Startpagina in firefox

[Mriya]

Hey juppekes

Ik zit hier met een probleempje

Mijn startpagina in firefox veranderd steeds als ik mijn pc opstart

Dus ik vermoed dat er iets is meegeslopen in mijn opstart maar ik weet niet wat

Hier mijn opstartmenu mss dat iemand mij kan helpen wat er uitgevinkt mag worden

Alvast bedankt voor degene die me willen helpen

[filipo]

En de beginpagina die je krijgt na het opstarten, is dat steeds dezelfde en is dat een pagina die je kende ?

Een startpagina wordt normaal gezien vastgelegd in de instellingen van je browser zelf tenzij je met vieze beestjes (hijackers/spyware) zit die je startpagina telkens forceren en je een (onbekende) startpagina voorschotelen.

Je kan je PC altijd eens scannen/opkuisen met Spybot Search&Destroy of AdAware of CWshredder.
In uiterste nood kan je gebruikmaken van Hijackthis maar enkel als je weet wat je doet !!!

[Mriya]

Hey juppekes

Als ik in firefox mijn startpagina instel dan blijft deze de ganse dag

Enkel na het opstarten krijg ik telkens een ander startpagina wel telkens van de zelfde site deze

Hitman pro laten draaien leverde niets op

Daarom dacht ik iets te vinden in mijn opstart maar ik kan niet direct iets linken

[filipo]

Blijkbaar een recent geval want de enkele klachten daarover die op internet te vinden zijn dateren van eind oktober 2007 ...


Als HitmanPro niks oplevert, zal het via een analyse van de logfile van HijackThis moeten gebeuren ...

[Svenmichiels]

Systeem herstel kan misschien helpen als je weet wanneer deze miserie begonnen is?

[Nickon]

Ik zou - zoals Filipo zei - eens proberen met Spybot Search&Destroy of AdAware.
Succes!

[filipo]

Dat is blikbaar gebeurd want die twee zitten in HitmanPro, dus als HitmanPro bijgewerkt is met de laatste updates en niks geeft, dan zal het manueel moeten gebeuren met Hijackthis (http://www.spychecker.com/program/hijackthis.html , tutorial : http://users.telenet.be/marcvn/spyware/1666868.htm ) maar zoals reeds gezegd : je moet zeker zijn van je stuk vooraleer je bepaalde zaken aankruist in hijackthis !

Ik denk trouwens niet dat je die troep in je getoonde schermafdrukken zult terugvinden en als je ze terugvindt zal het niet volstaan van gewoon weg te kruisen. Die miserie zit veel dieper : in het register en met dll's ... Zo snugger zijn die mannen wel

[De Steppewolf]

Post evtl je HJTlogje eens mee.
Kunnen we er eens een blik op werpen indien je het zelf niet zo zitten.
Je hebt iig met malware te doen, die winupdater (tweede plaatje onderaan) dat er instaat = (deel van) de troep. Lijkt "echt" (vertrouwd) maar dat is een camoeflage techniek van de malware, iets met zo'n naam die ana windows/updates doet denken, wordt niet snel wantrouwd.

Maar uitvinken onder msconfig > opstarten, voorkomt alleen dat het mee opstart (wat ook nog te betwijfelen valt, cfr wat flippo zegt. Als er nog maar malware opzit, kan dat best "hersteld" worden zodat hij toch weer mee opstart), het haalt de malware zelf niet weg, dus is in die zin niet echt een "oplossing".
(Regels die onder msconfig > opstarten uitgevinkt zijn, komen trouwens ook niet in het HJTlogje nog voor, dus kan "nuttige" info (bv. om te zien om wleke infectie het gaat enz.. want voor sommige infecties zijn extra stappen nodig) teloor doen gaan.)

[Mriya]

Hey juppekes

Bedankt allemaal voor jullie hulp

Ik zal vanavond eens zien wat ik kan doen

[Mriya]

Hey juppekes

Hier mijn logfile, alvast bedankt voor de hulp.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:36:38, on 11/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\APPS\SAXO\HIDSERV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Packard Bell\SrvCDEject.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
C:\Program Files\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\dllhost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.awesomehomepage.com/newsl...t=laughnetwork
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer aangeboden door Telenet Internet
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: ContextHelper - {0D39A900-0F3A-4C29-A254-3E65244FDC34} - C:\Program Files\ContextTool\ContextTool-3.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AdsManager Class - {D1C8F9CE-563E-11D8-813C-005022E14DE3} - C:\Program Files\LNM Client\AddAPI.dll (file missing)
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WinUpdater] "C:\Program Files\WinUpdater\update.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Lokale service')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'Lokale service')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Netwerkservice')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://breedband.telenet.be
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://watervaltreasures.spaces.live...d/MsnPUpld.cab
O16 - DPF: {CB50428B-657F-47DF-9B32-671F82AA73F7} (Photodex Presenter AX control) - http://www.photodex.com/pxplay.cab
O20 - Winlogon Notify: nnnkkjj - nnnkkjj.dll (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Packard Bell BV - C:\APPS\SAXO\HIDSERV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe
O23 - Service: SrvCDEject - Unknown owner - C:\Program Files\Packard Bell\SrvCDEject.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: USBDeviceService - Unknown owner - C:\Program Files\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe
O23 - Service: Webroot Spy Sweeper Engine (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

--
End of file - 7859 bytes

[De Steppewolf]

Ok

Doe alvast volgende eens (indien er iets niet duidelijk is, aarzel niet het te laten weten):

(Er komen herstarten aan te pas dus als je met andere dingen bezig bent, werk dat eerst af en sluit dan zoveel mogelijk openstaande sites en progjes zoals mail, ...)


Fix met Hijackthis volgende sleutels
* Enkel onderstaande regels aanvinken in de scan van HJT.
* Even alle open sites (ook deze) sluiten.
* Dan op het knopje "fix checked" klikken.

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.awesomehomepage.com/newsl...t=laughnetwork
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: ContextHelper - {0D39A900-0F3A-4C29-A254-3E65244FDC34} - C:\Program Files\ContextTool\ContextTool-3.dll
O2 - BHO: AdsManager Class - {D1C8F9CE-563E-11D8-813C-005022E14DE3} - C:\Program Files\LNM Client\AddAPI.dll (file missing)

O4 - HKCU\..\Run: [WinUpdater] "C:\Program Files\WinUpdater\update.exe" /background

O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)

O20 - Winlogon Notify: nnnkkjj - nnnkkjj.dll (file missing)

Herstart de pc


Download en gebruik vundofix van Attribune
* sla vundofix.exe op naar bv bureaublad of "mijn documenten"
VundoFix.exe
(evtle alarmen van antivirusprogs/AVG oid, kan je negeren, is vals alarm : vundofix sluit even explorer.exe af om de infectie eruit te kunnen halen en veel antivirusscanners vinden tools die explorer.exe afskuiten zonder eigen tussenkomst "verdacht" of "possible risk", maar dat hoort dus bij het tooltje en is niet schadelijk, juist nodig.)
* Dubbelklik op VundoFix.exe om het te starten.
* Klik op knopje "Scan for Vundo"
* Wanneer de scan voltooid is, klik knopje "Remove Vundo"
* Er wordt gevraagd of je de bestanden wilt verwijderen. Klik op YES
Daarna zullen de icoontjes op je bureaublad even verdwijnen. Dit is normaal (explorer.exe wordt even gesloten).
* Je krijgt een melding dat je PC zal afsluiten. Klik OK.


