System Progressive Protection virus

[kape]

Die zit in je herstelpunten. Die halen we zo weg.

Verwijder Combofix: Start -> Uitvoeren/Zoekopdracht/Programma’s en bestanden zoeken en typ daar: ComboFix /Uninstall (met spatie voor de /).

Dit zal Combofix verwijderen + gerelateerde mappen en bestanden, herstelt de klokinstellingen opnieuw, verbergt de bestandsextensies, gaat verborgen bestanden en systeembestanden terug verbergen en maakt een nieuw herstelpunt.

Indien aanwezig mag je de map C:\Qoobox manueel verwijderen.

Download CCleaner.

Klik op “Download Latest Version” en dan start de download van CCleaner automatisch en gratis op.

Installeer het en start CCleaner op. Klik in de linkse kolom op “Cleaner”. Klik achtereenvolgens op ‘Analyseren’ en 'Schoonmaken'. Soms is 1 analyse niet voldoende. Deze procedure mag je herhalen tot de analyse geen fouten meer aangeeft. Klik vervolgens in de linkse kolom op “Register” en klik op ‘Scan naar problemen”. Als er fouten gevonden worden klik je op ”Herstel geselecteerde problemen” en ”OK”. Dan krijg je de vraag om een back-up te maken. Klik op “JA”. Kies dan “Herstel alle geselecteerde fouten”. Sluit hierna CCleaner terug af.

Wil je dit uitgebreid in beeld bekijken, klik dan hier voor de handleiding.

Het is aangewezen om de bestaande herstelpunten te verwijderen (daar zitten besmette herstelpunten tussen die je eventueel zou kunnen terugzetten). In XP doe je dit via Start -> Configuratiescherm -> Systeem -> Systeemherstel -> "Systeemherstel op alle stations uitschakelen" aanvinken. Toepassen en OK. PC herstarten en het vinkje terug weg halen.

En dan Hitman Pro opnieuw laten scannen.

[Exif]

C:\Documents and Settings\Gilles\Mijn documenten\Downloads\6AS0 4h Noël Claudie

[kape]

Open een kladblokbestand.

Kopieer en plak daarin de onderstaande vetgedrukte tekst.

Folder::

C:\Documents and Settings\Gilles\Mijn documenten\Downloads\6AS0 4h Noël Claudie

Sla dit bestand op je bureaublad op als CFScript.

Sleep CFScript.txt in de rode snelkoppeling van ComboFix.exe

Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt.

Wil je dit uitgebreid in beeld bekijken, klik dan hier voor de handleiding.

Post na herstart de inhoud van de Combofix.txt in je volgende bericht

[Exif]

Dat ene bestand heeft hij niet kunnen verwijderen. Op zich niet zo erg, het stoort niet echt maar het is wel netjes als het weg is. Wel vreemd dat hij dat bij die twee andere dan wel kon. Hier is het logje.

ComboFix 13-01-15.02 - Gilles 15/01/2013 11:18:06.2.2 - x86

Microsoft Windows XP Professional 5.1.2600.3.1252.31.1043.18.3327.2403 [GMT 1:00]

Gestart vanuit: c:\documents and settings\Gilles\Bureaublad\ComboFix.exe

gebruikte Opdracht switches :: c:\documents and settings\Gilles\Bureaublad\CFScript.txt

.

.

(((((((((((((((((((((((((((((((((( Andere Verwijderingen )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\windows\system32\SET162.tmp

.

.

(((((((((((((((((((( Bestanden Gemaakt van 2012-12-15 to 2013-01-15 ))))))))))))))))))))))))))))))

.

.

