JJ Bel
-
Items
9 -
Registratiedatum
-
Laatst bezocht
JJ Bel's prestaties
-
hier de log na de herstart. ik dank jullie alvast voor je hulp mensen. het gaat nu alweer een stuk beter. ComboFix 09-06-29.07 - Jelle 01-07-2009 13:10.4 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1252.31.1043.18.503.305 [GMT 2:00] Gestart vanuit: c:\documents and settings\Jelle\Bureaublad\ComboFix.exe . (((((((((((((((((((( Bestanden Gemaakt van 2009-06-01 to 2009-07-01 )))))))))))))))))))))))))))))) . 2009-06-30 20:45 . 2009-07-01 11:09 -------- d-----w- c:\documents and settings\Jelle\Tracing 2009-06-30 19:09 . 2009-06-30 19:09 -------- d-----w- C:\32788R22FWJFW.0.tmp 2009-06-30 12:43 . 2009-06-30 12:43 3561743 ----a-w- c:\documents and settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe 2009-06-29 14:12 . 2009-06-29 14:12 -------- d-----w- c:\documents and settings\All Users\Application Data\WLInstaller 2009-06-27 12:46 . 2009-06-27 12:46 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache 2009-06-10 15:07 . 2009-05-07 15:34 347136 -c----w- c:\windows\system32\dllcache\localspl.dll 2009-06-10 15:07 . 2009-04-15 14:55 585216 -c----w- c:\windows\system32\dllcache\rpcrt4.dll 2009-06-10 15:07 . 2009-04-30 21:18 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll 2009-06-10 15:07 . 2009-04-30 21:17 246272 -c----w- c:\windows\system32\dllcache\ieproxy.dll 2009-06-07 11:28 . 2009-06-07 11:28 152576 ----a-w- c:\documents and settings\Jelle\Application Data\Sun\Java\jre1.6.0_13\lzma.dll . ((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-06-30 20:48 . 2001-09-07 03:00 91410 ----a-w- c:\windows\system32\perfc013.dat 2009-06-30 20:48 . 2001-09-07 03:00 509446 ----a-w- c:\windows\system32\perfh013.dat 2009-06-30 20:33 . 2009-03-23 15:09 -------- d-----w- c:\program files\Windows Live 2009-06-30 12:44 . 2009-05-23 10:24 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware 2009-06-29 10:32 . 2009-03-22 19:11 -------- d--h--w- c:\program files\InstallShield Installation Information 2009-06-28 15:00 . 2009-03-23 15:10 -------- d-----w- c:\program files\Microsoft 2009-06-23 12:25 . 2009-03-23 15:50 -------- d-----w- c:\documents and settings\Jelle\Application Data\LimeWire 2009-06-17 09:27 . 2009-05-23 10:24 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2009-06-17 09:27 . 2009-05-23 10:25 19096 ----a-w- c:\windows\system32\drivers\mbam.sys 2009-05-23 10:45 . 2009-05-21 19:32 -------- d-----w- c:\documents and settings\All Users\Application Data\16105464 2009-05-23 10:25 . 2009-05-23 10:25 -------- d-----w- c:\documents and settings\Jelle\Application Data\Malwarebytes 2009-05-23 10:24 . 2009-05-23 10:24 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes 2009-05-23 10:19 . 2009-05-23 10:19 -------- d-----w- c:\program files\Trend Micro 2009-05-23 10:03 . 2009-05-23 10:03 -------- d-----w- c:\documents and settings\Jelle\Application Data\rrwvxers 2009-05-21 20:33 . 2009-05-21 20:24 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy 2009-05-21 20:33 . 2009-05-21 19:49 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP 2009-05-21 20:25 . 2009-05-21 20:24 -------- d-----w- c:\program files\Spybot - Search & Destroy 2009-05-18 17:50 . 