• Hulpvragenden in dit forumonderdeel worden enkel geholpen door daartoe bevoegde teamleden.
    Dit is belangrijk, zodat de hulpvragende goed geholpen kan worden zonder (goedbedoelde) aanvullende berichten van andere leden.
    Reageren op andermans discussie is daarom uitgeschakeld.
  • De afgelopen dagen zijn er meerdere fora waarop bestaande accounts worden overgenomen door spammers. De gebruikersnamen en wachtwoorden zijn via een hack of een lek via andere sites buitgemaakt. Via have i been pwned? kan je controleren of jouw gegeven ook zijn buitgemaakt. Wijzig bij twijfel jouw wachtwoord of schakel de twee-staps-verificatie in.

Svchost.exe probleem 2

Status
Niet open voor verdere reacties.

Technical miracle

Technical miracle
Lid geworden
18 mrt 2006
Berichten
78
Waarderingsscore
0
Hoi,

Helaas een vervolg op 'svchost.exe probleem' :frusty:

http://www.nationaalcomputerforum.nl/showthread.php?p=542538#post542538

Ik krijg weer een lading met svchost.exe en andere virusmeldingen via AVG.

Ik heb vanmiddag spybot en malwarebytes een aantal problemen laten oplossen maar ik ben er nog niet ben ik bang.

Hieronder de resultaten van Malwarebytes en HJT.

Het runnen van SDfix in de veilige modus lukte niet, er verschijnt eventjes een blauw scherm dat daarna weer verdwijnt, geen dos modus met instructies o.i.d.

Gr, TM


Malwarebytes' Anti-Malware 1.42
Database versie: 3440
Windows 6.1.7600 (Safe Mode)
Internet Explorer 8.0.7600.16385

10-1-2010 16:39:36
mbam-log-2010-01-10 (16-39-36).txt

Scan type: Snelle Scan
Objecten gescand: 97591
Verstreken tijd: 20 minute(s), 18 second(s)

Geheugenprocessen genfecteerd: 0
Geheugenmodulen genfecteerd: 0
Registersleutels genfecteerd: 0
Registerwaarden genfecteerd: 2
Registerdata bestanden genfecteerd: 0
Mappen genfecteerd: 0
Bestanden genfecteerd: 5

Geheugenprocessen genfecteerd:
(Geen kwaadaardige items gevonden)

Geheugenmodulen genfecteerd:
(Geen kwaadaardige items gevonden)

Registersleutels genfecteerd:
(Geen kwaadaardige items gevonden)

Registerwaarden genfecteerd:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lrec75dnd7 (Trojan.Dropper) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\losalamos (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Registerdata bestanden genfecteerd:
(Geen kwaadaardige items gevonden)

Mappen genfecteerd:
(Geen kwaadaardige items gevonden)

Bestanden genfecteerd:
C:\Windows\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Windows\Temp\b.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Windows\Temp\c.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Windows\System32\sshnas.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.



[hjt]
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:46:10, on 10-1-2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
c:\windows\system32\dwm.exe
c:\windows\explorer.exe
c:\windows\system32\taskhost.exe
c:\program files\security\avgtray.exe
c:\windows\system32\igfxtray.exe
c:\windows\system32\hkcmd.exe
c:\windows\system32\igfxpers.exe
c:\program files\officemicrosoft office\office12\groovemonitor.exe
c:\program files\synaptics\syntp\syntpenh.exe
c:\windows\system32\igfxsrvc.exe
c:\program files\office\goodsync\goodsync.exe
c:\program files\common files\ahead\lib\nmbgmonitor.exe
c:\program files\synaptics\syntp\syntphelper.exe
c:\windows\system32\wbem\unsecapp.exe
c:\program files\common files\ahead\lib\nmindexstoresvr.exe
c:\program files\office\mozilla\firefox.exe
c:\program files\office\spss\spss.exe
c:\program files\office\adobe\reader\acrord32.exe
c:\program files\officemicrosoft office\office12\winword.exe
c:\program files\security\avgcsrvx.exe
c:\program files\entertainment\winamp\winamp.exe
c:\program files\security\trend micro\hijackthis\problemen.exe