2013-01-15 10:03 . 2013-01-15 10:03 -------- d-----w- c:\windows\LastGood

2013-01-13 14:42 . 2013-01-13 14:42 388096 ----a-r- c:\documents and settings\Gilles\Application Data\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe

2013-01-13 14:42 . 2013-01-13 14:42 -------- d-----w- c:\program files\Trend Micro

2013-01-13 13:21 . 2013-01-13 13:35 -------- d-----w- c:\documents and settings\All Users\Application Data\HitmanPro

2013-01-13 11:46 . 2013-01-13 11:47 -------- d-----w- c:\documents and settings\All Users\Application Data\B89CDD279E07EFFB0000B89C2490F577

2013-01-10 20:19 . 2013-01-10 09:33 51144 ----a-w- c:\windows\system32\drivers\Soluto.sys

2013-01-10 20:19 . 2013-01-10 20:19 -------- d-----w- c:\program files\Soluto

2013-01-04 11:01 . 2013-01-04 11:01 -------- d-----w- c:\program files\Common Files\DVDVideoSoft

2013-01-04 11:01 . 2013-01-04 11:01 -------- d-----w- c:\program files\DVDVideoSoft

2013-01-04 00:12 . 2013-01-04 00:12 710504 ----a-w- c:\windows\is-LKOT0.exe

2012-12-30 15:53 . 2013-01-15 09:09 -------- d--h--r- c:\documents and settings\Gilles\Onlangs geopend

2012-12-18 14:28 . 2012-12-18 14:28 186584 ----a-w- c:\program files\Internet Explorer\PLUGINS\nppdf32.dll

.

.

.

((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-12-16 12:23 . 2004-08-04 12:00 290560 ----a-w- c:\windows\system32\atmfd.dll

2012-12-14 15:49 . 2008-11-16 19:46 21104 ----a-w- c:\windows\system32\drivers\mbam.sys

2012-12-13 12:05 . 2012-07-18 12:20 697272 ----a-w- c:\windows\system32\FlashPlayerApp.exe

2012-12-13 12:05 . 2012-07-18 12:20 73656 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl

2012-11-13 11:55 . 2004-08-04 12:00 1866496 ------w- c:\windows\system32\win32k.sys

2012-11-06 02:00 . 2008-04-14 17:02 1371648 ------w- c:\windows\system32\msxml6.dll

2012-11-05 23:15 . 2012-11-05 23:15 90112 ----a-w- c:\windows\system32\regdacl.exe

2012-11-05 23:15 . 2012-11-05 23:15 4096 ----a-w- c:\windows\system32\reboot.exe

2012-11-02 02:03 . 2004-08-04 12:00 375296 ------w- c:\windows\system32\dpnet.dll

2012-11-01 12:12 . 2004-08-04 12:00 916992 ----a-w- c:\windows\system32\wininet.dll

2012-11-01 12:12 . 2004-08-04 12:00 43520 ------w- c:\windows\system32\licmgr10.dll

2012-11-01 12:12 . 2004-08-04 12:00 1469440 ------w- c:\windows\system32\inetcpl.cpl

2012-11-01 00:35 . 2004-08-04 12:00 385024 ------w- c:\windows\system32\html.iec

2009-09-12 22:05 . 2013-01-10 22:02 124240 ----a-w- c:\program files\mozilla firefox\plugins\CCMSDK.dll

2009-09-12 22:06 . 2013-01-10 22:02 13136 ----a-w- c:\program files\mozilla firefox\plugins\cgpcfg.dll

2009-09-12 22:06 . 2013-01-10 22:02 70488 ----a-w- c:\program files\mozilla firefox\plugins\CgpCore.dll

2009-09-12 22:06 . 2013-01-10 22:02 91480 ----a-w- c:\program files\mozilla firefox\plugins\confmgr.dll

2009-09-12 22:06 . 2013-01-10 22:02 22360 ----a-w- c:\program files\mozilla firefox\plugins\ctxlogging.dll

2009-09-12 22:07 . 2013-01-10 22:02 255312 ----a-w- c:\program files\mozilla firefox\plugins\ctxmui.dll

2009-09-12 22:06 . 2013-01-10 22:02 31064 ----a-w- c:\program files\mozilla firefox\plugins\icafile.dll

2009-09-12 22:06 . 2013-01-10 22:02 40280 ----a-w- c:\program files\mozilla firefox\plugins\icalogon.dll

2009-08-14 12:33 . 2013-01-10 22:02 652640 ----a-w- c:\program files\mozilla firefox\plugins\sslsdk_b.dll

2009-09-12 22:06 . 2013-01-10 22:02 23896 ----a-w- c:\program files\mozilla firefox\plugins\TcpPServ.dll

2013-01-10 22:02 . 2013-01-10 22:02 262704 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll

.