2009-05-18 17:50 -------- d-----w- c:\documents and settings\NetworkService\Application Data\rrwvxers 2009-05-13 05:06 . 2007-12-07 01:00 915456 ----a-w- c:\windows\system32\wininet.dll 2009-05-07 15:34 . 2004-08-03 12:03 347136 ----a-w- c:\windows\system32\localspl.dll 2009-04-19 19:51 . 2007-08-28 10:26 1847296 ----a-w- c:\windows\system32\win32k.sys 2009-04-19 17:08 . 2009-03-22 21:12 18824 ----a-w- c:\documents and settings\Jelle\Local Settings\Application Data\GDIPFONTCACHEV1.DAT 2009-04-15 14:55 . 2007-07-09 12:20 585216 ----a-w- c:\windows\system32\rpcrt4.dll . ((((((((((((((((((((((((((((( SnapShot@2009-06-30_19.52.41 ))))))))))))))))))))))))))))))))))))))))) . + 2009-02-06 16:52 . 2009-02-06 16:52 49504 c:\windows\system32\sirenacm.dll - 2009-02-06 17:52 . 2009-02-06 17:52 49504 c:\windows\system32\sirenacm.dll + 2001-09-07 03:00 . 2009-06-30 20:48 71564 c:\windows\system32\perfc009.dat - 2001-09-07 03:00 . 2009-05-11 11:57 71564 c:\windows\system32\perfc009.dat + 2009-06-28 14:59 . 2009-02-06 16:08 55152 c:\windows\system32\DRVSTORE\fssfltr_EF055C4397902A7196443A03732BB6F4104D1ADB\fssfltr_tdi.sys - 2009-06-28 14:59 . 2009-02-06 17:08 55152 c:\windows\system32\DRVSTORE\fssfltr_EF055C4397902A7196443A03732BB6F4104D1ADB\fssfltr_tdi.sys - 2009-03-23 15:13 . 2009-02-06 17:08 55152 c:\windows\system32\drivers\fssfltr_tdi.sys + 2009-03-23 15:13 . 2009-02-06 16:08 55152 c:\windows\system32\drivers\fssfltr_tdi.sys - 2009-06-28 14:56 . 2009-06-28 14:56 58945 c:\windows\Installer\{B38B1F86-8202-482F-A289-A4806DFA498D}\wlmail.exe + 2009-06-30 20:30 . 2009-06-30 20:30 58945 c:\windows\Installer\{B38B1F86-8202-482F-A289-A4806DFA498D}\wlmail.exe - 2009-06-28 14:55 . 2009-06-28 14:55 62304 c:\windows\Installer\{2A8F82E8-7B86-4AFD-BFBC-2BA4C2CF52DB}\IconWlc.exe + 2009-06-30 20:31 . 2009-06-30 20:31 62304 c:\windows\Installer\{2A8F82E8-7B86-4AFD-BFBC-2BA4C2CF52DB}\IconWlc.exe + 2009-06-30 20:32 . 2009-06-30 20:32 80395 c:\windows\Installer\{1A38EBE5-08BD-4E0D-AAB9-0DFECACE108B}\MsblIco.Exe - 2009-06-28 15:04 . 2009-06-28 15:04 80395 c:\windows\Installer\{1A38EBE5-08BD-4E0D-AAB9-0DFECACE108B}\MsblIco.Exe - 2007-11-07 00:19 . 2007-11-07 00:19 655872 c:\windows\WinSxS\x86_Microsoft.VC90.CRT_1fc8b3b9a1e18e3b_9.0.21022.8_x-ww_d08d0375\msvcr90.dll + 2007-11-06 23:19 . 2007-11-06 23:19 655872 c:\windows\WinSxS\x86_Microsoft.VC90.CRT_1fc8b3b9a1e18e3b_9.0.21022.8_x-ww_d08d0375\msvcr90.dll - 2007-11-07 00:19 . 2007-11-07 00:19 568832 c:\windows\WinSxS\x86_Microsoft.VC90.CRT_1fc8b3b9a1e18e3b_9.0.21022.8_x-ww_d08d0375\msvcp90.dll + 2007-11-06 23:19 . 2007-11-06 23:19 568832 c:\windows\WinSxS\x86_Microsoft.VC90.CRT_1fc8b3b9a1e18e3b_9.0.21022.8_x-ww_d08d0375\msvcp90.dll - 2007-11-06 19:23 . 2007-11-06 19:23 224768 c:\windows\WinSxS\x86_Microsoft.VC90.CRT_1fc8b3b9a1e18e3b_9.0.21022.8_x-ww_d08d0375\msvcm90.dll + 2007-11-06 18:23 . 2007-11-06 18:23 224768 c:\windows\WinSxS\x86_Microsoft.VC90.CRT_1fc8b3b9a1e18e3b_9.0.21022.8_x-ww_d08d0375\msvcm90.dll - 2006-12-01 21:54 . 2006-12-01 21:54 626688 c:\windows\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\msvcr80.dll + 2006-12-01 20:54 . 2006-12-01 20:54 626688 c:\windows\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\msvcr80.dll - 2006-12-01 21:54 . 