Herstart weer de pc


Maak en post een nieuw HJT-logje


En ook deze lijst
* klik in HJT op knopje "config" (rechts in het "scanvenster" van HJt)
* dan "misc tools"
* dan "open uninstall manager"
* dan "save list"
* kopieer de inhoud van dat logje (uninstall.log) en post het mee in je volgende reactie


We zijn nog niet klaar, moeten nog dingen verwijderd worden, maar eerst een een kijkje nemen welke van de adware er evt. geïnstalleerd is, want dan moet het eerst nog gedeïnstalleerd worden alvorens de mappen ervan te gaan verwijderen ed.


Succes

[Mriya]

hey juppekes

Nog eens bedankt om mij te helpen de steppewolf

hier ben ik met mijn huiswerk

Die vubdo.exe heeft wel niets uitgehaald en hij heeft ook niet gevraagd om de pc af te sluiten

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:43:27, on 11/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\APPS\SAXO\HIDSERV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Packard Bell\SrvCDEject.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
C:\Program Files\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer aangeboden door Telenet Internet
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Lokale service')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'Lokale service')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Netwerkservice')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://breedband.telenet.be
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://watervaltreasures.spaces.live...d/MsnPUpld.cab
O16 - DPF: {CB50428B-657F-47DF-9B32-671F82AA73F7} (Photodex Presenter AX control) - http://www.photodex.com/pxplay.cab
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Packard Bell BV - C:\APPS\SAXO\HIDSERV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe
O23 - Service: SrvCDEject - Unknown owner - C:\Program Files\Packard Bell\SrvCDEject.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: USBDeviceService - Unknown owner - C:\Program Files\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe
O23 - Service: Webroot Spy Sweeper Engine (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