.

((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"feedreader.exe"="c:\program files\FeedReader30\feedreader.exe" [2007-11-01 1201664]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 76304]

"{0228e555-4f9c-4e35-a3ec-b109a192b4c2}"="c:\program files\Google\Gmail Notifier\gnotify.exe" [2005-07-15 479232]

"Share-to-Web Namespace Daemon"="c:\program files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" [2002-04-11 69632]

"ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2005-02-16 81920]

"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 76304]

"RTHDCPL"="RTHDCPL.EXE" [2007-03-21 16126464]

"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2009-02-26 30040]

"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-12-03 946352]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-07-19 421736]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2011-07-05 421888]

"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2012-04-05 98304]

"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2012-07-03 252848]

"Soluto"="c:\program files\soluto\soluto.exe" [2013-01-10 1229296]

.

c:\documents and settings\All Users\Menu Start\Programma's\Opstarten\

hp psc 2000 Series.lnk - c:\program files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe [2002-6-27 323646]

Logitech SetPoint.lnk - c:\program files\Logitech\SetPoint\SetPoint.exe [2008-11-5 805392]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]

2008-05-02 01:42 72208 ----a-w- c:\program files\Common Files\Logitech\Bluetooth\LBTWLgn.dll

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\hitmanpro37]

@=""

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\hitmanpro37.sys]

@=""

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MSIServer]

@="Service"

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SolutoService]

@="Service"

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]

@=""

.

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programma's^Opstarten^Edimax Wireless Utility.lnk]

path=c:\documents and settings\All Users\Menu Start\Programma's\Opstarten\Edimax Wireless Utility.lnk

backup=c:\windows\pss\Edimax Wireless Utility.lnkCommon Startup

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]

2009-02-26 17:36 30040 ----a-w- c:\program files\Microsoft Office\Office12\GrooveMonitor.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

2001-07-09 09:50 155648 ------w- c:\windows\system32\NeroCheck.exe

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=

"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=

"c:\\WINDOWS\\system32\\PnkBstrA.exe"=

"c:\\WINDOWS\\system32\\PnkBstrB.exe"=

"c:\\Program Files\\NovaLogic\\Joint Operations Typhoon Rising\\Jointops.exe"=

"c:\\Program Files\\NovaLogic\\Joint Operations Typhoon Rising\\UPDATE.EXE"=

"c:\\Program Files\\Xfire\\xfire.exe"=

"c:\\Program Files\\Google\\Google Talk\\googletalk.exe"=

"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=

"c:\\Program Files\\EA GAMES\\The Battle for Middle-earth\\game.dat"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\WINDOWS\\system32\\dpvsetup.exe"=

"c:\\Program Files\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=

"c:\\Documents and Settings\\Gilles\\Local Settings\\Application Data\\Dyyno Receiver\\DPPM.exe"=

"c:\\Program Files\\Electronic Arts\\EADM\\Core.exe"=

"c:\\Documents and Settings\\Gilles\\Local Settings\\Application Data\\Google\\Google Talk Plugin\\googletalkplugin.dll"=

"c:\\Documents and Settings\\Gilles\\Local Settings\\Application Data\\Google\\Google Talk Plugin\\googletalkplugin.exe"=

"h:\\Program Files\\FIFA 09\\FIFA09.exe"=

"h:\\Program Files\\Rockstar Games\\Rockstar Games Social Club\\RGSCLauncher.exe"=

"h:\\Program Files\\Rockstar Games\\Grand Theft Auto IV\\LaunchGTAIV.exe"=

"h:\\Program Files\\Rockstar Games\\Grand Theft Auto IV\\GTAIV.exe"=

"c:\\Program Files\\Java\\jre6\\bin\\java.exe"=

"c:\\Program Files\\Opera\\opera.exe"=

"c:\\Program Files\\Activision\\Call of Duty - World at War\\CoDWaW.exe"=

"c:\\Program Files\\Activision\\Call of Duty - World at War\\CoDWaWmp.exe"=

"c:\\Program Files\\Ubisoft\\Ubisoft Game Launcher\\UbisoftGameLauncher.exe"=

"c:\\Program Files\\Google\\Google Earth\\client\\googleearth.exe"=

"c:\\Program Files\\Google\\Google Earth\\plugin\\geplugin.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