2006-12-01 21:54 548864 c:\windows\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\msvcp80.dll + 2006-12-01 20:54 . 2006-12-01 20:54 548864 c:\windows\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\msvcp80.dll + 2006-12-01 20:54 . 2006-12-01 20:54 479232 c:\windows\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\msvcm80.dll - 2006-12-01 21:54 . 2006-12-01 21:54 479232 c:\windows\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\msvcm80.dll + 2005-09-22 20:48 . 2005-09-22 20:48 626688 c:\windows\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.42_x-ww_0de06acd\msvcr80.dll - 2005-09-22 21:48 . 2005-09-22 21:48 626688 c:\windows\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.42_x-ww_0de06acd\msvcr80.dll - 2005-09-22 21:48 . 2005-09-22 21:48 548864 c:\windows\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.42_x-ww_0de06acd\msvcp80.dll + 2005-09-22 20:48 . 2005-09-22 20:48 548864 c:\windows\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.42_x-ww_0de06acd\msvcp80.dll - 2005-09-22 21:48 . 2005-09-22 21:48 479232 c:\windows\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.42_x-ww_0de06acd\msvcm80.dll + 2005-09-22 20:48 . 2005-09-22 20:48 479232 c:\windows\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.42_x-ww_0de06acd\msvcm80.dll - 2001-09-07 03:00 . 2009-05-11 11:57 441498 c:\windows\system32\perfh009.dat + 2001-09-07 03:00 . 2009-06-30 20:48 441498 c:\windows\system32\perfh009.dat + 2009-03-22 18:55 . 2009-06-30 20:44 115768 c:\windows\system32\FNTCACHE.DAT + 2009-06-30 20:33 . 2009-06-30 20:33 132096 c:\windows\Installer\{DE9DF561-0332-42A5-AF28-4AF028B7029D}\WLXPhotoGalleryIcon.exe - 2009-06-28 14:58 . 2009-06-28 14:58 132096 c:\windows\Installer\{DE9DF561-0332-42A5-AF28-4AF028B7029D}\WLXPhotoGalleryIcon.exe + 2009-06-30 20:32 . 2009-06-30 20:32 236392 c:\windows\assembly\GAC_MSIL\System.Data.SqlServerCe\9.0.242.0__89845dcd8080cc91\System.Data.SqlServerCe.dll - 2009-03-23 15:11 . 2009-03-23 15:11 236392 c:\windows\assembly\GAC_MSIL\System.Data.SqlServerCe\9.0.242.0__89845dcd8080cc91\System.Data.SqlServerCe.dll . ((((((((((((((((((((((((((((((((((((( Reg Opstartpunten ))))))))))))))))))))))))))))))))))))))))))))))))))) . . *Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] "msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-02-06 3885408] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "fssui"="c:\program files\Windows Live\Family Safety\fsui.exe" [2009-02-06 454000] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\rbadma.sys] @="Driver" [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= "c:\\Program Files\\LimeWire\\LimeWire.exe"= "<NO NAME>"= \\??\\c:\\WINDOWS\\system32\\winlogon.exe "c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"= "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"= R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [23-3-2009 17:13 55152] R2 fsssvc;Windows Live Family Safety;c:\program files\Windows Live\Family Safety\fsssvc.exe [6-2-2009 18:08 533360] S0 kuopzuin;kuopzuin;c:\windows\system32\drivers\kuopzuin.sys --> c:\windows\system32\drivers\kuopzuin.sys [?] S1 rbadma;RAMDAC GPU Controller;c:\windows\system32\rbadma.sys --> c:\windows\system32\rbadma.sys [?] S2 ssxuq;ssxuq;c:\windows\system32\drivers\uziif.sys --> c:\windows\system32\drivers\uziif.sys [?] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs razliowv . . ------- Bijkomende Scan ------- . FF - ProfilePath - c:\documents and settings\Jelle\Application Data\Mozilla\Firefox\Profiles\frgbwsqq.default\ FF - prefs.js: browser.search.defaulturl - hxxp://search.live.com/results.aspx?FORM=IEFM1&q= FF - prefs.js: browser.search.selectedEngine - Live Search FF - prefs.js: browser.startup.homepage - hxxp://go.microsoft.com/fwlink/?LinkId=69157 FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?FORM=IEFM1&q= FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll FF - HiddenExtension: Java Console: No Registry Reference - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover Rootkit scan 2009-07-01 13:13 Windows 5.1.2600 Service Pack 3 NTFS scannen van verborgen processen ... scannen van verborgen autostart items ... scannen van verborgen bestanden ... Scan succesvol afgerond verborgen bestanden: 0 ************************************************************************** . --------------------- VERGRENDELDE REGISTER SLEUTELS --------------------- [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•9~*] "3140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL" . --------------------- DLLs Geladen Onder Lopende Processen --------------------- - - - - - - - > 'explorer.exe'(3952) c:\windows\system32\wpdshserviceobj.dll c:\windows\system32\webcheck.dll c:\windows\system32\portabledevicetypes.dll c:\windows\system32\portabledeviceapi.dll . Voltooingstijd: 2009-07-01 13:15 ComboFix-quarantined-files.txt 2009-07-01 11:15 ComboFix2.txt 2009-06-30 19:55 Pre-Run: 29.036.998.656 bytes beschikbaar Post-Run: 29.030.064.128 bytes beschikbaar 151 --- E O F --- 2009-06-10 15:59
-
Hier de log van malware. ziet er goed uit. ik dank u voor de hulp allemaal. en ik zal skr aangemeld blijven. Malwarebytes' Anti-Malware 1.38 Database versie: 2355 Windows 5.1.2600 Service Pack 3 30-6-2009 22:35:54 mbam-log-2009-06-30 (22-35-54).txt Scan type: Volledige Scan (A:\|C:\|D:\|E:\|) Objecten gescand: 105713 Verstreken tijd: 22 minute(s), 53 second(s) Geheugenprocessen geïnfecteerd: 0 Geheugenmodulen geïnfecteerd: 0 Registersleutels geïnfecteerd: 0 Registerwaarden geïnfecteerd: 0 Registerdata bestanden geïnfecteerd: 0 Mappen geïnfecteerd: 0 Bestanden geïnfecteerd: 3 Geheugenprocessen geïnfecteerd: (Geen kwaadaardige items gevonden) Geheugenmodulen geïnfecteerd: (Geen kwaadaardige items gevonden) Registersleutels geïnfecteerd: (Geen kwaadaardige items gevonden) Registerwaarden geïnfecteerd: (Geen kwaadaardige items gevonden) Registerdata bestanden geïnfecteerd: (Geen kwaadaardige items gevonden) Mappen geïnfecteerd: (Geen kwaadaardige items gevonden) Bestanden geïnfecteerd: c:\Qoobox\quarantine\C\WINDOWS\system32\hjgruicavcbrsj.dll.vir (Trojan.TDSS) -> Quarantined and deleted successfully. c:\system volume information\_restore{7d29c226-d366-429d-917d-d9c889cfd358}\RP0\A0000003.dll (Trojan.TDSS) -> Quarantined and deleted successfully. c:\WINDOWS\system32\drivers\kuopzuin.sys (Rootkit.Agent.Z) -> Quarantined and deleted successfully.