--
End of file - 6994 bytes


7-Zip 4.49 beta
Ad-Aware SE Personal
Adobe Flash Player ActiveX
Adobe Flash Player Plugin
Adobe Reader 7.0.9 - Nederlands
Adobe Shockwave Player
ArcSoft Software Suite
AVG Free Edition
Beveiligingsupdate for Windows Media Player 10 (KB911565)
Beveiligingsupdate for Windows Media Player 10 (KB917734)
Beveiligingsupdate for Windows XP (KB923689)
Beveiligingsupdate voor Windows Internet Explorer 7 (KB928090)
Beveiligingsupdate voor Windows Internet Explorer 7 (KB929969)
Beveiligingsupdate voor Windows Internet Explorer 7 (KB931768)
Beveiligingsupdate voor Windows Internet Explorer 7 (KB933566)
Beveiligingsupdate voor Windows Internet Explorer 7 (KB937143)
Beveiligingsupdate voor Windows Internet Explorer 7 (KB938127)
Beveiligingsupdate voor Windows Internet Explorer 7 (KB939653)
Beveiligingsupdate voor Windows Media Player (KB911564)
Beveiligingsupdate voor Windows Media Player 11 (KB936782)
Beveiligingsupdate voor Windows Media Player 6.4 (KB925398)
Beveiligingsupdate voor Windows XP (KB890046)
Beveiligingsupdate voor Windows XP (KB893756)
Beveiligingsupdate voor Windows XP (KB896358)
Beveiligingsupdate voor Windows XP (KB896422)
Beveiligingsupdate voor Windows XP (KB896423)
Beveiligingsupdate voor Windows XP (KB896424)
Beveiligingsupdate voor Windows XP (KB896428)
Beveiligingsupdate voor Windows XP (KB899587)
Beveiligingsupdate voor Windows XP (KB899589)
Beveiligingsupdate voor Windows XP (KB899591)
Beveiligingsupdate voor Windows XP (KB900725)
Beveiligingsupdate voor Windows XP (KB901017)
Beveiligingsupdate voor Windows XP (KB901190)
Beveiligingsupdate voor Windows XP (KB901214)
Beveiligingsupdate voor Windows XP (KB902400)
Beveiligingsupdate voor Windows XP (KB904706)
Beveiligingsupdate voor Windows XP (KB905414)
Beveiligingsupdate voor Windows XP (KB905749)
Beveiligingsupdate voor Windows XP (KB908519)
Beveiligingsupdate voor Windows XP (KB908531)
Beveiligingsupdate voor Windows XP (KB911562)
Beveiligingsupdate voor Windows XP (KB911567)
Beveiligingsupdate voor Windows XP (KB911927)
Beveiligingsupdate voor Windows XP (KB912919)
Beveiligingsupdate voor Windows XP (KB913446)
Beveiligingsupdate voor Windows XP (KB913580)
Beveiligingsupdate voor Windows XP (KB914388)
Beveiligingsupdate voor Windows XP (KB914389)
Beveiligingsupdate voor Windows XP (KB917159)
Beveiligingsupdate voor Windows XP (KB917344)
Beveiligingsupdate voor Windows XP (KB917422)
Beveiligingsupdate voor Windows XP (KB917953)
Beveiligingsupdate voor Windows XP (KB918118)
Beveiligingsupdate voor Windows XP (KB918439)
Beveiligingsupdate voor Windows XP (KB918899)
Beveiligingsupdate voor Windows XP (KB919007)
Beveiligingsupdate voor Windows XP (KB920213)
Beveiligingsupdate voor Windows XP (KB920214)
Beveiligingsupdate voor Windows XP (KB920670)
Beveiligingsupdate voor Windows XP (KB920683)
Beveiligingsupdate voor Windows XP (KB920685)
Beveiligingsupdate voor Windows XP (KB921398)
Beveiligingsupdate voor Windows XP (KB921503)
Beveiligingsupdate voor Windows XP (KB921883)
Beveiligingsupdate voor Windows XP (KB922616)
Beveiligingsupdate voor Windows XP (KB922819)
Beveiligingsupdate voor Windows XP (KB923191)
Beveiligingsupdate voor Windows XP (KB923414)
Beveiligingsupdate voor Windows XP (KB923694)
Beveiligingsupdate voor Windows XP (KB923980)
Beveiligingsupdate voor Windows XP (KB924191)
Beveiligingsupdate voor Windows XP (KB924270)
Beveiligingsupdate voor Windows XP (KB924496)
Beveiligingsupdate voor Windows XP (KB924667)
Beveiligingsupdate voor Windows XP (KB925454)
Beveiligingsupdate voor Windows XP (KB925486)
Beveiligingsupdate voor Windows XP (KB925902)
Beveiligingsupdate voor Windows XP (KB926255)
Beveiligingsupdate voor Windows XP (KB926436)
Beveiligingsupdate voor Windows XP (KB927779)
Beveiligingsupdate voor Windows XP (KB927802)
Beveiligingsupdate voor Windows XP (KB928255)
Beveiligingsupdate voor Windows XP (KB928843)
Beveiligingsupdate voor Windows XP (KB929123)
Beveiligingsupdate voor Windows XP (KB930178)
Beveiligingsupdate voor Windows XP (KB931261)
Beveiligingsupdate voor Windows XP (KB931784)
Beveiligingsupdate voor Windows XP (KB932168)
Beveiligingsupdate voor Windows XP (KB933729)
Beveiligingsupdate voor Windows XP (KB935839)
Beveiligingsupdate voor Windows XP (KB935840)
Beveiligingsupdate voor Windows XP (KB936021)
Beveiligingsupdate voor Windows XP (KB938829)
Beveiligingsupdate voor Windows XP (KB941202)
Canon Camera Access Library
Canon Camera Support Core Library
Canon Camera Window DC_DV 5 for ZoomBrowser EX
Canon Camera Window DC_DV 6 for ZoomBrowser EX
Canon Camera Window MC 6 for ZoomBrowser EX
Canon G.726 WMP-Decoder
CANON iMAGE GATEWAY Task for ZoomBrowser EX
Canon Internet Library for ZoomBrowser EX
Canon MovieEdit Task for ZoomBrowser EX
Canon RAW Image Task for ZoomBrowser EX
Canon RemoteCapture Task for ZoomBrowser EX
Canon Utilities EOS Utility
Canon Utilities PhotoStitch
Canon Utilities ZoomBrowser EX
CDDRV_Installer
Compatibility Pack for the 2007 Office system
ContextTool
Corel Photo Album 6
Diddlina Superstar Screensaver
Disc2Phone
Disney's Extremely Goofy Skateboarding Preview
Disney's Teigetjes Honingjacht spelen
High Definition Audio Driver Package - KB888111
HijackThis 2.0.2
Hitman Pro
Hotel Mahjong Deluxe
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix for Windows Media Player 10 (KB903157)
Hotfix for Windows XP (KB915865)
Hotfix for Windows XP (KB926239)
Hotfix voor Windows Media Player 11 (KB939683)
Hotfix voor Windows XP (KB888795)
Hotfix voor Windows XP (KB891593)
Hotfix voor Windows XP (KB896256)
Hotfix voor Windows XP (KB899337)
Hotfix voor Windows XP (KB899510)
Hotfix voor Windows XP (KB902841)
Hotfix voor Windows XP (KB910728)
Hotfix voor Windows XP (KB912024)
Hotfix voor Windows XP (KB914440)
Hotfix voor Windows XP (KB928388)
Hotfix voor Windows XP (KB929120)
Hotfix voor Windows XP (KB935448)
IrfanView (remove only)
J2SE Development Kit 5.0 Update 12
J2SE Runtime Environment 5.0 Update 10
J2SE Runtime Environment 5.0 Update 11
J2SE Runtime Environment 5.0 Update 12
J2SE Runtime Environment 5.0 Update 4
Java(TM) 6 Update 2
Java(TM) 6 Update 3
Java(TM) SE Runtime Environment 6 Update 1
KB898458: Beveiligingsupdate voor Step by Step Interactive Training
KhalSetup
Kruidvat - Fotoservice
LimeWire PRO 4.12.6
Logitech SetPoint
Maantool
Macrogaming SweetIM 2.0
Macromedia Dreamweaver MX
Macromedia Extension Manager
Macromedia Flash MX
Macromedia Flash Player 8
Macromedia Shockwave Player
Microsoft .NET Framework 1.0 Hotfix (KB887998)
Microsoft .NET Framework 1.0 Hotfix (KB930494)
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 Dutch Language Pack
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft .NET Framework 2.0
Microsoft .NET Framework 2.0 Language Pack - NLD
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft Kernel-Mode Driver Framework Feature Pack 1.5
Microsoft National Language Support Downlevel APIs
Microsoft Office PowerPoint Viewer 2003
Microsoft Office PowerPoint Viewer 2007 (Dutch)
Microsoft Office Word Viewer 2003
Microsoft Office XP Professional met FrontPage
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2005 Redistributable
mIRC
Mozilla Firefox (2.0.0.9)
Mozilla Thunderbird (2.0.0.6)
MSXML 4.0 SP2 (KB927978)
MSXML 4.0 SP2 (KB936181)
MSXML 6.0 Parser (KB933579)
Neat Image v5 Demo (with plug-in)
NVIDIA Drivers
Pakket voor de provider van Microsoft Base-smartcardcryptografieservice
Peggle Deluxe
Photodex Presenter
PixRenamer - v. 1.0
Porrasturvat - Stair Dismount
PowerDVD
QuickTime
Realtek High Definition Audio Driver
screen_44SS022
SecondLife (remove only)
Security Update for CAPICOM (KB931906)
Security Update for CAPICOM (KB931906)
Security Update voor Microsoft .NET Framework 2.0 (KB928365)
SmartFTP
SmartFTP Client
SmartFTP Client 2.0 Setup Files (remove only)
SmartSound Quicktracks Plugin
Sonic Encoders
Sonic Express Labeler
Sonic MyDVD LE
Sonic RecordNow Audio
Sonic RecordNow Copy
Sonic RecordNow Data
Sony Ericsson PC Suite 1.20.224
Spy Sweeper
Spybot - Search & Destroy 1.4
Spyware Doctor 5.1
SpywareBlaster v3.5.1
Stellarium 0.9.0
Terugwaartse compatibiliteit van Windows Rights Management Client SP2
Total Commander (Remove or Repair)
Trivial Pursuit The 90s Deluxe
Ulead PhotoImpact 10 SE
Ulead VideoStudio 9.0 SE DVD
Ultimate Ride Preview
Update for Windows Media Player 10 (KB910393)
Update for Windows Media Player 10 (KB913800)
Update for Windows Media Player 10 (KB926251)
Update Rollup 2 voor Windows XP Media Center Edition 2005
Update voor Windows XP (KB894391)
Update voor Windows XP (KB898461)
Update voor Windows XP (KB900485)
Update voor Windows XP (KB904942)
Update voor Windows XP (KB910437)
Update voor Windows XP (KB911280)
Update voor Windows XP (KB916595)
Update voor Windows XP (KB920342)
Update voor Windows XP (KB920872)
Update voor Windows XP (KB922582)
Update voor Windows XP (KB925876)
Update voor Windows XP (KB927891)
Update voor Windows XP (KB929338)
Update voor Windows XP (KB930916)
Update voor Windows XP (KB931836)
Update voor Windows XP (KB933360)
Update voor Windows XP (KB936357)
Update voor Windows XP (KB938828)
VIA Rhine-Family Fast Ethernet Adapter
Weight Watchers FlexiPoints
Windows Communication Foundation
Windows Imaging Component
Windows Installer 3.1 (KB893803)
Windows Internet Explorer 7
Windows Live Messenger
Windows Live Sign-in Assistant
Windows Media Encoder 9 Series
Windows Media Encoder 9 Series
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 11
Windows Media Player 11
Windows Presentation Foundation
Windows Rights Management Client met Service Pack 2
Windows Workflow Foundation
Windows XP Hotfix - KB873339
Windows XP Hotfix - KB885250
Windows XP Hotfix - KB885835
Windows XP Hotfix - KB885836
Windows XP Hotfix - KB885884
Windows XP Hotfix - KB886185
Windows XP Hotfix - KB887472
Windows XP Hotfix - KB887742
Windows XP Hotfix - KB888113
Windows XP Hotfix - KB888302
Windows XP Hotfix - KB890859
Windows XP Hotfix - KB891781
Windows XP Hotfix - KB895961
Windows XP Media Center Edition 2005 KB908246
Windows XP Media Center Edition 2005 KB925766
WinZip
Wubi
Zuma Deluxe

[De Steppewolf]

Graag gedaan hoor


Je HJTlogje ziet er alvast weer clean uit, geen meelopende kwaadaardige malware meer
(Op deze "lege" regel niet letten
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
Betreft een detectieprobleempje. Deze regel heeft te maken met windows live messenger, de "no file" is een detectieprobleempje dat HJT ermee heeft. Dus die kan je gewoon zo laten staan.)

Die vubdo.exe heeft wel niets uitgehaald en hij heeft ook niet gevraagd om de pc af te sluiten

Ok, dat valt mee dan. Stonden een restje van die infectie in, stond al bij missing, maar extra check ivm die trojan kan nooit kwaad


Ivm de lijst van geïnstalleerde software, daar staat nog wat in dat eruit moet (malware),


doe daarvoor volgende eens :


De malware deïnstalleren
* Ga naar start > configuratiescherm > software
* verwijder (een voor een) deze malware items uit de lijst van geïnstalleerde software
ContextTool
Macrogaming SweetIM 2.0


Herstart daarna de PC


Verwijder nog onderstaande in rood gezette items van de pc
indien nog aanwezig :

C:\Program Files\ContextTool <-- mapje ContextTool
C:\Program Files\WinUpdater <--- mapje WinUpdater (heeft niets te maken met windows updates oid, camoefage om niet verdacht over te komen, maar malware)

Maak en post dan eens een combofix logje ook
combofix.exe
* Rechtermuisklik op bovenstaand linkje > kies : doel/koppeling opslaan als
* Sla op naar je bureaublad
* Dubbelklik na download "combofix.exe "
* Volg de instructies. (indien je een melding krijgt van je virusscanner ivm een mogelijk riskant .vbs script, sta dit toe, het .vbs script hoort bij combofix en is ongevaarlijk)
Opm. :Tijdens het runnen van de fix (na ingeven van de 1 en enter), NIET in het venster klikken, want dit zal je pc doen vasthangen.
* Wanneer de fix gedaan is, kan mogelijk schijfopruiming nog even van start gaan, wacht gewoon af tot dat klaar is dan.
* Daarna opent het logje van combofix (combofix.txt). (Indien het niet automatisch opende, ga dan naar Start > Deze computer > dubbelklik de C:\ en open combofix.txt zelf.)
* Kopieer de hele inhoud hiervan, en post het resultaat mee in je volgende reactie.


Wat je daarna evtl. ook nog/al kan doen, is volgende :
(niet met de malware te maken, maar lekken in die oude versies van java kunnen nog misbruikt worden, zie ook dit artikel)
* start > configscherm > software
* deze oude versies en updates kan je uit de lijst verwijderen :
J2SE Runtime Environment 5.0 Update 10
J2SE Runtime Environment 5.0 Update 11
J2SE Runtime Environment 5.0 Update 12
J2SE Runtime Environment 5.0 Update 4
Java(TM) 6 Update 2
Java(TM) SE Runtime Environment 6 Update 1
Dus enkel de huidige/recentste (=Java(TM) 6 Update 3) laten staan. Dat volstaat.


Succes

[Mriya]

Hey juppekes

Hier ben ik nog eens

Als die combofix aan het lopen was heeft mijn AVG 2 keer een virusmelding gegeven

Schijfopruimig heeft hij niet gedaan

ComboFix 07-11-08.1 - Gwendoline 2007-11-11 22:42:40.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1043.18.1594 [GMT 1:00]
Gestart vanuit: C:\Documents and Settings\Gwendoline\Bureaublad\ComboFix.exe
* Nieuw herstelpunt werd aangemaakt
.

(((((((((((((((((((((((((((((((((( Andere Verwijderingen )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\cookies.ini

.
(((((((((((((((((((( Bestanden Gemaakt van 2007-10-11 to 2007-11-11 ))))))))))))))))))))))))))))))
.

2007-11-11 22:41 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-11-11 16:35 <DIR> d-------- C:\Program Files\Trend Micro
2007-11-11 12:44 79,688 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2007-11-11 12:44 62,280 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2007-11-11 12:44 41,288 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2007-11-11 12:44 29,000 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2007-11-11 12:43 <DIR> d-------- C:\Program Files\Webroot
2007-11-11 12:43 <DIR> d-------- C:\Program Files\Spyware Doctor
2007-11-11 12:43 <DIR> d-------- C:\Documents and Settings\Gwendoline\Application Data\Webroot
2007-11-11 12:43 <DIR> d-------- C:\Documents and Settings\Gwendoline\Application Data\PC Tools
2007-11-11 12:43 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Webroot
2007-11-11 12:43 144,960 --a------ C:\WINDOWS\system32\drivers\ssidrv.sys
2007-11-11 12:43 22,080 --a------ C:\WINDOWS\system32\drivers\sshrmd.sys
2007-11-11 12:43 21,056 --a------ C:\WINDOWS\system32\drivers\sskbfd.sys
2007-11-11 12:43 20,544 --a------ C:\WINDOWS\system32\drivers\SSFS0509.sys
2007-11-11 12:43 164 --a------ C:\install.dat
2007-11-11 12:42 <DIR> d-------- C:\Program Files\Lavasoft
2007-11-11 12:41 <DIR> d-------- C:\Program Files\SpywareBlaster
2007-11-10 19:44 <DIR> d-------- C:\Program Files\Kruidvat - Fotoservice
2007-11-10 19:14 <DIR> d-------- C:\Documents and Settings\Gwendoline\Application Data\Corel Photo Album
2007-11-10 19:13 56 -r-hs---- C:\WINDOWS\system32\13BA9DB1AA.sys
2007-11-10 19:11 3,350 --ahs---- C:\WINDOWS\system32\KGyGaAvL.sys
2007-10-22 22:01 <DIR> dr-h----- C:\Documents and Settings\Gwendoline\Onlangs geopend
2007-10-17 20:14 <DIR> d-------- C:\Documents and Settings\Gwendoline\Application Data\gtk-2.0
2007-10-17 20:14 <DIR> d-------- C:\Documents and Settings\Gwendoline\.thumbnails

.
((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))) ))
.
2007-11-11 14:20 --------- d-----w C:\Program Files\Hitman Pro
2007-11-11 14:12 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP
2007-11-11 12:29 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2007-11-11 11:49 --------- d-----w C:\Documents and Settings\Gwendoline\Application Data\Lavasoft
2007-11-11 10:52 --------- d-----w C:\Documents and Settings\Gwendoline\Application Data\AVG7
2007-11-11 10:24 --------- d-----w C:\Program Files\Yahoo!
2007-11-11 10:23 --------- d-----w C:\Program Files\Zylom Games
2007-11-11 10:23 --------- d-----w C:\Program Files\GIMP-2.0
2007-11-11 10:22 --------- d-----w C:\Program Files\Songbird
2007-11-11 10:17 --------- d-----w C:\Program Files\Multicom
2007-11-11 10:12 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-11-11 10:12 --------- d-----w C:\Program Files\Disney Interactive
2007-11-11 10:10 --------- d-----w C:\Program Files\Awasu
2007-11-11 10:09 --------- d-----w C:\Program Files\ASCII Art Generator
2007-11-10 18:13 --------- d-----w C:\Program Files\Corel
2007-11-08 14:03 --------- d-----w C:\Program Files\SecondLife
2007-11-08 05:45 --------- d-----w C:\Documents and Settings\Gwendoline\Application Data\ZoomBrowser EX
2007-11-08 05:44 --------- d-----w C:\Documents and Settings\All Users\Application Data\ZoomBrowser
2007-11-01 18:12 --------- d-----w C:\Documents and Settings\Gwendoline\Application Data\PlayFirst
2007-11-01 18:12 --------- d-----w C:\Documents and Settings\All Users\Application Data\PlayFirst
2007-10-26 05:18 --------- d-----w C:\Program Files\Java
2007-10-25 16:51 --------- d-----w C:\Program Files\Weight Watchers FlexiPoints
2007-10-15 05:23 --------- d--h--w C:\Program Files\Zero G Registry
2007-10-06 07:11 --------- d-----w C:\Documents and Settings\All Users\Application Data\NannyMania
2007-10-06 07:10 --------- d-----w C:\Documents and Settings\Gwendoline\Application Data\Zylom
2007-09-28 21:07 --------- d-----w C:\Program Files\SUPERAntiSpyware
2007-09-28 21:07 --------- d-----w C:\Program Files\Common Files\Wise Installation Wizard
2007-09-28 21:07 --------- d-----w C:\Documents and Settings\Gwendoline\Application Data\SUPERAntiSpyware.com
2007-09-28 21:03 --------- d-----w C:\Documents and Settings\All Users\Application Data\SUPERAntiSpyware.com
2007-09-28 20:50 924,099 --sh--w C:\WINDOWS\system32\fgjlm.ini2
2007-09-27 21:48 872,512 --sh--w C:\WINDOWS\system32\fgjlm.bak2
2007-09-27 18:18 --------- d-----w C:\Program Files\Opanda
2007-09-27 18:17 --------- d-----w C:\Program Files\OpenOffice.org 2.1
2007-09-26 18:42 --------- d-----w C:\Program Files\VirtualDJ
2007-09-26 18:20 --------- d-----w C:\Documents and Settings\All Users\Application Data\Prevx
2007-09-25 13:24 --------- d-----w C:\Documents and Settings\All Users\Application Data\MumboJumbo
2007-09-17 17:52 --------- d-----w C:\Program Files\LimeWire
2007-09-14 12:49 --------- d-----w C:\Documents and Settings\All Users\Application Data\TERMINAL Studio
2007-09-08 20:00 6,496 --sh--w C:\WINDOWS\system32\fgjlm.bak1
2007-08-21 06:18 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-08-21 06:18 683,520 ----a-w C:\WINDOWS\system32\dllcache\inetcomm.dll
2007-08-20 10:02 824,832 ----a-w C:\WINDOWS\system32\dllcache\wininet.dll
2007-08-20 10:02 671,232 ----a-w C:\WINDOWS\system32\dllcache\mstime.dll
2007-08-20 10:02 63,488 ------w C:\WINDOWS\system32\dllcache\icardie.dll
2007-08-20 10:02 6,058,496 ------w C:\WINDOWS\system32\dllcache\ieframe.dll
2007-08-20 10:02 52,224 ------w C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2007-08-20 10:02 477,696 ----a-w C:\WINDOWS\system32\dllcache\mshtmled.dll
2007-08-20 10:02 459,264 ------w C:\WINDOWS\system32\dllcache\msfeeds.dll
2007-08-20 10:02 44,544 ------w C:\WINDOWS\system32\dllcache\iernonce.dll
2007-08-20 10:02 384,512 ------w C:\WINDOWS\system32\dllcache\iedkcs32.dll
2007-08-20 10:02 383,488 ------w C:\WINDOWS\system32\dllcache\ieapfltr.dll
2007-08-20 10:02 3,584,512 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll
2007-08-20 10:02 27,648 ----a-w C:\WINDOWS\system32\dllcache\jsproxy.dll
2007-08-20 10:02 267,776 ------w C:\WINDOWS\system32\dllcache\iertutil.dll
2007-08-20 10:02 232,960 ------w C:\WINDOWS\system32\dllcache\webcheck.dll
2007-08-20 10:02 230,400 ------w C:\WINDOWS\system32\dllcache\ieaksie.dll
2007-08-20 10:02 214,528 ----a-w C:\WINDOWS\system32\dllcache\dxtrans.dll
2007-08-20 10:02 193,024 ----a-w C:\WINDOWS\system32\dllcache\msrating.dll
2007-08-20 10:02 153,088 ------w C:\WINDOWS\system32\dllcache\ieakeng.dll
2007-08-20 10:02 132,608 ----a-w C:\WINDOWS\system32\dllcache\extmgr.dll
2007-08-20 10:02 124,928 ------w C:\WINDOWS\system32\dllcache\advpack.dll
2007-08-20 10:02 105,984 ------w C:\WINDOWS\system32\dllcache\url.dll
2007-08-20 10:02 102,400 ------w C:\WINDOWS\system32\dllcache\occache.dll
2007-08-20 10:02 1,152,000 ----a-w C:\WINDOWS\system32\dllcache\urlmon.dll
2007-08-17 10:23 63,488 ------w C:\WINDOWS\system32\dllcache\ie4uinit.exe
2007-08-17 10:23 625,152 ------w C:\WINDOWS\system32\dllcache\iexplore.exe
2007-08-17 10:23 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe
2007-08-17 07:34 161,792 ------w C:\WINDOWS\system32\dllcache\ieakui.dll
2007-06-19 14:40 111,840 ----a-w C:\Documents and Settings\Gwendoline\Application Data\GDIPFONTCACHEV1.DAT
2007-01-07 19:33 276 ----a-w C:\Program Files\idimager.idiftppro
2007-01-07 15:41 15,323,708 ----a-w C:\Program Files\Weight Watchers FlexiPoints.zip
2006-07-11 06:51 0 ----a-w C:\Program Files\PaintShopPro9pspbrwse.jbf
2006-05-25 19:05 703,488 ----a-w C:\Program Files\ExifRead.exe
2006-03-30 15:32 2,610 ----a-w C:\Program Files\mirc.ini
2006-01-31 18:04 1,836,032 ----a-w C:\Program Files\BDSizer.exe
.

((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
.
*Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.e xe" [2004-09-02 14:00]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT \TINTSETP.exe" [2004-09-02 14:00]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TIN TSETP.exe" [2004-09-02 14:00]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-09-29 14:01]
"RTHDCPL"="RTHDCPL.EXE" [2006-05-18 13:27 C:\WINDOWS\RTHDCPL.exe]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-04-27 23:47]
"nwiz"="nwiz.exe" [2006-04-27 23:47 C:\WINDOWS\system32\nwiz.exe]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc. exe" [2007-10-23 07:41]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-01-23 14:44 C:\WINDOWS\KHALMNPR.Exe]
"ISUSPM Startup"="C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" [2005-06-10 10:44]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-09-02 14:00]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\policies\system]
"InstallVisualStyle"=C:\WINDOWS\Resources\Themes\R oyale\Royale.msstyles
"InstallTheme"=C:\WINDOWS\Resources\Themes\Royale. theme

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\sdauxservice"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\sdcoreservice"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\WdfLoadGroup"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programma's^Opstarten^Adobe Reader Snelle start.lnk]
path=C:\Documents and Settings\All Users\Menu Start\Programma's\Opstarten\Adobe Reader Snelle start.lnk
backup=C:\WINDOWS\pss\Adobe Reader Snelle start.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programma's^Opstarten^Logitech SetPoint.lnk]
path=C:\Documents and Settings\All Users\Menu Start\Programma's\Opstarten\Logitech SetPoint.lnk
backup=C:\WINDOWS\pss\Logitech SetPoint.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programma's^Opstarten^Microsoft Office.lnk]
path=C:\Documents and Settings\All Users\Menu Start\Programma's\Opstarten\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ClockWallpaper]
"C:\Program Files\ClockWallpaper\ClockWallpaper.exe" /a