r1 - hkcu\software\microsoft\internet explorer\main,search page = [noparse]http://go.microsoft.com/fwlink/?linkid=54896[/noparse]
r0 - hkcu\software\microsoft\internet explorer\main,start page = [noparse]http://go.microsoft.com/fwlink/?linkid=69157[/noparse]
r1 - hklm\software\microsoft\internet explorer\main,default_page_url = [noparse]http://go.microsoft.com/fwlink/?linkid=69157[/noparse]
r1 - hklm\software\microsoft\internet explorer\main,default_search_url = [noparse]http://go.microsoft.com/fwlink/?linkid=54896[/noparse]
r1 - hklm\software\microsoft\internet explorer\main,search page = [noparse]http://go.microsoft.com/fwlink/?linkid=54896[/noparse]
r0 - hklm\software\microsoft\internet explorer\main,start page = [noparse]http://go.microsoft.com/fwlink/?linkid=69157[/noparse]
r0 - hklm\software\microsoft\internet explorer\search,searchassistant =
r0 - hklm\software\microsoft\internet explorer\search,customizesearch =
r0 - hkcu\software\microsoft\internet explorer\toolbar,linksfoldername =
o2 - bho: acroiehelperstub - {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\acroiehelpershim.dll
o2 - bho: wormradar.com iesiteblocker.navfilter - {3ca2f312-6f6e-4b53-a66e-4e65e497c8c0} - c:\program files\security\avgssie.dll
o2 - bho: groove gfs browser helper - {72853161-30c5-4d22-b7f9-0bbc1d38a37e} - c:\program files\officemicrosoft office\office12\grooveshellextensions.dll
o4 - hklm\..\run: [avg9_tray] c:\progra~1\security\avgtray.exe
o4 - hklm\..\run: [igfxtray] c:\windows\system32\igfxtray.exe
o4 - hklm\..\run: [hotkeyscmds] c:\windows\system32\hkcmd.exe
o4 - hklm\..\run: [persistence] c:\windows\system32\igfxpers.exe
o4 - hklm\..\run: [groovemonitor] c:\program files\officemicrosoft office\office12\groovemonitor.exe
o4 - hklm\..\run: [nerofiltercheck] c:\program files\common files\ahead\lib\nerocheck.exe
o4 - hklm\..\run: [syntpenh] c:\program files\synaptics\syntp\syntpenh.exe
o4 - hklm\..\run: [adobe reader speed launcher] c:\program files\office\adobe\reader\reader_sl.exe
o4 - hklm\..\run: [adobe arm] c:\program files\common files\adobe\arm\1.0\adobearm.exe
o4 - hklm\..\run: [malwarebytes anti-malware (reboot)] c:\program files\security\malwarebytes' anti-malware\mbam.exe /runcleanupscript
o4 - hkcu\..\run: [goodsync] c:\program files\office\goodsync\goodsync.exe /min
o4 - hkcu\..\run: [bgmonitor_{79662e04-7c6c-4d9f-84c7-88d8a56b10aa}] c:\program files\common files\ahead\lib\nmbgmonitor.exe
o4 - hkus\s-1-5-19\..\run: [sidebar] %programfiles%\windows sidebar\sidebar.exe /autorun (user 'local service')
o4 - hkus\s-1-5-19\..\runonce: [mctadmin] c:\windows\system32\mctadmin.exe (user 'local service')
o4 - hkus\s-1-5-20\..\run: [sidebar] %programfiles%\windows sidebar\sidebar.exe /autorun (user 'network service')
o4 - hkus\s-1-5-20\..\runonce: [mctadmin] c:\windows\system32\mctadmin.exe (user 'network service')
o4 - global startup: vpn client.lnk = ?
o8 - extra context menu item: append link target to existing pdf - res://c:\program files\common files\adobe\acrobat\activex\acroiefavclient.dll/acroieappendsellinks.html
o8 - extra context menu item: e&xport to microsoft excel - res://c:\progra~1\office~1\office12\excel.exe/3000
o9 - extra button: verzenden naar onenote - {2670000a-7350-4f3c-8081-5663ee0c6c49} - c:\progra~1\office~1\office12\onbttnie.dll
o9 - extra 'tools' menuitem: verz&enden naar onenote - {2670000a-7350-4f3c-8081-5663ee0c6c49} - c:\progra~1\office~1\office12\onbttnie.dll
o9 - extra button: research - {92780b25-18cc-41c8-b9be-3c9c571a8263} - c:\progra~1\office~1\office12\refiebar.dll
o13 - gopher prefix:
o18 - protocol: groovelocalgws - {88fed34c-f0ca-4636-a375-3cb6248b04cd} - c:\program files\officemicrosoft office\office12\groovesystemservices.dll
o18 - protocol: linkscanner - {f274614c-63f8-47d5-a4d1-fbdde494f8d1} - c:\program files\security\avgpp.dll
o20 - appinit_dlls: avgrsstx.dll
o23 - service: avg free e-mail scanner (avg9emc) - avg technologies cz, s.r.o. - c:\program files\security\avgemc.exe
o23 - service: avg free watchdog (avg9wd) - avg technologies cz, s.r.o. - c:\program files\security\avgwdsvc.exe
o23 - service: cisco systems, inc. vpn service (cvpnd) - cisco systems, inc. - c:\program files\office\vpn\cvpnd.exe
o23 - service: nmindexingservice - nero ag - c:\program files\common files\ahead\lib\nmindexingservice.exe
o23 - service: sbsd security center service (sbsdwscservice) - safer networking ltd. - c:\program files\security\spybot - search & destroy\sdwinsec.exe
--
end of file - 5692 bytes

[/hjt]
 
Re: svchost.exe probleem_2

Hoi Technical Miracle :)


MBAM heeft zo te zien al wel goed werk geleverd, en in het HJT logje staat niets verkeerds in, dat is ook alvast goed.

Kan je eens een Combofix logje maken (mocht je na MBAM nog niet herstart hebben, doe dat dan even eerst vor het laten lopen van combofix)
Zie hier (klik) voor de uitleg hoe een combofixlogje te maken (de uitleg lijkt langer dan het in principe maar is ;))
(haal het combofixlogje ook even door de kleurcodering)
Eens kijken wat die zegt.


succes! :)
 
Hoi,

Heb vandaag een aantal meldingen gehad van svchost.exe maar het lijkt of avg deze in quarantaine heeft gezet. Verder nog een aantal meldingen van IE over het installeren van een adobe applicatie die ik allemaal heb geannuleerd. Hieronder het Combofix logje.