-
joepie het is gelukt. hier heb ik de log van combofix. deze zal wel meer duidelijkheid geven. nu malware er weer overheen halen met jackie of zo laten? ComboFix 09-06-29.07 - Jelle 30-06-2009 21:41.3 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1252.31.1043.18.503.334 [GMT 2:00] Gestart vanuit: c:\documents and settings\Jelle\Bureaublad\ComboFix.exe . (((((((((((((((((((((((((((((((((( Andere Verwijderingen ))))))))))))))))))))))))))))))))))))))))))))))))) . c:\documents and settings\Jelle\Application Data\02000000c27d55d5577C.manifest c:\documents and settings\Jelle\Application Data\02000000c27d55d5577O.manifest c:\documents and settings\Jelle\Application Data\02000000c27d55d5577P.manifest c:\documents and settings\Jelle\Application Data\02000000c27d55d5577S.manifest c:\documents and settings\Jelle\Favorieten\Videos.url C:\dxriag.exe c:\windows\system32\drivers\hjgruivtbkpduc.sys c:\windows\system32\drivers\jxiofjvk.sys c:\windows\system32\hjgruibqayrcpb.dll c:\windows\system32\hjgruicavcbrsj.dll c:\windows\system32\hjgruilylqpqhl.dat c:\windows\system32\hjgruinmowodvi.dat c:\windows\system32\vXF98.vbs . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Service_hjgruiqftpuwme -------\Service_hjgruiqftpuwme (((((((((((((((((((( Bestanden Gemaakt van 2009-05-28 to 2009-06-30 )))))))))))))))))))))))))))))) . 2009-06-30 19:09 . 2009-06-30 19:09 -------- d-----w- C:\32788R22FWJFW.0.tmp 2009-06-30 12:43 . 2009-06-30 12:43 3561743 ----a-w- c:\documents and settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe 2009-06-29 14:12 . 2009-06-29 14:12 -------- d-----w- c:\documents and settings\All Users\Application Data\WLInstaller 2009-06-27 12:46 . 2009-06-27 12:46 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache 2009-06-10 15:07 . 2009-05-07 15:34 347136 -c----w- c:\windows\system32\dllcache\localspl.dll 2009-06-10 15:07 . 2009-04-15 14:55 585216 -c----w- c:\windows\system32\dllcache\rpcrt4.dll 2009-06-10 15:07 . 2009-04-30 21:18 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll 2009-06-10 15:07 . 2009-04-30 21:17 246272 -c----w- c:\windows\system32\dllcache\ieproxy.dll 2009-06-07 11:28 . 2009-06-07 11:28 152576 ----a-w- c:\documents and settings\Jelle\Application Data\Sun\Java\jre1.6.0_13\lzma.dll . ((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-06-30 12:44 . 2009-05-23 10:24 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware 2009-06-29 15:12 . 2009-03-23 15:09 -------- d-----w- c:\program files\Windows Live 2009-06-29 10:32 . 2009-03-22 19:11 -------- d--h--w- c:\program files\InstallShield Installation Information 2009-06-28 15:00 . 2009-03-23 15:10 -------- d-----w- c:\program files\Microsoft 2009-06-23 12:25 . 2009-03-23 15:50 -------- d-----w- c:\documents and settings\Jelle\Application Data\LimeWire 2009-06-17 09:27 . 2009-05-23 10:24 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2009-06-17 09:27 . 2009-05-23 10:25 19096 ----a-w- c:\windows\system32\drivers\mbam.sys 2009-05-23 10:45 . 2009-05-21 19:32 -------- d-----w- c:\documents and settings\All Users\Application Data\16105464 2009-05-23 10:25 . 2009-05-23 10:25 -------- d-----w- c:\documents and settings\Jelle\Application Data\Malwarebytes 2009-05-23 10:24 . 2009-05-23 10:24 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes 2009-05-23 10:19 . 2009-05-23 10:19 -------- d-----w- c:\program files\Trend Micro 2009-05-23 10:03 . 2009-05-23 10:03 -------- d-----w- c:\documents and settings\Jelle\Application Data\rrwvxers 2009-05-21 20:33 . 2009-05-21 20:24 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy 2009-05-21 20:33 . 2009-05-21 19:49 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP 2009-05-21 20:25 . 2009-05-21 20:24 -------- d-----w- c:\program files\Spybot - Search & Destroy 2009-05-18 17:50 . 2009-05-18 17:50 -------- d-----w- c:\documents and settings\NetworkService\Application Data\rrwvxers 2009-05-13 05:06 . 2007-12-07 01:00 915456 ----a-w- c:\windows\system32\wininet.dll 2009-05-11 11:57 . 2001-09-07 03:00 91410 ----a-w- c:\windows\system32\perfc013.dat 2009-05-11 11:57 . 2001-09-07 03:00 509446 ----a-w- c:\windows\system32\perfh013.dat 2009-05-07 15:34 . 