farylin

21 maart 2011

Hallo,

Volgens mij is het opgelost!

IE start weer gewoon op.

De zoekmachine kon ik uiteindelijk toch verwijderen. Mijn fout denk ik. Zodra ik een andere zoekmachine als standaard instelde, kon die weg. Daarna nog een Mbam scan gedaan en die vond ook niets meer.

Dus, bedankt! Heel erg!

21 maart 2011

Hallo,

De eerste stap die je noemde, het verwijderen van de zoekmachine woofi, lukte helaas niet. In het menu dat je aangaf kon ik google en bing wel verwijderen, maar bij woofi was die optie grijs en kon niet worden ingedrukt.

Ik heb combofix uitgevoerd en het log hieronder geplakt.

ComboFix 11-03-19.06 - Pinguin & Bizon 21-03-2011 13:12:29.1.1 - x86

Microsoft Windows XP Home Edition 5.1.2600.3.1252.31.1043.18.1023.629 [GMT 1:00]

Gestart vanuit: d:\documenten en settings\Pinguin & Bizon\Bureaublad\ComboFix.exe

AV: McAfee Antivirus en antispyware *Disabled/Updated* {84B5EE75-6421-4CDE-A33A-DD43BA9FAD83}

FW: McAfee Firewall *Disabled* {94894B63-8C7F-4050-BDA4-813CA00DA3E8}

FW: NVIDIA Firewall *Disabled* {EDC10449-64D1-46c7-A59A-EC20D662F26D}

.

(((((((((((((((((((((((((((((((((( Andere Verwijderingen )))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\windows\system32\uninstall.exe

.

(((((((((((((((((((( Bestanden Gemaakt van 2011-02-21 to 2011-03-21 ))))))))))))))))))))))))))))))

.

2011-03-20 09:08 . 2011-03-20 09:08 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache

2011-03-19 23:01 . 2011-03-19 23:01 388096 ----a-r- d:\documenten en settings\Pinguin & Bizon\Application Data\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe

2011-03-19 22:37 . 2011-03-20 13:52 -------- d--h--r- d:\documenten en settings\Pinguin & Bizon\Onlangs geopend

2011-03-19 20:54 . 2011-03-19 20:54 -------- d-----w- c:\program files\CCleaner

2011-03-19 20:51 . 2010-12-20 17:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2011-03-19 20:51 . 2010-12-20 17:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys

2011-03-19 18:38 . 2011-03-19 18:38 -------- d-sh--w- d:\documenten en settings\Pinguin & Bizon\IECompatCache

2011-03-19 18:38 . 2011-03-19 18:38 -------- d-sh--w- d:\documenten en settings\Pinguin & Bizon\PrivacIE

2011-03-19 18:34 . 2011-03-19 18:34 -------- d-sh--w- d:\documenten en settings\Pinguin & Bizon\IETldCache

2011-03-19 18:29 . 2011-03-19 18:30 -------- dc-h--w- c:\windows\ie8

2011-03-19 16:47 . 2011-03-19 16:47 -------- d-----w- d:\documenten en settings\Pinguin & Bizon\Application Data\EurekaLog

2011-03-19 14:07 . 2011-03-19 14:07 -------- d-----w- d:\documenten en settings\All Users\Application Data\SUPERAntiSpyware.com

2011-03-19 12:56 . 2011-03-19 22:55 -------- d-----w- d:\documenten en settings\Administrator

2011-03-19 10:52 . 2011-03-19 10:52 -------- d-----w- d:\documenten en settings\Pinguin & Bizon\Application Data\Malwarebytes

2011-03-19 10:52 . 2011-03-19 10:52 -------- d-----w- d:\documenten en settings\All Users\Application Data\Malwarebytes

2011-03-12 17:25 . 2011-03-12 17:25 -------- d-----w- d:\documenten en settings\Pinguin & Bizon\Local Settings\Application Data\Mumble

2011-02-25 10:37 . 2011-02-25 10:37 -------- d-----w- d:\documenten en settings\Pinguin & Bizon\Application Data\Leadertech

.

