIR> d--h----- C:\Documents and Settings\Administrator\Sjablonen
2008-05-17 18:33 . 2008-04-22 17:56 <DIR> d--h----- C:\Documents and Settings\Administrator\Onlangs geopend
2008-05-17 18:33 . 2008-04-22 17:56 <DIR> d--h----- C:\Documents and Settings\Administrator\Netwerkprinteromgeving
2008-05-17 18:33 . 2008-04-22 17:56 <DIR> d-------- C:\Documents and Settings\Administrator\Mijn documenten
2008-05-17 18:33 . 2008-04-22 17:56 <DIR> dr------- C:\Documents and Settings\Administrator\Menu Start
2008-05-17 18:33 . 2008-04-22 17:56 <DIR> d-------- C:\Documents and Settings\Administrator\Favorieten
2008-05-17 18:33 . 2008-04-22 17:56 <DIR> d-------- C:\Documents and Settings\Administrator\Bureaublad
2008-05-17 18:33 . 2008-05-17 18:33 <DIR> d-------- C:\Documents and Settings\Administrator
2008-05-17 18:28 . 2008-05-17 18:31 <DIR> d-------- C:\WINDOWS\BDOSCAN8
2008-05-17 18:20 . 2008-04-22 16:10 <DIR> d--h----- C:\Documents and Settings\Farid\Sjablonen
2008-05-17 18:20 . 2008-04-22 17:56 <DIR> d--h----- C:\Documents and Settings\Farid\Onlangs geopend
2008-05-17 18:20 . 2008-04-22 17:56 <DIR> d--h----- C:\Documents and Settings\Farid\Netwerkprinteromgeving
2008-05-17 18:20 . 2008-04-22 17:56 <DIR> d-------- C:\Documents and Settings\Farid\Mijn documenten
2008-05-17 18:20 . 2008-04-22 17:56 <DIR> dr------- C:\Documents and Settings\Farid\Menu Start
2008-05-17 18:20 . 2008-04-22 17:56 <DIR> d-------- C:\Documents and Settings\Farid\Favorieten
2008-05-17 18:20 . 2008-04-22 17:56 <DIR> d-------- C:\Documents and Settings\Farid\Bureaublad
2008-05-17 18:20 . 2008-05-17 18:20 <DIR> d-------- C:\Documents and Settings\Farid
2008-05-14 20:27 . 2008-05-14 20:27 <DIR> d-------- C:\Documents and Settings\user\Bluetooth Software
.
((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-14 16:59 --------- d-----w C:\Program Files\Apple Software Update
2008-06-14 16:46 --------- d-----w C:\Program Files\iTunes
2008-06-14 16:44 --------- d-----w C:\Program Files\QuickTime
2008-06-14 16:36 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-05-30 17:55 --------- d-----w C:\Program Files\PacificPoker4
2008-05-27 16:21 --------- d-----w C:\Program Files\Malwarebytes' Anti-Malware
2008-05-08 12:15 --------- d-----w C:\Documents and Settings\user\Application Data\Malwarebytes
2008-05-08 12:15 --------- d-----w C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-05-08 12:14 203,008 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-07 18:37 --------- d-----w C:\Program Files\Microsoft CAPICOM 2.1.0.2
2008-05-07 05:03 1,292,288 ----a-w C:\WINDOWS\system32\quartz.dll
2008-05-06 17:05 --------- d-----w C:\Program Files\Symantec
2008-05-06 17:01 --------- d-----w C:\Program Files\Common Files\Symantec Shared
2008-05-06 17:01 --------- d-----w C:\Documents and Settings\All Users\Application Data\Symantec
2008-05-05 18:46 27,048 ----a-w C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-05-05 18:46 15,864 ----a-w C:\WINDOWS\system32\drivers\mbam.sys
2008-04-30 16:43 --------- d-----w C:\Program Files\C-Media 3D Audio
2008-04-28 16:38 --------- d-----w C:\Program Files\Google
2008-04-28 16:34 --------- d-----w C:\Program Files\Realtek AC97
2008-04-26 16:45 --------- d-----w C:\Program Files\Microsoft ActiveSync
2008-04-26 16:43 --------- d-----w C:\Program Files\Microsoft.NET
2008-04-26 12:46 --------- dcsh--w C:\Program Files\Common Files\WindowsLiveInstaller
2008-04-26 12:46 --------- d-----w C:\Program Files\Windows Live
2008-04-26 12:42 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller
2008-04-25 18:11 23,600 ----a-w C:\WINDOWS\system32\drivers\TVICHW32.SYS
2008-04-23 04:21 827,392 ----a-w C:\WINDOWS\system32\wininet.dll
2008-04-22 15:55 --------- d-----w C:\Program Files\Common Files\Adobe
2008-04-22 14:58 --------- d-----w C:\Program Files\Realtek Sound Manager
2008-04-22 14:58 --------- d-----w C:\Program Files\AvRack
2008-04-22 14:39 --------- d-----w C:\Program Files\MSBuild
2008-04-22 14:33 9,480 ----a-w C:\WINDOWS\system32\icardres.dll
2008-04-22 14:33 83,968 ----a-w C:\WINDOWS\system32\infocardapi.dll
2008-04-22 14:33 556,296 ----a-w C:\WINDOWS\system32\icardagt.exe
2008-04-22 14:33 --------- d-----w C:\Program Files\Reference Assemblies
2008-04-22 14:33 --------- d-----w C:\Program Files\MSXML 6.0
2008-04-22 14:10 --------- d-----w C:\Program Files\Windows Media Connect 2
2008-04-14 15:54 272,640 ----a-w C:\WINDOWS\system32\drivers\bthport.sys
2008-04-02 06:37 164 ----a-w C:\install.dat
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 183,072 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-20 08:01 1,846,016 ----a-w C:\WINDOWS\system32\win32k.sys
2006-08-25 18:58 788,992 ----a-w C:\Program Files\1043.MST
2006-08-25 18:58 5,118 ----a-w C:\Program Files\0x0413.ini
2006-08-25 18:58 33,976,320 ----a-w C:\Program Files\iPod for Windows 2006-03-23.msi
.
((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{5ABBD91B-0215-2FE1-7A7E-753F05B40CB8}]
2007-12-27 01:32 1019904 --a------ C:\Program Files\BrowsingEnhancer\BrowsingEnhancer-1.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:03 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"SoundMan"="SOUNDMAN.EXE" [2005-05-17 12:48 77824 C:\WINDOWS\SOUNDMAN.EXE]
"Cmaudio"="cmicnfg.cpl" []
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 01:03 110592 C:\WINDOWS\system32\bthprops.cpl]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-05-27 10:50 413696]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-06-02 11:13 267048]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 01:03 15360]
C:\Documents and Settings\All Users\Menu Start\Programma's\Opstarten\
BTTray.lnk - C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe [2004-10-01 15:12:18 565309]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=