2004-08-03 12:03 347136 ----a-w- c:\windows\system32\localspl.dll 2009-04-19 19:51 . 2007-08-28 10:26 1847296 ----a-w- c:\windows\system32\win32k.sys 2009-04-19 17:08 . 2009-03-22 21:12 18824 ----a-w- c:\documents and settings\Jelle\Local Settings\Application Data\GDIPFONTCACHEV1.DAT 2009-04-15 14:55 . 2007-07-09 12:20 585216 ----a-w- c:\windows\system32\rpcrt4.dll . ((((((((((((((((((((((((((((((((((((( Reg Opstartpunten ))))))))))))))))))))))))))))))))))))))))))))))))))) . . *Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\rbadma.sys] @="Driver" [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= "c:\\Program Files\\LimeWire\\LimeWire.exe"= "<NO NAME>"= \\??\\c:\\WINDOWS\\system32\\winlogon.exe R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [23-3-2009 17:13 55152] S?2 fsssvc;Windows Live Family Safety;c:\program files\Windows Live\Family Safety\fsssvc.exe [6-2-2009 19:08 533360] S0 kuopzuin;kuopzuin;c:\windows\system32\drivers\kuopzuin.sys [7-9-2001 5:00 23424] S1 rbadma;RAMDAC GPU Controller;c:\windows\system32\rbadma.sys --> c:\windows\system32\rbadma.sys [?] S2 ssxuq;ssxuq;c:\windows\system32\drivers\uziif.sys --> c:\windows\system32\drivers\uziif.sys [?] S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [23-5-2009 12:24 38160] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs razliowv . . ------- Bijkomende Scan ------- . FF - ProfilePath - c:\documents and settings\Jelle\Application Data\Mozilla\Firefox\Profiles\frgbwsqq.default\ FF - prefs.js: browser.search.defaulturl - hxxp://search.live.com/results.aspx?FORM=IEFM1&q= FF - prefs.js: browser.search.selectedEngine - Live Search FF - prefs.js: browser.startup.homepage - hxxp://go.microsoft.com/fwlink/?LinkId=69157 FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?FORM=IEFM1&q= FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll FF - HiddenExtension: Java Console: No Registry Reference - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover Rootkit scan 2009-06-30 21:52 Windows 5.1.2600 Service Pack 3 NTFS scannen van verborgen processen ... scannen van verborgen autostart items ... scannen van verborgen bestanden ... Scan succesvol afgerond verborgen bestanden: 0 ************************************************************************** . --------------------- VERGRENDELDE REGISTER SLEUTELS --------------------- [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•9~*] "3140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL" . --------------------- DLLs Geladen Onder Lopende Processen --------------------- - - - - - - - > 'explorer.exe'(864) c:\windows\system32\wpdshserviceobj.dll c:\windows\system32\webcheck.dll c:\windows\system32\portabledevicetypes.dll c:\windows\system32\portabledeviceapi.dll . ------------------------ Andere Aktieve Processen ------------------------ . c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe c:\windows\system32\msiexec.exe c:\windows\system32\msiexec.exe c:\windows\system32\wscntfy.exe . ************************************************************************** . Voltooingstijd: 2009-06-30 21:55 - machine werd herstart ComboFix-quarantined-files.txt 2009-06-30 19:55 Pre-Run: 29.282.684.928 bytes beschikbaar Post-Run: 29.225.504.768 bytes beschikbaar 131 --- E O F --- 2009-06-10 15:59 ---------- Post added at 20:10 ---------- Previous post was at 19:59 ---------- Hijack heb ik er ff overheen gehaald na combofix. dit is de log die eruit komt. ik gebruik echter geen explorer maar firefox. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:09:31, on 30-6-2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Windows Live\Family Safety\fsssvc.exe C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\msiexec.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\notepad.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\MsiExec.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe -- End of file - 1305 bytes ---------- Post added at 20:11 ---------- Previous post was at 20:10 ---------- deze keer verwijderde hijack ze wel. ik haal nu malware er ook een keer overheen. laat zo de log komen.
-
combofix werkt niet. hij wordt niet geblokkeerd door programma's maar start gwn niet op. aaarrggghhh *zucht. dus kan hem wel downloaden naar bureaublad maar hij doet voor de rest niks. wat nu? gr,j
-
het spijt me maar ze zijn niet verwijderd. hetzelfde virus wordt nog steeds gevonden. er zijn nu zelfs alleen nog maar meer bestanden geinfecteerd. is het niet verstandig om gwn een "goede vriend" m'n pc volledig schoon te laten vegen en dan maar gwn opnieuw te beginnen? ik woon namelijk vlakbij een medewerker van jullie. want ik kan blijven scannen en verwijderen. maar het lijkt maar geen effect te hebben. Nu heeft malware zelfs de shit van unkown sofware te verduren. het wordt steeds grappiger uhm uhm. of heeft iemand een goede tip voor een free verwijderingsprogramms? gr, j ---------- Post added at 14:12 ---------- Previous post was at 14:08 ---------- Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:11, on 2009-06-30 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe C:\WINDOWS\system32\msiexec.exe C:\WINDOWS\system32\wscntfy.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe O2 - BHO: (no name) - {14C97CF3-18E5-4AA6-9AC8-601184906220} - c:\windows\system32\wmwipoa.dll O20 - Winlogon Notify: rbadmm - C:\WINDOWS\SYSTEM32\rbadmm.dll O20 - Winlogon Notify: ziidgkqp - C:\WINDOWS\SYSTEM32\wmwipoa.dll -- End of file - 1019 bytes Malware vind constant meer infecties. nu al 11 infecties.
-
Malwarebytes kan ze gwn niet verwijderen. hij vraagt om comp opnieuw op te starten en dan zouden ze tijdens het opstarten verwijderd moeten worden :S. maar dat doet ie dus ook niet.:S Malwarebytes' Anti-Malware 1.38 Database versie: 2355 Windows 5.1.2600 Service Pack 3 2009-06-30 15:06:04 mbam-log-2009-06-30 (15-06-04).txt Scan type: Volledige Scan (A:\|C:\|D:\|E:\|F:\|G:\|) Objecten gescand: 106674 Verstreken tijd: 18 minute(s), 43 second(s) Geheugenprocessen geïnfecteerd: 0 Geheugenmodulen geïnfecteerd: 0 Registersleutels geïnfecteerd: 3 Registerwaarden geïnfecteerd: 0 Registerdata bestanden geïnfecteerd: 0 Mappen geïnfecteerd: 0 Bestanden geïnfecteerd: 2 Geheugenprocessen geïnfecteerd: (Geen kwaadaardige items gevonden) Geheugenmodulen geïnfecteerd: (Geen kwaadaardige items gevonden) Registersleutels geïnfecteerd: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{14c97cf3-18e5-4aa6-9ac8-601184906220} (Trojan.Vundo.H) -> Delete on reboot. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ziidgkqp (Trojan.Vundo.H) -> Delete on reboot. HKEY_CLASSES_ROOT\CLSID\{14c97cf3-18e5-4aa6-9ac8-601184906220} (Trojan.Vundo.H) -> Delete on reboot. Registerwaarden geïnfecteerd: (Geen kwaadaardige items gevonden) Registerdata bestanden geïnfecteerd: (Geen kwaadaardige items gevonden) Mappen geïnfecteerd: (Geen kwaadaardige items gevonden) Bestanden geïnfecteerd: c:\WINDOWS\system32\wmwipoa.dll (Trojan.Vundo.H) -> Delete on reboot. C:\WINDOWS\dllcache.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
-
nou heb de programma's laten draaien. 1 van de 3 problemen is opgelost. de javaquickstarter is iig weer veilig. hier de logs van de Hijack en de Malwarebytes. Hijack: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:24, on 2009-06-29 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\wscntfy.