((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-02-09 13:54 . 2010-09-02 20:01 270848 ----a-w- c:\windows\system32\sbe.dll

2011-02-09 13:54 . 2010-09-02 19:59 186880 ----a-w- c:\windows\system32\encdec.dll

2011-02-02 07:58 . 2010-09-02 11:16 2067456 ----a-w- c:\windows\system32\mstscax.dll

2011-01-27 11:57 . 2010-09-02 11:16 677888 ----a-w- c:\windows\system32\mstsc.exe

2011-01-21 14:44 . 2010-09-02 20:01 441344 ----a-w- c:\windows\system32\shimgvw.dll

2011-01-07 14:09 . 2010-09-02 19:58 290048 ----a-w- c:\windows\system32\atmfd.dll

2010-12-31 14:04 . 2010-09-02 20:01 1855104 ----a-w- c:\windows\system32\win32k.sys

2010-12-22 12:34 . 2010-09-02 19:59 301568 ----a-w- c:\windows\system32\kerberos.dll

.

((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))

.

*Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond

REGEDIT4

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"nTrayFw"="d:\progra~1\NVIDIA~1\NETWOR~1\bin\nTrayFw.exe" [2005-04-29 266240]

"StartCCC"="d:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-08-03 98304]

"SoundMan"="SOUNDMAN.EXE" [2007-04-16 577536]

"Launch LgDevAgt"="c:\program files\Logitech\GamePanel Software\LgDevAgt.exe" [2008-11-06 358920]

"Launch LCDMon"="c:\program files\Logitech\GamePanel Software\LCD Manager\LCDMon.exe" [2008-11-06 1548296]

"Launch LGDCore"="c:\program files\Logitech\GamePanel Software\G-series Software\LGDCore.exe" [2008-11-06 2816520]

"mcui_exe"="c:\program files\McAfee.com\Agent\mcagent.exe" [2010-11-22 1193848]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-01-31 35760]

"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc]

@=""

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS]

@=""

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]

"DisableMonitoring"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]

"DisableMonitoring"=dword:00000001

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"d:\\Program Files\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"d:\\spellen\\Steam\\Steam.exe"=

"d:\\spellen\\Steam\\steamapps\\common\\football manager 2010\\fm.exe"=

"d:\\Program Files\\Microsoft Office\\Office14\\ONENOTE.EXE"=

"d:\\spellen\\Steam\\steamapps\\common\\amnesia the dark descent\\Launcher.exe"=

"c:\\Program Files\\Common Files\\Mcafee\\McSvcHost\\McSvHost.exe"=

"d:\\spellen\\Steam\\steamapps\\common\\amd driver updater, xp, 32 bit\\Setup.exe"=

"d:\\spellen\\Steam\\steamapps\\common\\left 4 dead\\left4dead.exe"=

.

R1 mfetdi2k;McAfee Inc. mfetdi2k;c:\windows\system32\drivers\mfetdi2k.sys [19-12-2010 18:32 84072]

R2 McAfee SiteAdvisor Service;McAfee SiteAdvisor Service;"c:\program files\Common Files\Mcafee\McSvcHost\McSvHost.exe" /McCoreSvc [19-12-2010 18:32 271480]

R2 McMPFSvc;McAfee Personal Firewall Service;"c:\program files\Common Files\Mcafee\McSvcHost\McSvHost.exe" /McCoreSvc [19-12-2010 18:32 271480]

R2 McNaiAnn;McAfee VirusScan Announcer;"c:\program files\Common Files\Mcafee\McSvcHost\McSvHost.exe" /McCoreSvc [19-12-2010 18:32 271480]

R2 mfefire;McAfee Firewall Core Service;c:\program files\Common Files\Mcafee\SystemCore\mfefire.exe [19-12-2010 18:32 188136]

R2 mfevtp;McAfee Validation Trust Protection Service;c:\windows\system32\mfevtps.exe [19-12-2010 18:20 141792]

R3 cfwids;McAfee Inc. cfwids;c:\windows\system32\drivers\cfwids.sys [19-12-2010 18:32 55840]

R3 LGPBTDD;LGPBTDD.sys Display Driver;c:\windows\system32\drivers\LGPBTDD.sys [3-9-2010 9:22 23432]

R3 mfefirek;McAfee Inc. mfefirek;c:\windows\system32\drivers\mfefirek.sys [19-12-2010 18:32 313288]

R3 mfendiskmp;mfendiskmp;c:\windows\system32\drivers\mfendisk.sys [19-12-2010 18:32 88544]

S3 ALSysIO;ALSysIO;\??\d:\docume~1\PINGUI~1\LOCALS~1\Temp\ALSysIO.sys --> d:\docume~1\PINGUI~1\LOCALS~1\Temp\ALSysIO.sys [?]