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Corel Photo Downloader]
C:\Program Files\Corel\Corel Photo Album 6\MediaDetect.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DetectorApp]
C:\Program Files\Sonic\DigitalMedia LE v7\MyDVD LE\DetectorApp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DriveIcons]
"C:\Program Files\Realtek\Card Reader Software\DriveIcon\DriveIcon.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FolderView]
rundll32.exe "C:\WINDOWS\system32\ktdsdwkx.dll",sitypnow

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]
C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]
"C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
~"C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Program Files\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
SkyTel.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SmpcSys]
C:\APPS\SMP\SmpSys.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
"C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SweetIM]
C:\Program Files\Macrogaming\SweetIM\SweetIM.exe

R2 SrvCDEject;SrvCDEject;C:\Program Files\Packard Bell\SrvCDEject.exe
R3 RTSTOR;USB Mass Stroage Device;C:\WINDOWS\system32\drivers\RTSTOR.SYS
S0 viamraid;viamraid;C:\WINDOWS\system32\DRIVERS\viam raid.sys
S3 ADM8511;ADMtek ADM8511/AN986 USB To Fast Ethernet Converter;C:\WINDOWS\system32\DRIVERS\ADM8511.SYS
S3 LUsbFilt;Logitech SetPoint KMDF USB Filter;C:\WINDOWS\system32\Drivers\LUsbFilt.Sys
S3 w300bus;Sony Ericsson W300 Driver driver (WDM);C:\WINDOWS\system32\DRIVERS\w300bus.sys
S3 w300mdfl;Sony Ericsson W300 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\w300mdfl.sys
S3 w300mdm;Sony Ericsson W300 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\w300mdm.sys
S3 w300mgmt;Sony Ericsson W300 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\w300mgmt.sys
S3 w300obex;Sony Ericsson W300 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\w300obex.sys

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{d1b79c99-91eb-11db-a27e-806d6172696f}]
\Shell\AutoRun\command - D:\Setup.exe

*Newly Created Service* - CATCHME
.
************************************************** ************************

catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-11 22:45:21
Windows 5.1.2600 Service Pack 2 NTFS

scannen van verborgen processen ...

scannen van verborgen autostart items ...

scannen van verborgen bestanden ...

Scan succesvol afgerond
verborgen bestanden: 0

************************************************** ************************
.
Voltooingstijd: 2007-11-11 22:46:13
.
--- E O F ---

[De Steppewolf]

Als die combofix aan het lopen was heeft mijn AVG 2 keer een virusmelding gegeven

Ja dat kan wel, combofix heeft bv. een onderdeeltje dat automatisch de pc kan herstarten of waarmee commando's ingegeven kunnen worden, en dat wordt door sommige scanners wel eens gemeld als possible risk of potentially unwanted tool ed, omdat die het verdacht vinden dat een tooltje zonder ingrijpen van de gebruiker bv. de pc kan herstarten. maar dat hoort er dus bij en onschadelijk, geen virus oid.


Even een vraagje, heb je evtl. onlangs op ene linkje geklikt dat zich automatisch verspreidde via messenger, tussen contactpersonen die die moment online waren (een "messenger worm") ? Laat het dna nog eventjes weten ook, want dan moeten er nog wat dingen gebeuren.


Uit het combfix logje komen nog wat zaken, wschl. inactieve restjes dus op zich gaan die niets meer kunnen uithalen, maar we zullen die dingen er toch nog maar even ook uithalen


Doe daarvoor volgende eens :


dit kladblokbestandje aanmaken en in combofix slepen
* Open kladblok (Ga naar Start > alle progr. --> bureau-accessoires > kladblok)
* Kopieer onderstaande in paars gezette tekst, en plak die in het lege kladblokbestand.

File::
C:\WINDOWS\system32\fgjlm.ini2
C:\WINDOWS\system32\fgjlm.bak2
C:\WINDOWS\system32\fgjlm.bak1
C:\WINDOWS\system32\ktdsdwkx.dll

Folder::
C:\Program Files\Macrogaming\SweetIM

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FolderView]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SweetIM]

* Kies dan voor "opslaan als" en sla op op het Bureaublad met de bestandsnaam CFScript.txt
* Sleep dit net aangemaakte kladblokbestandje CFScript.txt in ComboFix.exe, zoals getoond in onderstaande afbeelding



* Dit zal Combofix doen herstarten.
(Indien erom gevraagd wordt, herstart dan de PC.)
* Post dan (na heropenen van combofix of na de herstart) de inhoud van Combofix.txt mee in je volgende reactie.

Hoe gaat het er dna verder mee ?
Merk je evtl nog problemen of werkt alles weer helemaal naar behoren ?


Succes

[Mriya]

Hey juppekes


Msn gebruiken wij in feite niet meer.

Probleem met startpagina is ook opgelost bedankt.


ComboFix 07-11-08.1 - Gwendoline 2007-11-11 23:31:22.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1043.18.1594 [GMT 1:00]
Gestart vanuit: C:\Documents and Settings\Gwendoline\Bureaublad\ComboFix.exe
Command switches used :: C:\Documents and Settings\Gwendoline\Bureaublad\CFScript.txt
* Nieuw herstelpunt werd aangemaakt

FILE
C:\WINDOWS\system32\fgjlm.bak1
C:\WINDOWS\system32\fgjlm.bak2
C:\WINDOWS\system32\fgjlm.ini2
C:\WINDOWS\system32\ktdsdwkx.dll
.