"f:\\Program Files\\Steam\\steamapps\\common\\flatout ultimate carnage\\Fouc.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

"c:\\Program Files\\Common Files\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=

"f:\\Program Files\\Steam\\steamapps\\common\\call of duty black ops\\BlackOpsMP.exe"=

"f:\\Program Files\\Steam\\steamapps\\common\\flatout ultimate carnage\\launcher.exe"=

"f:\\Program Files\\Steam\\steamapps\\common\\battlefield bad company 2\\BFBC2Game.exe"=

"f:\\Program Files\\Steam\\steamapps\\common\\battlefield bad company 2\\Support\\EA Help\\Electronic_Arts_Technical_Support.htm"=

"f:\\Program Files\\Steam\\steamapps\\common\\rollercoaster tycoon 3 gold\\RCT3plus.exe"=

"f:\\Program Files\\Steam\\steamapps\\common\\Assassins Creed Brotherhood\\ACBSP.exe"=

"f:\\Program Files\\Steam\\steamapps\\common\\sid meier's civilization v\\Launcher.exe"=

"f:\\Program Files\\Steam\\steamapps\\common\\assassin's creed 2\\AssassinsCreedIIGame.exe"=

"f:\\Program Files\\Steam\\steamapps\\common\\left 4 dead 2\\left4dead2.exe"=

"f:\\Program Files\\Steam\\steamapps\\common\\stalker shadow of chernobyl\\bin\\XR_3DA.exe"=

"c:\\Program Files\\Soluto\\SolutoCleanup.exe"=

"c:\\Program Files\\Soluto\\Soluto.exe"=

"c:\\Program Files\\Soluto\\SolutoService.exe"=

"c:\\Program Files\\Soluto\\SolutoConsole.exe"=

"c:\\Program Files\\Soluto\\SolutoUpdateService.exe"=

.

R0 Soluto;Soluto;c:\windows\system32\drivers\Soluto.sys [10/01/2013 21:19 51144]

R1 ctxusbm;Citrix USB Monitor Driver;c:\windows\system32\drivers\ctxusbm.sys [8/09/2009 18:13 65584]

R1 FNETURPX;FNETURPX;c:\windows\system32\drivers\FNETURPX.SYS [9/09/2009 21:01 7936]

R2 SolutoLauncherService;Soluto Launcher Service;c:\program files\Soluto\SolutoLauncherService.exe [10/01/2013 11:09 166896]

R2 SolutoService;Soluto PCGenome Core Service;c:\program files\Soluto\SolutoService.exe [10/01/2013 11:09 547312]

R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller;c:\windows\system32\drivers\atl01_xp.sys [7/11/2007 17:31 38656]

R3 AtiHDAudioService;ATI Function Driver for HD Audio Service;c:\windows\system32\drivers\AtihdXP3.sys [22/05/2012 22:02 99856]

R3 BDA_Capture_225;USB Digital-TV receiver Driver 2.0.1.8;c:\windows\system32\drivers\BDA_Capture_225.sys [11/11/2007 16:03 14592]

R3 cpuz136;cpuz136;\??\c:\windows\TEMP\cpuz136\cpuz136_x32.sys --> c:\windows\TEMP\cpuz136\cpuz136_x32.sys [?]

R3 pcouffin;VSO Software pcouffin;c:\windows\system32\drivers\pcouffin.sys [18/03/2009 23:54 47360]

S2 gupdate1c98618c26df836;Google Update Service (gupdate1c98618c26df836);c:\program files\Google\Update\GoogleUpdate.exe [3/02/2009 17:02 133104]

S3 BDA_Loader_225;USB Digital-TV Receiver Firmware Loader 6.5.8.0;c:\windows\system32\drivers\BDA_Loader_225.sys [11/11/2007 16:03 18944]

S3 cpuz130;cpuz130;\??\c:\docume~1\Gilles\LOCALS~1\Temp\cpuz130\cpuz_x32.sys --> c:\docume~1\Gilles\LOCALS~1\Temp\cpuz130\cpuz_x32.sys [?]