Groet, TM

[hjt]
combofix 10-01-04.01 - a vonk noordegraaf 11-01-2010 18:03:27.1.1 - x86
microsoft windows 7 ultimate 6.1.7600.0.1252.31.1033.18.2039.1192 [gmt 1:00]
gestart vanuit: c:\users\a vonk noordegraaf\desktop\combofix.exe
sp: spybot - search and destroy *disabled* (outdated) {ed588faf-1b8f-43b4-aca8-8e3c85dadbe9}
.
(((((((((((((((((((((((((((((((((( andere verwijderingen )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\users\a vonk noordegraaf\appdata\local\temp\wlz9c1f.tmp\dsp_sps.lng
c:\users\a vonk noordegraaf\appdata\local\temp\wlz9c1f.tmp\enc_aacplus.lng
c:\users\a vonk noordegraaf\appdata\local\temp\wlz9c1f.tmp\enc_flac.lng
c:\users\a vonk noordegraaf\appdata\local\temp\wlz9c1f.tmp\enc_lame.lng
c:\users\a vonk noordegraaf\appdata\local\temp\wlz9c1f.tmp\enc_vorbis.lng
c:\users\a vonk noordegraaf\appdata\local\temp\wlz9c1f.tmp\enc_wav.lng
c:\users\a vonk noordegraaf\appdata\local\temp\wlz9c1f.tmp\enc_wma.lng
c:\users\a vonk noordegraaf\appdata\local\temp\wlz9c1f.tmp\gen_crasher.lng
c:\users\a vonk noordegraaf\appdata\local\temp\wlz9c1f.tmp\gen_ff.lng
c:\users\a vonk noordegraaf\appdata\local\temp\wlz9c1f.tmp\gen_hotkeys.lng
c:\users\a vonk noordegraaf\appdata\local\temp\wlz9c1f.tmp\gen_ml.lng
c:\users\a vonk noordegraaf\appdata\local\temp\wlz9c1f.tmp\gen_tray.lng
c:\users\a vonk noordegraaf\appdata\local\temp\wlz9c1f.tmp\in_cdda.lng
c:\users\a vonk noordegraaf\appdata\local\temp\wlz9c1f.tmp\in_dshow.lng
c:\users\a vonk noordegraaf\appdata\local\temp\wlz9c1f.tmp\in_flac.lng
c:\users\a vonk noordegraaf\appdata\local\temp\wlz9c1f.tmp\in_flv.lng
c:\users\a vonk noordegraaf\appdata\local\temp\wlz9c1f.tmp\in_linein.lng
c:\users\a vonk noordegraaf\appdata\local\temp\wlz9c1f.tmp\in_midi.lng
c:\users\a vonk noordegraaf\appdata\local\temp\wlz9c1f.tmp\in_mod.lng
c:\users\a vonk noordegraaf\appdata\local\temp\wlz9c1f.tmp\in_mp3.lng
c:\users\a vonk noordegraaf\appdata\local\temp\wlz9c1f.tmp\in_mp4.lng
c:\users\a vonk noordegraaf\appdata\local\temp\wlz9c1f.tmp\in_nsv.lng
c:\users\a vonk noordegraaf\appdata\local\temp\wlz9c1f.tmp\in_swf.lng
c:\users\a vonk noordegraaf\appdata\local\temp\wlz9c1f.tmp\in_vorbis.lng
c:\users\a vonk noordegraaf\appdata\local\temp\wlz9c1f.tmp\in_wave.lng
c:\users\a vonk noordegraaf\appdata\local\temp\wlz9c1f.tmp\in_wm.lng
c:\users\a vonk noordegraaf\appdata\local\temp\wlz9c1f.tmp\ml_autotag.lng
c:\users\a vonk noordegraaf\appdata\local\temp\wlz9c1f.tmp\ml_bookmarks.lng
c:\users\a vonk noordegraaf\appdata\local\temp\wlz9c1f.tmp\ml_dash.lng
c:\users\a vonk noordegraaf\appdata\local\temp\wlz9c1f.tmp\ml_disc.lng
c:\users\a vonk noordegraaf\appdata\local\temp\wlz9c1f.tmp\ml_history.lng
c:\users\a vonk noordegraaf\appdata\local\temp\wlz9c1f.tmp\ml_impex.lng
c:\users\a vonk noordegraaf\appdata\local\temp\wlz9c1f.tmp\ml_local.lng
c:\users\a vonk noordegraaf\appdata\local\temp\wlz9c1f.tmp\ml_nowplaying.lng
c:\users\a vonk noordegraaf\appdata\local\temp\wlz9c1f.tmp\ml_online.lng
c:\users\a vonk noordegraaf\appdata\local\temp\wlz9c1f.tmp\ml_orb.lng
c:\users\a vonk noordegraaf\appdata\local\temp\wlz9c1f.tmp\ml_playlists.lng
c:\users\a vonk noordegraaf\appdata\local\temp\wlz9c1f.tmp\ml_plg.lng
c:\users\a vonk noordegraaf\appdata\local\temp\wlz9c1f.tmp\ml_pmp.lng
c:\users\a vonk noordegraaf\appdata\local\temp\wlz9c1f.tmp\ml_rg.lng
c:\users\a vonk noordegraaf\appdata\local\temp\wlz9c1f.tmp\ml_transcode.lng
c:\users\a vonk noordegraaf\appdata\local\temp\wlz9c1f.tmp\ml_wire.lng
c:\users\a vonk noordegraaf\appdata\local\temp\wlz9c1f.tmp\out_disk.lng
c:\users\a vonk noordegraaf\appdata\local\temp\wlz9c1f.tmp\out_ds.lng
c:\users\a vonk noordegraaf\appdata\local\temp\wlz9c1f.tmp\out_wave.lng
c:\users\a vonk noordegraaf\appdata\local\temp\wlz9c1f.tmp\playlist.lng
c:\users\a vonk noordegraaf\appdata\local\temp\wlz9c1f.tmp\pmp_activesync.lng
c:\users\a vonk noordegraaf\appdata\local\temp\wlz9c1f.tmp\pmp_ipod.lng
c:\users\a vonk noordegraaf\appdata\local\temp\wlz9c1f.tmp\pmp_njb.lng
c:\users\a vonk noordegraaf\appdata\local\temp\wlz9c1f.tmp\pmp_p4s.lng
c:\users\a vonk noordegraaf\appdata\local\temp\wlz9c1f.tmp\pmp_usb.lng
c:\users\a vonk noordegraaf\appdata\local\temp\wlz9c1f.tmp\tagz.lng
c:\users\a vonk noordegraaf\appdata\local\temp\wlz9c1f.tmp\vis_nsfs.lng
c:\users\a vonk noordegraaf\appdata\local\temp\wlz9c1f.tmp\winamp.lng
c:\users\avonkn~1\appdata\local\temp\wlz9c1f.tmp\dsp_sps.lng
c:\users\avonkn~1\appdata\local\temp\wlz9c1f.tmp\enc_aacplus.lng
c:\users\avonkn~1\appdata\local\temp\wlz9c1f.tmp\enc_flac.lng
c:\users\avonkn~1\appdata\local\temp\wlz9c1f.tmp\enc_lame.lng
c:\users\avonkn~1\appdata\local\temp\wlz9c1f.tmp\enc_vorbis.lng
c:\users\avonkn~1\appdata\local\temp\wlz9c1f.tmp\enc_wav.lng
c:\users\avonkn~1\appdata\local\temp\wlz9c1f.tmp\enc_wma.lng
c:\users\avonkn~1\appdata\local\temp\wlz9c1f.tmp\gen_crasher.lng
c:\users\avonkn~1\appdata\local\temp\wlz9c1f.tmp\gen_ff.lng
c:\users\avonkn~1\appdata\local\temp\wlz9c1f.tmp\gen_hotkeys.lng
c:\users\avonkn~1\appdata\local\temp\wlz9c1f.tmp\gen_ml.lng
c:\users\avonkn~1\appdata\local\temp\wlz9c1f.tmp\gen_tray.lng
c:\users\avonkn~1\appdata\local\temp\wlz9c1f.tmp\in_cdda.lng
c:\users\avonkn~1\appdata\local\temp\wlz9c1f.tmp\in_dshow.lng
c:\users\avonkn~1\appdata\local\temp\wlz9c1f.tmp\in_flac.lng
c:\users\avonkn~1\appdata\local\temp\wlz9c1f.tmp\in_flv.lng
c:\users\avonkn~1\appdata\local\temp\wlz9c1f.tmp\in_linein.lng
c:\users\avonkn~1\appdata\local\temp\wlz9c1f.tmp\in_midi.lng
c:\users\avonkn~1\appdata\local\temp\wlz9c1f.tmp\in_mod.lng
c:\users\avonkn~1\appdata\local\temp\wlz9c1f.tmp\in_mp3.lng
c:\users\avonkn~1\appdata\local\temp\wlz9c1f.tmp\in_mp4.lng
c:\users\avonkn~1\appdata\local\temp\wlz9c1f.tmp\in_nsv.lng