(((((((((((((((((((((((((((((((((( Andere Verwijderingen )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Program Files\Macrogaming\SweetIM
C:\Program Files\Macrogaming\SweetIM\conf\users\an225_mriya@h otmail.com\emoticons_shortcut.xml
C:\Program Files\Macrogaming\SweetIM\conf\users\an225_mriya@h otmail.com\lastuse_DisplayPictures.xml
C:\Program Files\Macrogaming\SweetIM\conf\users\an225_mriya@h otmail.com\lastuse_SpecialFX.xml
C:\Program Files\Macrogaming\SweetIM\conf\users\an225_mriya@h otmail.com\user_config.xml
C:\Program Files\Macrogaming\SweetIM\conf\users\caipirihnax2@ hotmail.com\emoticons_shortcut.xml
C:\Program Files\Macrogaming\SweetIM\conf\users\caipirihnax2@ hotmail.com\user_config.xml
C:\Program Files\Macrogaming\SweetIM\conf\users\main_user_con fig.xml
C:\Program Files\Macrogaming\SweetIM\conf\users\tom-quaegebeur@hotmail.com\emoticons_shortcut.xml
C:\Program Files\Macrogaming\SweetIM\conf\users\tom-quaegebeur@hotmail.com\user_config.xml
C:\Program Files\Macrogaming\SweetIM\conf\users\treasurefalls 7@hotmail.com\emoticons_shortcut.xml
C:\Program Files\Macrogaming\SweetIM\conf\users\treasurefalls 7@hotmail.com\lastuse_Emoticons.xml
C:\Program Files\Macrogaming\SweetIM\conf\users\treasurefalls 7@hotmail.com\lastuse_SoundFX.xml
C:\Program Files\Macrogaming\SweetIM\conf\users\treasurefalls 7@hotmail.com\lastuse_SpecialFX.xml
C:\Program Files\Macrogaming\SweetIM\conf\users\treasurefalls 7@hotmail.com\lastuse_Winks.xml
C:\Program Files\Macrogaming\SweetIM\conf\users\treasurefalls 7@hotmail.com\user_config.xml
C:\Program Files\Macrogaming\SweetIM\data\contentdb\000100AE.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\000100B3.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\000100B4.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\000100B6.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\000100BB.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\000100BE.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\000100C4.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\000100CF.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\000100D1.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\000100D2.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\000100E7.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\000100E8.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\000100F9.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\000100FA.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\000100FD.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\000100FE.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\000100FF.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00010100.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00010105.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00010108.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\0001010C.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00010119.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\0001011E.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00010122.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00010819.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00010850.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00010853.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00010856.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00010857.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00010859.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\0001085D.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00010861.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00010872.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00010879.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00020059.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00020061.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00020066.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00020069.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\0002006C.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\0002006D.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\0002006E.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00020075.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00020079.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\0002007A.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\000200B8.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\000200BF.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\000200C3.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\000200C6.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\000200D8.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\000200D9.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00020109.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00020111.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00020112.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00020118.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00020119.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\0002011E.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00020121.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\0002012D.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00020134.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00030005.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00030007.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00030013.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\0003001D.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00030021.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00040012.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00040014.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00040015.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\0004001F.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00040021.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00040022.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00040024.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00040028.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00040029.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00040033.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00040039.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00040044.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00040048.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\0004004D.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\0004004F.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00040059.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\0004005A.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00040060.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00040068.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\0004006E.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\0004006F.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00040073.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00040074.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00040077.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00040097.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\0004009B.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\000400A3.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00050001.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00050002.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00060016.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\0006001D.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00060027.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\0006002A.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00060033.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\0006003A.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\0006006C.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00060074.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00060090.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\cache_ind x.dat
C:\Program Files\Macrogaming\SweetIM\mgMsnProt.dll
C:\Program Files\Macrogaming\SweetIM\resources\gdiplus.dll
C:\Program Files\Macrogaming\SweetIM\resources\ImageOle.dll
C:\Program Files\Macrogaming\SweetIM\update\lastversioninfo.x ml
C:\WINDOWS\system32\fgjlm.bak1
C:\WINDOWS\system32\fgjlm.bak2
C:\WINDOWS\system32\fgjlm.ini2

.
(((((((((((((((((((( Bestanden Gemaakt van 2007-10-11 to 2007-11-11 ))))))))))))))))))))))))))))))
.

2007-11-11 22:41 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-11-11 16:35 <DIR> d-------- C:\Program Files\Trend Micro
2007-11-11 12:44 79,688 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2007-11-11 12:44 62,280 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2007-11-11 12:44 41,288 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2007-11-11 12:44 29,000 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2007-11-11 12:43 <DIR> d-------- C:\Program Files\Webroot
2007-11-11 12:43 <DIR> d-------- C:\Program Files\Spyware Doctor
2007-11-11 12:43 <DIR> d-------- C:\Documents and Settings\Gwendoline\Application Data\Webroot
2007-11-11 12:43 <DIR> d-------- C:\Documents and Settings\Gwendoline\Application Data\PC Tools
2007-11-11 12:43 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Webroot
2007-11-11 12:43 144,960 --a------ C:\WINDOWS\system32\drivers\ssidrv.sys
2007-11-11 12:43 22,080 --a------ C:\WINDOWS\system32\drivers\sshrmd.sys
2007-11-11 12:43 21,056 --a------ C:\WINDOWS\system32\drivers\sskbfd.sys
2007-11-11 12:43 20,544 --a------ C:\WINDOWS\system32\drivers\SSFS0509.sys
2007-11-11 12:43 164 --a------ C:\install.dat
2007-11-11 12:42 <DIR> d-------- C:\Program Files\Lavasoft
2007-11-11 12:41 <DIR> d-------- C:\Program Files\SpywareBlaster
2007-11-10 19:44 <DIR> d-------- C:\Program Files\Kruidvat - Fotoservice
2007-11-10 19:14 <DIR> d-------- C:\Documents and Settings\Gwendoline\Application Data\Corel Photo Album
2007-11-10 19:13 56 -r-hs---- C:\WINDOWS\system32\13BA9DB1AA.sys
2007-11-10 19:11 3,350 --ahs---- C:\WINDOWS\system32\KGyGaAvL.sys
2007-10-22 22:01 <DIR> dr-h----- C:\Documents and Settings\Gwendoline\Onlangs geopend
2007-10-17 20:14 <DIR> d-------- C:\Documents and Settings\Gwendoline\Application Data\gtk-2.0
2007-10-17 20:14 <DIR> d-------- C:\Documents and Settings\Gwendoline\.thumbnails

.
((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))) ))
.
2007-11-11 22:34 --------- d-----w C:\Program Files\Macrogaming
2007-11-11 21:57 --------- d-----w C:\Program Files\Java
2007-11-11 14:20 --------- d-----w C:\Program Files\Hitman Pro
2007-11-11 14:12 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP
2007-11-11 12:29 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2007-11-11 11:49 --------- d-----w C:\Documents and Settings\Gwendoline\Application Data\Lavasoft
2007-11-11 10:52 --------- d-----w C:\Documents and Settings\Gwendoline\Application Data\AVG7
2007-11-11 10:24 --------- d-----w C:\Program Files\Yahoo!
2007-11-11 10:23 --------- d-----w C:\Program Files\Zylom Games
2007-11-11 10:23 --------- d-----w C:\Program Files\GIMP-2.0
2007-11-11 10:22 --------- d-----w C:\Program Files\Songbird
2007-11-11 10:17 --------- d-----w C:\Program Files\Multicom
2007-11-11 10:12 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-11-11 10:12 --------- d-----w C:\Program Files\Disney Interactive
2007-11-11 10:10 --------- d-----w C:\Program Files\Awasu
2007-11-11 10:09 --------- d-----w C:\Program Files\ASCII Art Generator
2007-11-10 18:13 --------- d-----w C:\Program Files\Corel
2007-11-08 14:03 --------- d-----w C:\Program Files\SecondLife
2007-11-08 05:45 --------- d-----w C:\Documents and Settings\Gwendoline\Application Data\ZoomBrowser EX
2007-11-08 05:44 --------- d-----w C:\Documents and Settings\All Users\Application Data\ZoomBrowser
2007-11-01 18:12 --------- d-----w C:\Documents and Settings\Gwendoline\Application Data\PlayFirst
2007-11-01 18:12 --------- d-----w C:\Documents and Settings\All Users\Application Data\PlayFirst
2007-10-25 16:51 --------- d-----w C:\Program Files\Weight Watchers FlexiPoints
2007-10-15 05:23 --------- d--h--w C:\Program Files\Zero G Registry
2007-10-06 07:11 --------- d-----w C:\Documents and Settings\All Users\Application Data\NannyMania
2007-10-06 07:10 --------- d-----w C:\Documents and Settings\Gwendoline\Application Data\Zylom
2007-09-28 21:07 --------- d-----w C:\Program Files\SUPERAntiSpyware
2007-09-28 21:07 --------- d-----w C:\Program Files\Common Files\Wise Installation Wizard
2007-09-28 21:07 --------- d-----w C:\Documents and Settings\Gwendoline\Application Data\SUPERAntiSpyware.com
2007-09-28 21:03 --------- d-----w C:\Documents and Settings\All Users\Application Data\SUPERAntiSpyware.com
2007-09-27 18:18 --------- d-----w C:\Program Files\Opanda
2007-09-27 18:17 --------- d-----w C:\Program Files\OpenOffice.org 2.1
2007-09-26 18:42 --------- d-----w C:\Program Files\VirtualDJ
2007-09-26 18:20 --------- d-----w C:\Documents and Settings\All Users\Application Data\Prevx
2007-09-25 13:24 --------- d-----w C:\Documents and Settings\All Users\Application Data\MumboJumbo
2007-09-17 17:52 --------- d-----w C:\Program Files\LimeWire
2007-09-14 12:49 --------- d-----w C:\Documents and Settings\All Users\Application Data\TERMINAL Studio
2007-06-19 14:40 111,840 ----a-w C:\Documents and Settings\Gwendoline\Application Data\GDIPFONTCACHEV1.DAT
2007-01-07 19:33 276 ----a-w C:\Program Files\idimager.idiftppro
2007-01-07 15:41 15,323,708 ----a-w C:\Program Files\Weight Watchers FlexiPoints.zip
2006-07-11 06:51 0 ----a-w C:\Program Files\PaintShopPro9pspbrwse.jbf
2006-05-25 19:05 703,488 ----a-w C:\Program Files\ExifRead.exe
2006-03-30 15:32 2,610 ----a-w C:\Program Files\mirc.ini
2006-01-31 18:04 1,836,032 ----a-w C:\Program Files\BDSizer.exe
.

((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
.
*Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.e xe" [2004-09-02 14:00]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT \TINTSETP.exe" [2004-09-02 14:00]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TIN TSETP.exe" [2004-09-02 14:00]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-09-29 14:01]
"RTHDCPL"="RTHDCPL.EXE" [2006-05-18 13:27 C:\WINDOWS\RTHDCPL.exe]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-04-27 23:47]
"nwiz"="nwiz.exe" [2006-04-27 23:47 C:\WINDOWS\system32\nwiz.exe]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc. exe" [2007-10-23 07:41]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-01-23 14:44 C:\WINDOWS\KHALMNPR.Exe]
"ISUSPM Startup"="C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" [2005-06-10 10:44]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-09-02 14:00]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\policies\system]
"InstallVisualStyle"=C:\WINDOWS\Resources\Themes\R oyale\Royale.msstyles
"InstallTheme"=C:\WINDOWS\Resources\Themes\Royale. theme

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\sdauxservice"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\sdcoreservice"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\WdfLoadGroup"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programma's^Opstarten^Adobe Reader Snelle start.lnk]
path=C:\Documents and Settings\All Users\Menu Start\Programma's\Opstarten\Adobe Reader Snelle start.lnk
backup=C:\WINDOWS\pss\Adobe Reader Snelle start.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programma's^Opstarten^Logitech SetPoint.lnk]
path=C:\Documents and Settings\All Users\Menu Start\Programma's\Opstarten\Logitech SetPoint.lnk
backup=C:\WINDOWS\pss\Logitech SetPoint.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programma's^Opstarten^Microsoft Office.lnk]
path=C:\Documents and Settings\All Users\Menu Start\Programma's\Opstarten\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ClockWallpaper]
"C:\Program Files\ClockWallpaper\ClockWallpaper.exe" /a

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Corel Photo Downloader]
C:\Program Files\Corel\Corel Photo Album 6\MediaDetect.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DetectorApp]
C:\Program Files\Sonic\DigitalMedia LE v7\MyDVD LE\DetectorApp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DriveIcons]
"C:\Program Files\Realtek\Card Reader Software\DriveIcon\DriveIcon.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]
C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]
"C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
~"C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Program Files\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
SkyTel.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SmpcSys]
C:\APPS\SMP\SmpSys.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
"C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions

R2 SrvCDEject;SrvCDEject;C:\Program Files\Packard Bell\SrvCDEject.exe
R3 RTSTOR;USB Mass Stroage Device;C:\WINDOWS\system32\drivers\RTSTOR.SYS
S0 viamraid;viamraid;C:\WINDOWS\system32\DRIVERS\viam raid.sys
S3 ADM8511;ADMtek ADM8511/AN986 USB To Fast Ethernet Converter;C:\WINDOWS\system32\DRIVERS\ADM8511.SYS
S3 LUsbFilt;Logitech SetPoint KMDF USB Filter;C:\WINDOWS\system32\Drivers\LUsbFilt.Sys
S3 w300bus;Sony Ericsson W300 Driver driver (WDM);C:\WINDOWS\system32\DRIVERS\w300bus.sys
S3 w300mdfl;Sony Ericsson W300 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\w300mdfl.sys
S3 w300mdm;Sony Ericsson W300 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\w300mdm.sys
S3 w300mgmt;Sony Ericsson W300 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\w300mgmt.sys
S3 w300obex;Sony Ericsson W300 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\w300obex.sys

.
************************************************** ************************

catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-11 23:35:49
Windows 5.1.2600 Service Pack 2 NTFS

scannen van verborgen processen ...

scannen van verborgen autostart items ...

scannen van verborgen bestanden ...

Scan succesvol afgerond
verborgen bestanden: 0

************************************************** ************************
.
Voltooingstijd: 2007-11-11 23:37:36 - machine was rebooted
C:\ComboFix2.txt ... 2007-11-11 22:46
.
--- E O F ---

[De Steppewolf]

Dat zoet er goed uit
Clean verder en moi dat het pobleem opgelost is !!


Hou het nog even in de gaten, maar normaalgezien zit het goed zo.


Als alles de komende uren/dagen in orde blijft kan je aanvullend nog volgende "na stappen" doen :

Dit mapje nog verwijderen :
c:\qoobox <--- mapje qoobox
(zijn de backups die aangemaakt werden door combofix. Kan geen kwaad dat dat mapje gewoon blijft staan hoor, maar het kan bv. zijn dat je bij latere scans, bv. van een online scanner, meldingen krijgt van infecties die daar in aangetroffen worden.

Idem met "c:\system volume infomation\restore...." als je bij latere scans met bv. je antivirusscanner of een online virusscan meldingen krijgt van infecties aangetroffen in die map, dan om die weg te krijgen de herstelpunten van XP's systeemherstel eens verwijderen. Dan doe je door systeemherstel even uit en weer aan te zetten.
Ook hier geldt wel dat dat geen kwaad meer kan, ze zitten daar ook vast (tenzij je systeemherstel zou doen naar een "besmette datum"), dus op zich hoeft het ook niet.
Hier kan je er meer over lezen :
http://service1.symantec.com/SUPPORT...c?OpenDocument
Daarbij is de scanner wel Norton, maar dat is dus algemeen, geldt ook voor mocht AVG dit melden oid.


Veel malwarevrij en problemenvrij pc plezier verder

[Mriya]

hey juppekes

Nog eens bedankt om mij zo maar te helpen en ook zo rap

Ik hoop in de toekomst ook eens iets voor u terug te kunnen doen

[Fotofolio]

NERDS



Leuk dat er op BD mensen zijn dit dit soort dingen kunnen behelpen

[De Steppewolf]

Nerd nerd.. reken mij maar tot de beauty's zenne

Graag gedaan, Mriya, super dat het weer in orde is en de malware eruit is