S3 McAWFwk;McAfee Activation Service;c:\progra~1\mcafee\msc\mcawfwk.exe [19-12-2010 18:33 198904]

S3 mfendisk;McAfee Core NDIS Intermediate Filter;c:\windows\system32\drivers\mfendisk.sys [19-12-2010 18:32 88544]

S3 mferkdet;McAfee Inc. mferkdet;c:\windows\system32\drivers\mferkdet.sys [19-12-2010 18:32 84264]

S3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [9-1-2010 20:37 4640000]

S4 McOobeSv;McAfee OOBE Service;"c:\program files\Common Files\Mcafee\McSvcHost\McSvHost.exe" /McCoreSvc [19-12-2010 18:32 271480]

.

--- Andere Services/Drivers In Geheugen ---

.

*Deregistered* - mfeavfk01

.

------- Bijkomende Scan -------

.

uStart Page = hxxp://www.google.nl/

IE: &Verzenden naar OneNote - d:\progra~1\MICROS~1\Office14\ONBttnIE.dll/105

IE: E&xporteren naar Microsoft Excel - d:\progra~1\MICROS~1\Office14\EXCEL.EXE/3000

LSP: %SYSTEMROOT%\system32\nvappfilter.dll

Filter: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - c:\program files\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2011-03-21 13:15

Windows 5.1.2600 Service Pack 3 NTFS

.

scannen van verborgen processen ...

.

scannen van verborgen autostart items ...

.

scannen van verborgen bestanden ...

.

Scan succesvol afgerond

verborgen bestanden: 0

.

**************************************************************************

.

--------------------- DLLs Geladen Onder Lopende Processen ---------------------

.

- - - - - - - > 'winlogon.exe'(1036)

c:\windows\system32\Ati2evxx.dll

c:\windows\system32\atiadlxx.dll

.

- - - - - - - > 'lsass.exe'(1092)

c:\windows\system32\nvappfilter.dll

.

Voltooingstijd: 2011-03-21 13:17:38

ComboFix-quarantined-files.txt 2011-03-21 12:17

.

Pre-Run: 30.036.123.648 bytes beschikbaar

Post-Run: 29.992.300.544 bytes beschikbaar

.

WindowsXP-KB310994-SP2-Home-BootDisk-NLD.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

.

- - End Of File - - 69E943B0AFB355E073D63CAD25587138

Nogmaals dank!

21 maart 2011

Helaas, er is nog niets veranderd.

Als ik IE opstart, krijg ik de melding: "de webpagina kan niet worden weergegeven"

Rechtsboven in de zoekmachine staat: "http://nl.woofi.info"

Ik neig nu toch wel heel erg naar de schijf formatteren. :-(

20 maart 2011

Hallo,

Ik heb de stappen uitgevoerd die je hebt beschreven. De logs zijn hieronder geplakt. Twee puntjes:

1. Zoals ik al eerder had gezegd leverde de eerste scan van Mbam (vrijdagavond) een drietal bestanden op die verwijderd moesten worden en een restart was nodig. Sindsdien heb ik al meerdere scans met Mbam uitgevoerd, maar krijg ik geen resultaten meer.

2. Misschien dat deze stap (het via Hijack verwijderen van die regels) het al heeft opgelost, maar ik heb nog niet geprobeerd om IE weer te openen, omdat ik mij bedacht dat het virus dan misschien weer iets zou aanmaken. als je wilt dat ik dit alsnog uittest, hoor ik het graag.

Mbam log:

Malwarebytes' Anti-Malware 1.50.1.1100

Malwarebytes

Databaseversie: 6107

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

20-3-2011 14:50:07

mbam-log-2011-03-20 (14-50-07).txt

Scantype: Snelle scan

Objecten gescand: 148132

Verstreken tijd: 5 minuut/minuten, 9 seconde(n)

Geheugenprocessen geïnfecteerd: 0

Geheugenmodulen geïnfecteerd: 0

Registersleutels geïnfecteerd: 0

Registerwaarden geïnfecteerd: 0

Registerdata geïnfecteerd: 0

Mappen geïnfecteerd: 0

Bestanden geïnfecteerd: 0

Geheugenprocessen geïnfecteerd: