reageerd niet

[Rianne1985]

ComboFix 10-05-26.03 - Rianne 27-05-2010 19:49:59.3.2 - x86

Microsoft Windows XP Home Edition 5.1.2600.3.1252.31.1043.18.1014.728 [GMT 2:00]

Gestart vanuit: c:\documents and settings\Rianne\Mijn documenten\ComboFix.exe

AV: AVG Anti-Virus *On-access scanning enabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}

.

(((((((((((((((((((((((((((((((((( Andere Verwijderingen )))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\documents and settings\All Users\Documenten\Settings

c:\windows\system32\drivers\gzanlmfe.sys

c:\windows\system32\drivers\nugdjusd.sys

c:\windows\system32\gufpfpm.dll

c:\windows\system32\uusasdf.dll

Besmet exemplaar van c:\windows\system32\drivers\rasacd.sys werd aangetroffen en gedesinfecteerd

Hersteld exemplaar van - Kitty had a snack

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Legacy_GYHLLVCT

-------\Legacy_GZANLMFE

-------\Service_gyhllvct

-------\Service_gzanlmfe

(((((((((((((((((((( Bestanden Gemaakt van 2010-04-27 to 2010-05-27 ))))))))))))))))))))))))))))))

.

2010-05-27 10:45 . 2010-05-27 13:15 -------- d--h--r- c:\documents and settings\Rianne\Onlangs geopend

2010-05-04 14:49 . 2010-05-04 14:49 -------- d-----w- c:\program files\AC3Filter

2010-05-04 14:39 . 2010-05-04 14:39 57344 ----a-w- c:\documents and settings\All Users\Application Data\DivX\RunAsUser\RUNASUSERPROCESS.dll

2010-05-04 14:39 . 2010-05-04 14:37 754984 ----a-w- c:\documents and settings\All Users\Application Data\DivX\Setup\Resource.dll

.

((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-05-27 18:03 . 2004-08-04 10:00 87500 ----a-w- c:\windows\system32\perfc013.dat

2010-05-27 18:03 . 2004-08-04 10:00 502420 ----a-w- c:\windows\system32\perfh013.dat

2010-05-27 13:24 . 2010-03-23 21:14 -------- d-----w- c:\documents and settings\Rianne\Application Data\HPAppData

2010-05-27 13:22 . 2004-08-04 10:00 8832 ----a-w- c:\windows\system32\drivers\rasacd.sys

2010-05-27 13:11 . 2010-04-11 14:42 -------- d-----w- c:\documents and settings\All Users\Application Data\avg9

2010-05-27 13:11 . 2010-04-11 14:46 -------- d-----w- c:\documents and settings\All Users\Application Data\AVG Security Toolbar

2010-05-26 21:08 . 2010-04-11 13:29 -------- d-----w- c:\windows\system32\config\systemprofile\Application Data\HPAppData

2010-05-22 09:58 . 2010-02-24 10:26 -------- d-----w- c:\documents and settings\Rianne\Application Data\BitTorrent

2010-05-20 07:29 . 2010-03-18 09:22 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help

2010-05-04 14:39 . 2010-02-25 08:30 -------- d-----w- c:\program files\DivX

2010-05-04 14:39 . 2010-02-25 08:30 -------- d-----w- c:\program files\Common Files\DivX Shared

2010-04-28 08:31 . 2010-03-23 20:52 -------- d-----w- c:\program files\HP

2010-04-22 07:28 . 2010-04-22 07:28 -------- d-----w- c:\program files\CCleaner

2010-04-14 10:54 . 2010-04-14 10:54 -------- d-----w- c:\documents and settings\All Users\Application Data\TEMP

2010-04-13 17:35 . 2010-04-13 17:35 -------- d-----w- c:\documents and settings\Rianne\Application Data\AVG9

2010-03-23 21:01 . 2010-03-23 20:51 203842 ----a-w- c:\windows\hpwins23.dat

2010-03-23 20:32 . 2010-03-23 20:32 8854 ----a-r- c:\documents and settings\Rianne\Application Data\Microsoft\Installer\{B917B014-00BA-4732-8A1A-9FD367109FD7}\UNINST_Uninstall_RDX_7399E6EDD42F4FE8AE724A0CEEDE36D3.exe

2010-03-23 20:32 . 2010-03-23 20:32 65536 ----a-r- c:\documents and settings\Rianne\Application Data\Microsoft\Installer\{B917B014-00BA-4732-8A1A-9FD367109FD7}\RDXutility.exe_B917B01400BA47328A1A9FD367109FD7.exe

2010-03-23 20:32 . 2010-03-23 20:32 25670 ----a-r- c:\documents and settings\Rianne\Application Data\Microsoft\Installer\{B917B014-00BA-4732-8A1A-9FD367109FD7}\ARPPRODUCTICON.exe

2010-03-23 20:26 . 2010-02-19 21:12 69232 ----a-w- c:\documents and settings\Rianne\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2010-03-10 07:26 . 2010-03-10 07:26 161632 ----a-w- c:\documents and settings\Rianne\Application Data\Juniper Networks\Setup Client\x86_Microsoft.VC80.CRTP_8.0.50727.762.exe

2010-03-10 07:26 . 2010-03-10 07:26 36939 ----a-w- c:\documents and settings\Rianne\Application Data\Juniper Networks\setup\uninstall.exe

2010-03-10 06:17 . 2004-08-04 10:00 420352 ----a-w- c:\windows\system32\vbscript.dll

2010-03-08 17:59 . 2010-03-08 17:59 94208 ----a-w- c:\windows\system32\dpl100.dll

.

<pre>
c:\program files\Adobe\Reader 9.0\Reader\Reader_sl .exe
c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM .exe
c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier .exe
c:\program files\HP\HP Software Update\HPWuSchd2 .exe
c:\program files\Microsoft Office\Office12\GrooveMonitor .exe
c:\program files\QuickTime\qttask   .exe
c:\program files\Synaptics\SynTP\SynTPEnh .exe
</pre>

((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"QuickTime Task"="c:\program files\QuickTime\qttask .exe -atboottime" [X]

"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-12-13 98304]

"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-12-13 77824]

"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-12-13 118784]

"SigmatelSysTrayApp"="stsystra.exe" [2006-03-24 282624]

"Broadcom Wireless Manager UI"="c:\windows\system32\WLTRAY.exe" [2007-10-09 2183168]

"DivXUpdate"="c:\program files\DivX\DivX Update\DivXUpdate.exe" [2010-04-12 1135912]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\BitTorrent\\BitTorrent.exe"=

"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=

"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015

"1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016

"500:UDP"= 500:UDP:@xpsp2res.dll,-22017

R2 RDXmon;RDXmon 1.35;c:\program files\RD1000\Service\RDXmon.exe [10-3-2009 16:00 77824]

S2 gupdate;Google Updateservice (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [22-2-2010 12:10 135664]

S3 AVG Security Toolbar Service;AVG Security Toolbar Service;c:\program files\AVG\AVG9\Toolbar\ToolbarBroker.exe --> c:\program files\AVG\AVG9\Toolbar\ToolbarBroker.exe [?]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12

HPService REG_MULTI_SZ HPSLPSVC

hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

.

Inhoud van de 'Gedeelde Taken' map

2010-05-27 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-22 10:10]

2010-05-27 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-22 10:10]

.

.

------- Bijkomende Scan -------

.

uStart Page = hxxp://www.msn.nl/

uSearchAssistant = hxxp://www.google.com/ie

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: E&xporteren naar Microsoft Excel - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000

IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html

Handler: avgsecuritytoolbar - {F2DDE6B2-9684-4A55-86D4-E255E237B77C} -

DPF: {F27237D7-93C8-44C2-AC6E-D6057B9A918F} - hxxps://postfd.afis.nl/dana-cached/sc/JuniperSetupClient.cab

.

- - - - ORPHANS VERWIJDERD - - - -

ShellIconOverlayIdentifiers-{BC499D2F-B6C1-471D-A83C-4AAF5B82AFFF} - (no file)

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2010-05-27 20:01

Windows 5.1.2600 Service Pack 3 NTFS

scannen van verborgen processen ...

scannen van verborgen autostart items ...

scannen van verborgen bestanden ...

Scan succesvol afgerond

verborgen bestanden: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, GMER - Rootkit Detector and Remover

device: opened successfully

user: MBR read successfully

called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x85E54AC8]<<

kernel: MBR read successfully

detected MBR rootkit hooks:

\Driver\Disk -> CLASSPNP.SYS @ 0xf7631f28

\Driver\ACPI -> ACPI.sys @ 0xf7493cb8

\Driver\atapi -> atapi.sys @ 0xf744b852

IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8

ParseProcedure -> ntkrnlpa.exe @ 0x805827e8

\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8

ParseProcedure -> ntkrnlpa.exe @ 0x805827e8

NDIS: Broadcom 440x 10/100 Integrated Controller -> SendCompleteHandler -> NDIS.sys @ 0xf733fbb0

PacketIndicateHandler -> NDIS.sys @ 0xf732ea0d

SendHandler -> NDIS.sys @ 0xf7342b40

user & kernel MBR OK

**************************************************************************

.

--------------------- VERGRENDELDE REGISTER SLEUTELS ---------------------

[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]

@Denied: (2) (LocalSystem)

"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,

d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,c7,5d,68,42,fe,20,00,41,a6,3f,31,\

"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,

d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,c7,5d,68,42,fe,20,00,41,a6,3f,31,\

.

--------------------- DLLs Geladen Onder Lopende Processen ---------------------

- - - - - - - > 'winlogon.exe'(888)

c:\windows\System32\BCMLogon.dll

- - - - - - - > 'explorer.exe'(3148)

c:\windows\system32\webcheck.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Andere Aktieve Processen ------------------------

.

c:\windows\System32\WLTRYSVC.EXE

c:\windows\System32\bcmwltry.exe

c:\program files\Juniper Networks\Common Files\dsNcService.exe

c:\windows\stsystra.exe

c:\windows\system32\igfxsrvc.exe

c:\program files\HP\Digital Imaging\bin\hpqtra08.exe

c:\program files\HP\Digital Imaging\bin\hpqSTE08.exe

c:\program files\HP\Digital Imaging\bin\hpqbam08.exe

c:\program files\HP\Digital Imaging\bin\hpqgpc01.exe

.

**************************************************************************

.

Voltooingstijd: 2010-05-27 20:06:27 - machine werd herstart

ComboFix-quarantined-files.txt 2010-05-27 18:06

ComboFix2.txt 2010-04-14 10:46

Pre-Run: 259.889.627.136 bytes beschikbaar

Post-Run: 259.911.815.168 bytes beschikbaar

- - End Of File - - 4131510CB551482813DB1736CE868C6E

[kape]

Open een kladblokbestand.

Kopieer en plak daarin de onderstaande vetgedrukte tekst.

File::

c:\windows\system32\drivers\rasacd.sys

Driver::

rasacd.sys

RenV::

c:\program files\Adobe\Reader 9.0\Reader\Reader_sl .exe

c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM .exe

c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier .exe

c:\program files\HP\HP Software Update\HPWuSchd2 .exe

c:\program files\Microsoft Office\Office12\GrooveMonitor .exe

c:\program files\QuickTime\qttask .exe

c:\program files\Synaptics\SynTP\SynTPEnh .exe

Sla dit bestand op je bureaublad op als CFScript.txt.

Sleep CFScript.txt in ComboFix.exe

Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt.

Post na herstart de inhoud van de Combofix.txt in je volgende bericht samen met een nieuw logje van HijackThis.

[Rianne1985]

Hallo,

Nou werkt mijn internet ook al niet meer.

ik kan wel met mijn andere pc op internet. beide zijn draadloos. Hij kan geen ip verkrijgen....

Wil inmiddels de pc al uit het raam gooien....

kan iemand mij hierbij helpen? of is dit het gevolg van het virus?

[Riban]

Rianne

vooral je pc niet uit het raam gooien met het nodige geduld en de nodige hulp komt je probleem wel inorde.

Even geduld op de reactie van Kape

succes nog

[kape]

Heb je de opdracht van bericht 12 uitgevoerd ? En zo ja, mogen we dan de resultaten eens zien.

[Rianne1985]

nee dit ging al niet meer. geen verbinding met internet

ben bang dat als ik nu iets via de enne pc naar de andere overzet ik het virus overbreng

[kape]

nee dit ging al niet meer. geen verbinding met internet ben bang dat als ik nu iets via de enne pc naar de andere overzet ik het virus overbreng

Om dat uit te voeren heb je geen internetverbinding nodig. Combofix staat nog op je PC ... en via kladblok kan je deze opdracht starten. Het resultaat kan je via stick en andere PC overbrengen, vermits het hier enkel om een log gaat van Combofix (en geen andere programma's of besmette bestanden).

[Rianne1985]

combofix stond erop maar heeft zichzelf verwijderd.....

[kape]

combofix stond erop maar heeft zichzelf verwijderd.....

Erg vreemd ...

Maar laten we het dan anders aanpakken. Download Combofix via de correct werkende PC, zet het op een USB-stick ... en probeer zo de opdracht uit bericht 12 uit te voeren op de besmette PC.