S3 cpuz135;cpuz135;\??\c:\windows\TEMP\cpuz135\cpuz135_x32.sys --> c:\windows\TEMP\cpuz135\cpuz135_x32.sys [?]

S3 FNETTBOH;FNETTBOH;c:\windows\system32\drivers\FNETTBOH.SYS [9/09/2009 21:01 23680]

S3 PLCMPR5;PLCMPR5 NDIS Protocol Driver;\??\c:\windows\system32\PLCMPR5.SYS --> c:\windows\system32\PLCMPR5.SYS [?]

S3 PLCNDIS5;PLCNDIS5 NDIS Protocol Driver;c:\windows\system32\PLCNDIS5.SYS [19/04/2006 14:13 17280]

S3 RT80x86;Ralink 802.11n Wireless Driver;c:\windows\system32\drivers\rt2860.sys [11/11/2007 10:19 507264]

S3 SolutoRemoteService;Soluto Remote Service;c:\program files\Soluto\SolutoRemoteService.exe [10/01/2013 10:33 1239552]

.

Inhoud van de 'Gedeelde Taken' map

.

2008-06-12 c:\windows\Tasks\FRU Task 2002-06-27 08:46ewlett-Packard2002-06-27 08:46p psc 2200 seriesF56855811176EC24C9B302F94878AD886AF77CFF205168971.job

- c:\program files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2002-06-27 00:46]

.

2013-01-14 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2009-02-03 16:01]

.

2013-01-15 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2009-02-03 16:01]

.

2013-01-14 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1614895754-1958367476-839522115-1003Core.job

- c:\documents and settings\Gilles\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2011-07-01 14:14]

.

2013-01-15 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1614895754-1958367476-839522115-1003UA.job

- c:\documents and settings\Gilles\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2011-07-01 14:14]

.

.

------- Bijkomende Scan -------

.

uStart Page = hxxp://www.google.be/

Trusted Zone: com.tw\asia.msi

Trusted Zone: com.tw\global.msi

Trusted Zone: com.tw\www.msi

Trusted Zone: plantyn.com\interactief

TCP: DhcpNameServer = 192.168.1.1

FF - ProfilePath - c:\documents and settings\Gilles\Application Data\Mozilla\Firefox\Profiles\54n231vt.default\

FF - prefs.js: browser.search.selectedEngine - GoogleCOM

FF - prefs.js: browser.startup.homepage - chrome://speeddial/content/speeddial.xul

FF - prefs.js: keyword.URL - hxxp://www.wcsearch.com/search/?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=

FF - user.js: browser.search.selectedEngine - GoogleCOM

FF - user.js: keyword.URL - hxxp://www.wcsearch.com/search/?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2013-01-15 11:23

Windows 5.1.2600 Service Pack 3 NTFS

.

scannen van verborgen processen ...

.

scannen van verborgen autostart items ...

.

scannen van verborgen bestanden ...

.

Scan succesvol afgerond

verborgen bestanden: 0

.

**************************************************************************

.

--------------------- VERGRENDELDE REGISTER SLEUTELS ---------------------

.

[HKEY_USERS\S-1-5-21-1614895754-1958367476-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*)ð]

@Class="Shell"

.

[HKEY_USERS\S-1-5-21-1614895754-1958367476-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*)ð\OpenWithList]

@Class="Shell"

"a"="WINWORD.EXE"

"MRUList"="a"

.

[HKEY_USERS\S-1-5-21-1614895754-1958367476-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*)ð\OpenWithProgids]

"?_auto_file"=hex(0):

.

[HKEY_USERS\S-1-5-21-1614895754-1958367476-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Electronic Arts\C*o*m*m*a*n*d* *&* *C*o*n*q*u*e*r* *3* *T*i*b*e*r*i*u*m* *W*a*r*s*"!\Ondersteuning]

"Order"=hex:08,00,00,00,02,00,00,00,9a,02,00,00,01,00,00,00,04,00,00,00,9e,00,

00,00,00,00,00,00,90,00,00,00,41,75,67,4d,02,00,00,00,01,00,00,00,7e,00,32,\

.