c:\users\avonkn~1\appdata\local\temp\wlz9c1f.tmp\in_swf.lng
c:\users\avonkn~1\appdata\local\temp\wlz9c1f.tmp\in_vorbis.lng
c:\users\avonkn~1\appdata\local\temp\wlz9c1f.tmp\in_wave.lng
c:\users\avonkn~1\appdata\local\temp\wlz9c1f.tmp\in_wm.lng
c:\users\avonkn~1\appdata\local\temp\wlz9c1f.tmp\ml_autotag.lng
c:\users\avonkn~1\appdata\local\temp\wlz9c1f.tmp\ml_bookmarks.lng
c:\users\avonkn~1\appdata\local\temp\wlz9c1f.tmp\ml_dash.lng
c:\users\avonkn~1\appdata\local\temp\wlz9c1f.tmp\ml_disc.lng
c:\users\avonkn~1\appdata\local\temp\wlz9c1f.tmp\ml_history.lng
c:\users\avonkn~1\appdata\local\temp\wlz9c1f.tmp\ml_impex.lng
c:\users\avonkn~1\appdata\local\temp\wlz9c1f.tmp\ml_local.lng
c:\users\avonkn~1\appdata\local\temp\wlz9c1f.tmp\ml_nowplaying.lng
c:\users\avonkn~1\appdata\local\temp\wlz9c1f.tmp\ml_online.lng
c:\users\avonkn~1\appdata\local\temp\wlz9c1f.tmp\ml_orb.lng
c:\users\avonkn~1\appdata\local\temp\wlz9c1f.tmp\ml_playlists.lng
c:\users\avonkn~1\appdata\local\temp\wlz9c1f.tmp\ml_plg.lng
c:\users\avonkn~1\appdata\local\temp\wlz9c1f.tmp\ml_pmp.lng
c:\users\avonkn~1\appdata\local\temp\wlz9c1f.tmp\ml_rg.lng
c:\users\avonkn~1\appdata\local\temp\wlz9c1f.tmp\ml_transcode.lng
c:\users\avonkn~1\appdata\local\temp\wlz9c1f.tmp\ml_wire.lng
c:\users\avonkn~1\appdata\local\temp\wlz9c1f.tmp\out_disk.lng
c:\users\avonkn~1\appdata\local\temp\wlz9c1f.tmp\out_ds.lng
c:\users\avonkn~1\appdata\local\temp\wlz9c1f.tmp\out_wave.lng
c:\users\avonkn~1\appdata\local\temp\wlz9c1f.tmp\playlist.lng
c:\users\avonkn~1\appdata\local\temp\wlz9c1f.tmp\pmp_activesync.lng
c:\users\avonkn~1\appdata\local\temp\wlz9c1f.tmp\pmp_ipod.lng
c:\users\avonkn~1\appdata\local\temp\wlz9c1f.tmp\pmp_njb.lng
c:\users\avonkn~1\appdata\local\temp\wlz9c1f.tmp\pmp_p4s.lng
c:\users\avonkn~1\appdata\local\temp\wlz9c1f.tmp\pmp_usb.lng
c:\users\avonkn~1\appdata\local\temp\wlz9c1f.tmp\tagz.lng
c:\users\avonkn~1\appdata\local\temp\wlz9c1f.tmp\vis_nsfs.lng
c:\users\avonkn~1\appdata\local\temp\wlz9c1f.tmp\winamp.lng
c:\windows\system32\lsprst7.dll
c:\windows\system32\prsgrc.dll
c:\windows\system32\sshnas.dll
c:\windows\tasks\{35dc3473-a719-4d14-b7c1-fd326ca84a0c}.job
c:\windows\tasks\{66ba574b-1e11-49b8-909c-8cc9e0e8e015}.job
d:\autorun.inf
g:\autorun.inf
.
(((((((((((((((((((( bestanden gemaakt van 2009-12-11 to 2010-01-11 ))))))))))))))))))))))))))))))
.
2010-01-11 17:19 . 2010-01-11 17:22 -------- d-----w- c:\users\a vonk noordegraaf\appdata\local\temp
2010-01-11 16:57 . 2010-01-11 16:59 -------- d-----w- c:\32788r22fwjfw
2010-01-11 10:37 . 2010-01-11 10:37 -------- d-----w- c:\program files\microsoft silverlight
2010-01-10 14:54 . 2008-11-06 01:03 -------- d-----w- c:\sdfix
2010-01-04 18:00 . 2010-01-04 18:00 -------- d-----w- c:\users\a vonk noordegraaf\appdata\roaming\dvdcss
2009-12-28 21:24 . 2009-07-14 01:26 21584 ----a-w- c:\atapi.sys
2009-12-27 16:18 . 2010-01-10 15:12 -------- d-----w- c:\programdata\spybot - search & destroy
2009-12-27 15:42 . 2009-12-27 15:42 -------- d-----w- c:\users\a vonk noordegraaf\appdata\local\ahead
2009-12-27 15:42 . 2010-01-08 08:58 -------- d-----w- c:\users\a vonk noordegraaf\appdata\local\adobe
2009-12-27 15:29 . 2009-12-27 15:29 -------- d-----w- c:\program files\xenocode
2009-12-27 15:29 . 2009-12-27 15:29 -------- d-----w- c:\windows\xsxs
2009-12-27 15:29 . 2009-12-27 15:29 -------- d-----w- c:\users\a vonk noordegraaf\appdata\local\re-enable v2
2009-12-27 12:22 . 2009-12-27 12:22 -------- d-----w- c:\users\a vonk noordegraaf\appdata\roaming\malwarebytes
2009-12-27 12:22 . 2009-12-03 15:14 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-27 12:22 . 2009-12-27 12:22 -------- d-----w- c:\programdata\malwarebytes
2009-12-27 12:22 . 2009-12-03 15:13 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-22 18:08 . 2009-12-22 18:08 -------- d-----w- c:\users\a vonk noordegraaf\appdata\local\sabnzbd
2009-12-15 16:54 . 2009-12-15 16:54 -------- d-----w- c:\users\a vonk noordegraaf\appdata\roaming\design science
.
((((((((((((((((((((((((((((((((((((((( find3m rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-11 16:53 . 2009-11-18 20:59 -------- d-----w- c:\program files\security
2010-01-10 21:34 . 2009-11-23 18:11 -------- d-----w- c:\users\a vonk noordegraaf\appdata\roaming\vlc
2010-01-10 19:18 . 2009-11-25 20:53 148 ----a-w- c:\programdata\safenet sentinel\sentinel rms development kit\system\prsgrc.dll
2010-01-10 14:13 . 2009-11-22 11:11 -------- d-----w- c:\users\a vonk noordegraaf\appdata\roaming\utorrent
2010-01-10 11:18 . 2009-11-18 20:49 112560 ----a-w- c:\users\a vonk noordegraaf\appdata\local\gdipfontcachev1.dat
2010-01-08 08:53 . 2009-11-23 17:31 -------- d-----w- c:\program files\common files\adobe
2010-01-08 08:53 . 2009-11-18 21:19 -------- d-----w- c:\program files\office
2010-01-04 20:57 . 2009-11-25 20:26 -------- d-----w- c:\users\a vonk noordegraaf\appdata\roaming\goodsync
2009-12-30 17:52 . 2009-11-18 20:59 -------- d-----w- c:\programdata\avg9
2009-12-22 18:08 . 2009-11-18 21:09 -------- d-----w- c:\program files\entertainment
2009-12-21 17:42 . 2009-11-18 21:09 -------- d-----w- c:\users\a vonk noordegraaf\appdata\roaming\winamp
2009-12-21 17:42 . 2009-11-23 18:06 -------- d-----w- c:\programdata\flexnet
2009-12-15 19:54 . 2009-11-22 15:05 -------- d-----w- c:\users\a vonk noordegraaf\appdata\roaming\endnote
2009-12-15 16:52 . 2009-11-18 20:52 -------- d-----w- c:\program files\officemicrosoft office
2009-12-15 08:32 . 2009-11-22 11:05 923456 ----a-w- c:\programdata\microsoft\ehome\packages\mcespotlight\mcespotlight\spotlightresources.dll
2009-12-13 09:57 . 2009-12-05 23:08 48648 ----a-w- c:\programdata\microsoft\ehome\packages\mceclientux\updateablemarkup-2\markup.dll