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe C:\WINDOWS\system32\NOTEPAD.EXE O2 - BHO: (no name) - {14C97CF3-18E5-4AA6-9AC8-601184906220} - c:\windows\system32\wmwipoa.dll O20 - Winlogon Notify: ziidgkqp - C:\WINDOWS\SYSTEM32\wmwipoa.dll -- End of file - 955 bytes Malwarebytes: Malwarebytes' Anti-Malware 1.36 Database versie: 2169 Windows 5.1.2600 Service Pack 3 2009-06-29 15:41:27 mbam1 Scan type: Volledige Scan (A:\|C:\|D:\|E:\|F:\|G:\|) Objecten gescand: 100840 Verstreken tijd: 18 minute(s), 10 second(s) Geheugenprocessen geïnfecteerd: 0 Geheugenmodulen geïnfecteerd: 0 Registersleutels geïnfecteerd: 3 Registerwaarden geïnfecteerd: 0 Registerdata bestanden geïnfecteerd: 0 Mappen geïnfecteerd: 0 Bestanden geïnfecteerd: 1 Geheugenprocessen geïnfecteerd: (Geen kwaadaardige items gevonden) Geheugenmodulen geïnfecteerd: (Geen kwaadaardige items gevonden) Registersleutels geïnfecteerd: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{14c97cf3-18e5-4aa6-9ac8-601184906220} (Trojan.Vundo.H) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ziidgkqp (Trojan.Vundo.H) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{14c97cf3-18e5-4aa6-9ac8-601184906220} (Trojan.Vundo.H) -> No action taken. Registerwaarden geïnfecteerd: (Geen kwaadaardige items gevonden) Registerdata bestanden geïnfecteerd: (Geen kwaadaardige items gevonden) Mappen geïnfecteerd: (Geen kwaadaardige items gevonden) Bestanden geïnfecteerd: c:\WINDOWS\system32\wmwipoa.dll (Trojan.Vundo.H) -> No action taken. zie niet veel verchil. maar misschien dat julli eer wel wat mee kunnen.
-
ja ben er zeker van. alles wat verscheen in het log heb ik gwn volledig geselecteert, gekopieerd en vervolgens geplakt. kan dus niks ontbreken lijkt me. al mijn logs van hijack zijn zo kort. gr, j
-
Hey people, ik heb een probleempje. Kreeg ooit ineens een msn gesprek geopend met een link. heb de link maar niet aangeraakt in verband met het hoge risico gehalte van virussen die daar inzitten. schijnbaar was dat dit keer niet nodig ook want het virus is toch binnengekomen. nu is het wanneer ik live messenger opstart en een gesprek binnenkrijg dat het misschien 30sec goed gaat en dan tript m'n pc. opeens worden er allerlei gesprek vensters geopend en gesloten naar alle online contactpersonen. Ben er al met Malwarebytes-Anti Malware overheen gegaan. deze zegt dat de gevonden resultaten altijd trojans zijn en dat ie deze verwijderd heeft. tijdens de controle scan die ik daarna altijd doe blijkt dat HET virus dat het allemaal veroorzaakt nog steeds niet weg is. Heb er ook Hijack overheen gehaald. deze geeft aan telkens 3 locaties te hebben waar het virus inzit. het virus dat de problemen veroorzaakt is hetzelfde virus als dat malwarebytes telkens vindt. maar ook Hijack kan helaas niks verwijderen zonder dat het terugkomt. de bestanden die geinfecteert zijn kan ik helaas ook niet verwijderen ( had even ijdele hoop dat dat misschien de simpelste oplossing zou zijn maarja zoals gezegd het was ijdele hoop). ben er ook met spybot anti spyware overheen gegaan maar dat had helaas ook geen effect. deze heeft het wel telkens over een "Virtumonde". als u hier wat mee kan. Dus ik hoop dat iemand hier me kan helpen om dit virus eruit te halen. Ik heb hier een Hijack log. voor als iemand hier wat aan heeft. De BHO 02 en dan de cijfers is het grote probleem. alvast bedankt voor de hulp. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:54, on 2009-06-29 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\WgaTray.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe C:\Program Files\Windows Live\Family Safety\fsssvc.exe C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\system32\wuauclt.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe O2 - BHO: (no name) - {14C97CF3-18E5-4AA6-9AC8-601184906220} - c:\windows\system32\wmwipoa.dll O20 - Winlogon Notify: ziidgkqp - C:\WINDOWS\SYSTEM32\wmwipoa.dll O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Program Files\Java\jre6\bin\jqs.exe (file missing) -- End of file - 1183 bytes