[HKEY_USERS\S-1-5-21-1614895754-1958367476-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]

"??"=hex:d2,c3,9e,bd,e9,f3,cc,fe,77,cc,2f,70,6c,87,f5,3a,ae,fb,2e,19,73,67,0e,

62,62,db,9d,96,58,ec,e1,0f,43,c9,ed,e5,20,1a,2d,a9,4e,a9,b1,10,0a,1e,78,ab,\

"??"=hex:a1,5e,47,db,25,65,bb,27,8b,92,55,34,10,3f,d9,49

.

[HKEY_USERS\S-1-5-21-1614895754-1958367476-839522115-1003\Software\SecuROM\License information*]

"datasecu"=hex:29,09,ae,db,59,de,b6,21,20,69,fe,c2,30,52,05,2a,c1,94,11,6d,42,

e4,e1,72,24,f2,86,6f,1e,74,c0,46,34,22,e0,63,a4,08,a0,dc,57,3b,06,8f,42,82,\

"rkeysecu"=hex:2f,0f,d5,3e,02,2b,06,63,b1,0b,dd,b6,71,e2,54,98

.

[HKEY_LOCAL_MACHINE\software\Classes\.*)ð]

@="?_auto_file"

.

--------------------- DLLs Geladen Onder Lopende Processen ---------------------

.

- - - - - - - > 'winlogon.exe'(812)

c:\windows\system32\Ati2evxx.dll

c:\windows\system32\atiadlxx.dll

c:\program files\common files\logitech\bluetooth\LBTWlgn.dll

c:\program files\common files\logitech\bluetooth\LBTServ.dll

.

Voltooingstijd: 2013-01-15 11:24:50

ComboFix-quarantined-files.txt 2013-01-15 10:24

ComboFix2.txt 2013-01-13 17:31

.

Pre-Run: 66.921.070.592 bytes beschikbaar

Post-Run: 66.905.911.296 bytes beschikbaar

.

- - End Of File - - C9174991147E2C018D17B6B2AF58C963

[kape]

Is wel een hele vreemde bestands- of mapnaam 6AS0 4h Noël Claudie. Is het de naam van een map ? Of van een bestand ? Maar dan moet er wel een extensie achter. Wil je dat eens nakijken ?

[Exif]

Screenshot gemaakt, das duidelijker.

[kape]

Het is dus een bestand, maar eentje van 0 bytes. Kan je dat openen met kladblok bvb.?

[Exif]

Nee, als ik dat probeer zegt hij dat kladblok het bestand niet kan vinden.

[Exif]

Het is aangewezen om de bestaande herstelpunten te verwijderen (daar zitten besmette herstelpunten tussen die je eventueel zou kunnen terugzetten). In XP doe je dit via Start -> Configuratiescherm -> Systeem -> Systeemherstel -> "Systeemherstel op alle stations uitschakelen" aanvinken. Toepassen en OK. PC herstarten en het vinkje terug weg halen.

Ben ondertussen bezig met de vorige stappen uit te voeren, maar het vinkje bij systeemherstel staat bij mij standaard wél aangevinkt.

[kape]

• Download The Avenger by Swandog46 naar je bureaublad.
  
• Klik op Avenger.zip
  
• Pak het bestand uit naar je bureaublad.
  
• Start The Avenger door op het icoontje te dubbelklikken.
  
• Vista en Windows 7 -> rechtsklik uitvoeren als Administrator.
  

Zet een vinkje bij 'Scan for rootkits en vink Automatically disable any rootkits found' uit.

In het venster Input Script here, kopieer en plak je het volgende:

[b]Folders to delete:[/b]
[b]C:\Documents and Settings\Gilles\Mijn documenten\Downloads\6AS0  4h Noël  Claudie[/b] 

Opgelet: Bovenstaande code werd enkel gemaakt voor deze computer/situatie/user. Indien je deze code op een andere computer gebruikt kan het schade toebrengen!

Klik nu op de knop Execute.

Klik Yes om te bevestigen.

Klik Yes wanneer gevraagd wordt om je PC te rebooten.

Je PC zal rebooten, indien niet doe het dan manueel.

Na reboot opent een logfile (avenger.txt). Post de inhoud van de logfile.

De logfile van Avenger staat ook in C:\avenger.txt