2009-12-11 22:26 . 2009-12-11 21:59 -------- d-----w- c:\users\a vonk noordegraaf\appdata\roaming\mp3tag
2009-12-11 21:59 . 2009-12-11 21:59 -------- d-----w- c:\program files\multimedia
2009-12-10 06:27 . 2009-11-18 20:52 -------- d-----w- c:\programdata\microsoft help
2009-12-08 11:32 . 2009-12-08 11:32 -------- d-----w- c:\program files\movie maker 2.6
2009-12-07 17:11 . 2009-12-07 17:11 0 ---ha-w- c:\windows\system32\drivers\msft_kernel_syntp_01000.wdf
2009-12-07 17:11 . 2009-12-07 17:11 -------- d-----w- c:\program files\synaptics
2009-12-07 16:12 . 2009-11-22 11:05 48648 ----a-w- c:\programdata\microsoft\ehome\packages\mceclientux\updateablemarkup\markup.dll
2009-12-06 21:26 . 2009-12-06 21:26 -------- d-----w- c:\program files\msxml 4.0
2009-12-06 20:24 . 2009-12-06 18:42 -------- d-----w- c:\users\a vonk noordegraaf\appdata\roaming\ahead
2009-12-06 18:40 . 2009-12-06 18:36 -------- d-----w- c:\program files\common files\ahead
2009-12-06 18:36 . 2009-12-06 18:36 -------- d-----w- c:\programdata\nero
2009-11-27 07:50 . 2009-11-27 07:50 0 ---ha-w- c:\windows\system32\drivers\msft_kernel_ccdcmb_01005.wdf
2009-11-27 07:49 . 2009-11-27 07:49 0 ---ha-w- c:\windows\system32\drivers\msft_user_wpdfs_01_09_00.wdf
2009-11-25 21:02 . 2009-11-25 20:51 -------- d-----w- c:\program files\common files\spss
2009-11-25 20:57 . 2009-11-25 20:57 1024 ----a-w- c:\windows\system32\grcauth2.dll
2009-11-25 20:57 . 2009-11-25 20:57 1024 ----a-w- c:\windows\system32\grcauth1.dll
2009-11-25 20:54 . 2009-11-25 20:54 16 ---h--w- c:\programdata\safenet sentinel\sentinel rms development kit\system\zw6k156.dll
2009-11-25 20:54 . 2009-11-25 20:54 16 ---h--w- c:\programdata\safenet sentinel\sentinel rms development kit\system\uebek7k.dll
2009-11-25 20:54 . 2009-11-25 20:54 16 ---h--w- c:\programdata\safenet sentinel\sentinel rms development kit\system\jwjwxna.dll
2009-11-25 20:54 . 2009-11-25 20:54 16 ---h--w- c:\programdata\safenet sentinel\sentinel rms development kit\system\ws2wx1h.dll
2009-11-25 20:54 . 2009-11-25 20:54 16 ---h--w- c:\programdata\safenet sentinel\sentinel rms development kit\system\n7kyayz.dll
2009-11-25 20:54 . 2009-11-25 20:54 16 ---h--w- c:\programdata\safenet sentinel\sentinel rms development kit\system\aajvg0f.dll
2009-11-25 20:54 . 2009-11-25 20:54 16 ---h--w- c:\programdata\safenet sentinel\sentinel rms development kit\system\vpymad7.dll
2009-11-25 20:54 . 2009-11-25 20:54 16 ---h--w- c:\programdata\safenet sentinel\sentinel rms development kit\system\o0ch3gu.dll
2009-11-25 20:54 . 2009-11-25 20:54 16 ---h--w- c:\programdata\safenet sentinel\sentinel rms development kit\system\g9jiok0.dll
2009-11-25 20:51 . 2009-11-25 20:51 -------- d-----w- c:\programdata\spss
2009-11-25 20:51 . 2009-11-25 20:51 1025 ----a-w- c:\windows\system32\sysprs7.dll
2009-11-25 20:39 . 2009-11-25 20:39 -------- d-----w- c:\programdata\goodsync
2009-11-25 18:07 . 2009-11-25 18:07 963392 ----a-w- c:\programdata\microsoft\ehome\packages\mcespotlight\mcespotlight-2\spotlightresources.dll
2009-11-22 14:54 . 2009-11-22 14:51 -------- d-----w- c:\programdata\thomson.researchsoft.installers
2009-11-22 14:53 . 2009-11-22 14:53 -------- d-----w- c:\program files\common files\risxtd
2009-11-22 14:53 . 2009-11-22 14:53 -------- d-----w- c:\program files\common files\researchsoft
2009-11-22 11:14 . 2009-11-22 11:14 -------- d-----w- c:\program files\common files\deterministic networks
2009-11-19 21:00 . 2009-11-19 21:00 -------- d-----w- c:\program files\intel
2009-11-19 05:34 . 2009-11-19 05:34 -------- d-sh--we c:\programdata\templates
2009-11-19 05:34 . 2009-11-19 05:34 -------- d-sh--we c:\programdata\start menu
2009-11-19 05:34 . 2009-11-19 05:34 -------- d-sh--we c:\programdata\favorites
2009-11-19 05:34 . 2009-11-19 05:34 -------- d-sh--we c:\programdata\documents
2009-11-19 05:34 . 2009-11-19 05:34 -------- d-sh--we c:\programdata\desktop
2009-11-18 21:09 . 2009-11-18 21:09 -------- d-----w- c:\program files\common files\px storage engine
2009-11-18 21:04 . 2009-11-18 21:04 -------- d-----w- c:\program files\microsoft works
2009-11-18 21:04 . 2009-07-14 04:52 -------- d-----w- c:\program files\msbuild
2009-11-18 21:02 . 2009-11-18 21:02 -------- d-----w- c:\program files\microsoft.net
2009-11-18 21:00 . 2009-11-18 21:00 12464 ----a-w- c:\windows\system32\avgrsstx.dll
2009-11-18 21:00 . 2009-11-18 21:00 360584 ----a-w- c:\windows\system32\drivers\avgtdix.sys
2009-11-18 20:59 . 2009-11-18 20:59 333192 ----a-w- c:\windows\system32\drivers\avgldx86.sys
2009-11-18 20:59 . 2009-11-18 20:59 28424 ----a-w- c:\windows\system32\drivers\avgmfx86.sys
2009-11-18 20:59 . 2009-11-18 20:59 -------- d-----w- c:\program files\avg
2009-11-18 20:54 . 2009-11-18 20:54 -------- d-----w- c:\program files\microsoft visual studio 8
2009-11-06 08:20 . 2009-11-21 00:09 34112 ----a-w- c:\users\a vonk noordegraaf\appdata\roaming\mozilla\firefox\profiles\ggmdwtvp.default\extensions\{e2883e8f-472f-4fb0-9522-ac9bf37916a7}\chrome\content\getplusplus_adobe_reg_bootstrap.exe
2009-11-06 08:20 . 2009-11-21 00:09 22352 ----a-w- c:\users\a vonk noordegraaf\appdata\roaming\mozilla\firefox\profiles\ggmdwtvp.default\extensions\{e2883e8f-472f-4fb0-9522-ac9bf37916a7}\chrome\content\getplusplus_adobe_reg.exe
2009-11-02 19:42 . 2009-10-14 09:58 195456 ------w- c:\windows\system32\mpsigstub.exe
2009-10-29 07:22 . 2009-11-24 21:38 2048 ----a-w- c:\windows\system32\tzres.dll
2009-06-10 21:26 . 2009-07-14 02:04 9633792 --sha-r- c:\windows\fonts\staticcache.dat
2009-07-14 01:14 . 2009-07-13 23:42 396800 --sha-w- c:\windows\winsxs\x86_microsoft-windows-mail-app_31bf3856ad364e35_6.1.7600.16385_none_f12e83abb108c86c\winmail.exe
.
((((((((((((((((((((((((((((((((((((( reg opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond
regedit4
[hkey_current_user\software\microsoft\windows\currentversion\run]
"goodsync"=c:\program files\office\goodsync\goodsync.exe [2008-10-13 2112696]
"bgmonitor_{79662e04-7c6c-4d9f-84c7-88d8a56b10aa}"=c:\program files\common files\ahead\lib\nmbgmonitor.exe [2008-01-22 152872]
[hkey_local_machine\software\microsoft\windows\currentversion\run]
"avg9_tray"=c:\progra~1\security\avgtray.exe [2010-01-01 2033432]
"igfxtray"=c:\windows\system32\igfxtray.exe [2009-06-16 141848]
"hotkeyscmds"=c:\windows\system32\hkcmd.exe [2009-06-16 173592]
"persistence"=c:\windows\system32\igfxpers.exe [2009-06-16 150552]
"groovemonitor"=c:\program files\officemicrosoft office\office12\groovemonitor.exe [2007-08-24 33648]
"nerofiltercheck"=c:\program files\common files\ahead\lib\nerocheck.exe [2008-05-28 570664]
"syntpenh"=c:\program files\synaptics\syntp\syntpenh.exe [2008-01-18 1033512]
"adobe reader speed launcher"=c:\program files\office\adobe\reader\reader_sl.exe [2009-10-03 35696]
"adobe arm"=c:\program files\common files\adobe\arm\1.0\adobearm.exe [2009-09-04 935288]
"malwarebytes anti-malware (reboot)"=c:\program files\security\malwarebytes' anti-malware\mbam.exe [2009-12-03 1394000]
c:\programdata\microsoft\windows\start menu\programs\startup\
vpn client.lnk - c:\windows\installer\{871df2be-41d2-4334-ac33-839af16fc8fe}\icon3e5562ed7.ico [2009-11-22 6144]
[hkey_local_machine\software\microsoft\windows\currentversion\policies\system]
"consentpromptbehavioradmin"= 5 (0x5)
"consentpromptbehavioruser"= 3 (0x3)
"enableuiadesktoptoggle"= 0 (0x0)
[hkey_local_machine\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=c:\windows\system32\avgrsstx.dll
r1 avgldx86;avg free avi loader driver x86;c:\windows\system32\drivers\avgldx86.sys [18-11-2009 21:59 333192]
r1 avgtdix;avg free network redirector;c:\windows\system32\drivers\avgtdix.sys [18-11-2009 22:00 360584]
r1 vwififlt;virtual wifi filter driver;c:\windows\system32\drivers\vwififlt.sys [14-7-2009 0:52 48128]
r2 avg9emc;avg free e-mail scanner;c:\program files\security\avgemc.exe [18-11-2009 21:59 906520]
r2 avg9wd;avg free watchdog;c:\program files\security\avgwdsvc.exe [18-11-2009 21:59 285392]
.
.
------- bijkomende scan -------
.
ie: append link target to existing pdf - c:\program files\common files\adobe\acrobat\activex\acroiefavclient.dll/acroieappendsellinks.html
ie: e&xport to microsoft excel - c:\progra~1\office~1\office12\excel.exe/3000
ff - profilepath - c:\users\a vonk noordegraaf\appdata\roaming\mozilla\firefox\profiles\ggmdwtvp.default\
ff - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=utf-8&oe=utf-8&q=
ff - prefs.js: browser.search.selectedengine - google
ff - prefs.js: browser.startup.homepage - hxxp://nl.start2.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:nl:official
ff - prefs.js: keyword.url - hxxp://www.google.com/search?ie=utf-8&oe=utf-8&sourceid=navclient&gfns=1&q=
ff - plugin: c:\program files\office\adobe\reader\browser\nppdf32.dll
ff - plugin: c:\program files\office\mozilla\plugins\np-mswmp.dll
.
- - - - orphans verwijderd - - - -
hku-default-run-losalamos - c:\windows\system32\sshnas.dll
addremove-hijackthis - c:\program files\security\trend micro\hijackthis\hijackthis.exe
**************************************************************************
stealth mbr rootkit/mebroot/sinowal detector 0.3.7 by gmer, [noparse]http://www.gmer.net[/noparse]
device: opened successfully
user: mbr read successfully
called modules: ntkrnlpa.exe classpnp.sys disk.sys >>unknown [0x85992618]<<
kernel: mbr read successfully
detected mbr rootkit hooks:
iodeviceobjecttype -> dumpprocedure -> 0xd46a624f
securityprocedure -> 0x84cac5f0
querynameprocedure -> 0x84ca75e8
user & kernel mbr ok
**************************************************************************
.
--------------------- vergrendelde register sleutels ---------------------
[hkey_users\.default\software\microsoft\internet explorer\user preferences]
@denied: (2) (localsystem)
"88d7d0879dab32e14de5b3a805a34f98aff34f5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,f0,3d,bc,dc,08,5f,a3,48,a5,25,0a,\
"2d53cffc5c1a3dd2e97b7979ac2a92bd59bc839e81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,f0,3d,bc,dc,08,5f,a3,48,a5,25,0a,\
[hkey_local_machine\system\controlset001\control\class\{4d36e96d-e325-11ce-bfc1-08002be10318}\0000\allusersettings]
@denied: (a) (users)
@denied: (a) (everyone)
@allowed: (b 1 2 3 4 5) (s-1-5-20)
"blinddial"=dword:00000000
"mscurrentcountry"=dword:000000b5
[hkey_local_machine\system\controlset001\control\pcw\security]
@denied: (full) (everyone)
.
------------------------ andere aktieve processen ------------------------
.
c:\windows\system32\taskhost.exe
c:\program files\office\vpn\cvpnd.exe
c:\program files\security\spybot - search & destroy\sdwinsec.exe
c:\program files\security\avgnsx.exe
c:\program files\security\avgchsvx.exe
c:\program files\security\avgrsx.exe
c:\program files\security\avgcsrvx.exe
c:\program files\security\avgcsrvx.exe
c:\windows\system32\conhost.exe
c:\program files\security\avgtray.exe
c:\windows\system32\igfxsrvc.exe
c:\program files\common files\ahead\lib\nmindexingservice.exe
c:\program files\synaptics\syntp\syntphelper.exe
c:\windows\system32\wbem\unsecapp.exe
c:\program files\common files\ahead\lib\nmindexstoresvr.exe
c:\program files\windows media player\wmpnetwk.exe
c:\\?\c:\windows\system32\wbem\wmiadap.exe
.
**************************************************************************
.
voltooingstijd: 2010-01-11 18:30:15 - machine werd herstart
combofix-quarantined-files.txt 2010-01-11 17:30
pre-run: 40.216.313.856 bytes free
post-run: 39.931.510.784 bytes free
- - end of file - - 5be80454179953de858774568d900130

[/hjt]
 
Combofix heeft er nog heel wat uitgehaald iig, dat is goed nog :)


Kan je Eset online scan ook nog even doen:

* ga met IE naar
http://www.eset.com/onlinescan/
* klik onderaan knopje "eset online scanner"
* accepteer in het venstertje dat opent de "terms of use" (vinkje zetten onderaan) > klik dan het startknopje
* klik "ok" om het active-x element toe te staan > klik op "installeren"
* bij evtle meldingen van beveiligingssoftware over "esetsmart", klik op toestaan
* je krijgt dan een venstertje "computer scan settings", vink voor alle zekerheid "remove found threats" UIT (we zullen dat eerst controleren of alles wat aangetroffen wordt wel degelijk wegmag)
* en klik dan "start" (bij weer evtle meldingen van beveiligingssoftware, bv. over "onlinecmdscanner.exe", sta deze toe
* de virussignature database wordt opgehaald (dit zijn de recentste virusdefinities), daarna begint de scan.
* als de scan klaar is, klik op de "Details" tab (als er niets aangetroffen werd kan je 'finish" klikken)
* kopieer de inhoud hiervan en post/plakin je volgende reactie (als het niet automatisch openden, ga naar C:\Program Files\EsetOnlineScanner\ en open "log.txt"

(andere browser dan IE of bij problemen:
* download de installer
http://download.eset.com/special/eos/esetsmartinstaller_enu.exe
* volg de stappen zoals hierboven )


Heb je na combofix nog meldingen van AVG gehad, zoja, hoe luiden die precies?


Succes :)
 
Hoi,

Het onderstaande kwam uit de virusscanner:

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
esets_scanner_update returned -1 esets_gle=53251

Verder nog steeds veel svchost bedreigingen, het lijkt verdacht veel op het voorgaande probleem.

Gr, TM


HJT logje

[hjt]
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:17:55, on 12-1-2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
c:\windows\system32\dwm.exe
c:\windows\explorer.exe
c:\windows\system32\taskhost.exe
c:\program files\security\avgtray.exe
c:\windows\system32\igfxtray.exe
c:\windows\system32\igfxsrvc.exe
c:\windows\system32\hkcmd.exe
c:\windows\system32\igfxpers.exe
c:\program files\officemicrosoft office\office12\groovemonitor.exe
c:\program files\synaptics\syntp\syntpenh.exe
c:\program files\office\goodsync\goodsync.exe
c:\program files\common files\ahead\lib\nmbgmonitor.exe
c:\windows\system32\wbem\unsecapp.exe
c:\program files\common files\ahead\lib\nmindexstoresvr.exe
c:\program files\synaptics\syntp\syntphelper.exe
c:\program files\internet explorer\iexplore.exe
c:\program files\internet explorer\iexplore.exe
c:\program files\internet explorer\iexplore.exe
c:\program files\eset\eset online scanner\onlinecmdlinescanner.exe
c:\windows\system32\conhost.exe
c:\program files\officemicrosoft office\office12\winword.exe
c:\program files\security\avgcsrvx.exe
c:\program files\office\mozilla\firefox.exe
c:\program files\internet explorer\iexplore.exe
c:\program files\officemicrosoft office\office12\excel.exe
c:\program files\security\avgcsrvx.exe
c:\windows\system32\searchfilterhost.exe
c:\program files\security\trend micro\hijackthis\problemen.exe