*Newly Created Service* - APPLE_MOBILE_DEVICE
*Newly Created Service* - BONJOUR_SERVICE
*Newly Created Service* - IPOD_SERVICE
.
Inhoud van de 'Gedeelde Taken' map
"2008-06-14 16:59:57 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-14 20:03:19
Windows 5.1.2600 Service Pack 2 NTFS
scannen van verborgen processen ...
scannen van verborgen autostart items ...
scannen van verborgen bestanden ...

**************************************************************************
.
Voltooingstijd: 2008-06-14 20:08:02
ComboFix-quarantined-files.txt 2008-06-14 18:06:59
ComboFix2.txt 2008-05-27 16:32:59
Pre-Run: 16,203,063,296 bytes beschikbaar
Post-Run: 16,358,944,768 bytes beschikbaar
147 --- E O F --- 2008-06-11 14:38:21

Virus???

LinkBack

Discussietools

Soortgelijke discussies

[OPGELOST] msn virus ?

Virus (2)

[OPGELOST] msn virus

[OPGELOST] Msn virus: Virus:"Je foto's worden gepubliceerd op deze site"

[OPGELOST] virus

Labels voor deze discussie

Regels voor berichten

Virus???

LinkBack

Discussietools

Soortgelijke discussies

[OPGELOST] msn virus ?

Virus (2)

[OPGELOST] msn virus

[OPGELOST] Msn virus: Virus:&quot;Je foto's worden gepubliceerd op deze site&quot;

[OPGELOST] virus

Labels voor deze discussie

Regels voor berichten

[OPGELOST] Msn virus: Virus:"Je foto's worden gepubliceerd op deze site"