r0 - hkcu\software\microsoft\internet explorer\main,start page = [noparse]http://go.microsoft.com/fwlink/?linkid=69157[/noparse]
r1 - hklm\software\microsoft\internet explorer\main,default_page_url = [noparse]http://go.microsoft.com/fwlink/?linkid=69157[/noparse]
r1 - hklm\software\microsoft\internet explorer\main,default_search_url = [noparse]http://go.microsoft.com/fwlink/?linkid=54896[/noparse]
r1 - hklm\software\microsoft\internet explorer\main,search page = [noparse]http://go.microsoft.com/fwlink/?linkid=54896[/noparse]
r0 - hklm\software\microsoft\internet explorer\main,start page = [noparse]http://go.microsoft.com/fwlink/?linkid=69157[/noparse]
r0 - hkcu\software\microsoft\internet explorer\toolbar,linksfoldername =
o2 - bho: acroiehelperstub - {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\acroiehelpershim.dll
o2 - bho: wormradar.com iesiteblocker.navfilter - {3ca2f312-6f6e-4b53-a66e-4e65e497c8c0} - c:\program files\security\avgssie.dll
o2 - bho: groove gfs browser helper - {72853161-30c5-4d22-b7f9-0bbc1d38a37e} - c:\program files\officemicrosoft office\office12\grooveshellextensions.dll
o4 - hklm\..\run: [avg9_tray] c:\progra~1\security\avgtray.exe
o4 - hklm\..\run: [igfxtray] c:\windows\system32\igfxtray.exe
o4 - hklm\..\run: [hotkeyscmds] c:\windows\system32\hkcmd.exe
o4 - hklm\..\run: [persistence] c:\windows\system32\igfxpers.exe
o4 - hklm\..\run: [groovemonitor] c:\program files\officemicrosoft office\office12\groovemonitor.exe
o4 - hklm\..\run: [nerofiltercheck] c:\program files\common files\ahead\lib\nerocheck.exe
o4 - hklm\..\run: [syntpenh] c:\program files\synaptics\syntp\syntpenh.exe
o4 - hklm\..\run: [adobe reader speed launcher] c:\program files\office\adobe\reader\reader_sl.exe
o4 - hklm\..\run: [adobe arm] c:\program files\common files\adobe\arm\1.0\adobearm.exe
o4 - hklm\..\run: [malwarebytes anti-malware (reboot)] c:\program files\security\malwarebytes' anti-malware\mbam.exe /runcleanupscript
o4 - hkcu\..\run: [goodsync] c:\program files\office\goodsync\goodsync.exe /min
o4 - hkcu\..\run: [bgmonitor_{79662e04-7c6c-4d9f-84c7-88d8a56b10aa}] c:\program files\common files\ahead\lib\nmbgmonitor.exe
o4 - global startup: vpn client.lnk = ?
o8 - extra context menu item: append link target to existing pdf - res://c:\program files\common files\adobe\acrobat\activex\acroiefavclient.dll/acroieappendsellinks.html
o8 - extra context menu item: e&xport to microsoft excel - res://c:\progra~1\office~1\office12\excel.exe/3000
o9 - extra button: verzenden naar onenote - {2670000a-7350-4f3c-8081-5663ee0c6c49} - c:\progra~1\office~1\office12\onbttnie.dll
o9 - extra 'tools' menuitem: verz&enden naar onenote - {2670000a-7350-4f3c-8081-5663ee0c6c49} - c:\progra~1\office~1\office12\onbttnie.dll
o9 - extra button: research - {92780b25-18cc-41c8-b9be-3c9c571a8263} - c:\progra~1\office~1\office12\refiebar.dll
o16 - dpf: {7530bfb8-7293-4d34-9923-61a11451afc5} (onlinescanner control) - [noparse]http://download.eset.com/special/eos/onlinescanner.cab[/noparse]
o18 - protocol: groovelocalgws - {88fed34c-f0ca-4636-a375-3cb6248b04cd} - c:\program files\officemicrosoft office\office12\groovesystemservices.dll
o18 - protocol: linkscanner - {f274614c-63f8-47d5-a4d1-fbdde494f8d1} - c:\program files\security\avgpp.dll
o20 - appinit_dlls: c:\windows\system32\avgrsstx.dll
o23 - service: avg free e-mail scanner (avg9emc) - avg technologies cz, s.r.o. - c:\program files\security\avgemc.exe
o23 - service: avg free watchdog (avg9wd) - avg technologies cz, s.r.o. - c:\program files\security\avgwdsvc.exe
o23 - service: cisco systems, inc. vpn service (cvpnd) - cisco systems, inc. - c:\program files\office\vpn\cvpnd.exe
o23 - service: nmindexingservice - nero ag - c:\program files\common files\ahead\lib\nmindexingservice.exe
o23 - service: sbsd security center service (sbsdwscservice) - safer networking ltd. - c:\program files\security\spybot - search & destroy\sdwinsec.exe
--
end of file - 5432 bytes

[/hjt]
 
Hoi TM :)


Kan je evtl. de melding van AVG eens meeposten? Of ee, log van AVG indien die die aanmaakt/bijhoudt?


Fix deze regel ook eens met HJT
als je niet pas terug MBAM had laten lopen, want die lijkt achtergelaten zonder effect.
o4 - hklm\..\run: [malwarebytes anti-malware (reboot)] c:\program files\security\malwarebytes' anti-malware\mbam.exe /runcleanupscript


Herstart de pc


en laat dan MBAM nog eens lopen,
maar doe eerst volgende eens:
* blader naar
c:\program files\security\malwarebytes' anti-malware
* open de map "malwarebytes' anti-malware" en hernoem daarin via rechtermuisklik > naam wijzigen "mbam.exe" een naar "explorer.exe"
* dubbelklik dan deze explorer.exe, zodat mbam opent > check op updates, en laat hem scannen. Doe de volledige/uitgebreide scan eens.
Post het resultaat weer.


Herstart weer de PC,


en laat combofix ook nog eens lopen
+ post het resultaat daarvan weer (dat ook even door de kleurcoder halen graag)


succes :)
 
Hoi,

De bedreiging die ik via AVG krijg is:

C:\Windows\temp\iboe.tmp\svchost.exe

Bedreiging Trojaarns paard Clicker.AEIO

Procesnaam: C:\Windows\System32\svchost.exe
Proces 620


De uitkomst van Malwarebytes:

Malwarebytes' Anti-Malware 1.44
Database versie: 3550
Windows 6.1.7600
Internet Explorer 8.0.7600.16385

12-1-2010 22:02:01
mbam-log-2010-01-12 (22-02-01).txt

Scan type: Volledige Scan (C:\|D:\|E:\|)
Objecten gescand: 284292
Verstreken tijd: 1 hour(s), 38 minute(s), 7 second(s)

Geheugenprocessen genfecteerd: 0
Geheugenmodulen genfecteerd: 0
Registersleutels genfecteerd: 0
Registerwaarden genfecteerd: 0
Registerdata bestanden genfecteerd: 0
Mappen genfecteerd: 0
Bestanden genfecteerd: 2

Geheugenprocessen genfecteerd:
(Geen kwaadaardige items gevonden)

Geheugenmodulen genfecteerd:
(Geen kwaadaardige items gevonden)

Registersleutels genfecteerd:
(Geen kwaadaardige items gevonden)

Registerwaarden genfecteerd:
(Geen kwaadaardige items gevonden)

Registerdata bestanden genfecteerd:
(Geen kwaadaardige items gevonden)

Mappen genfecteerd:
(Geen kwaadaardige items gevonden)

Bestanden genfecteerd:
C:\SDFix\dummy.sys (Malware.Trace) -> Quarantined and deleted successfully.
C:\SDFix\apps\dummy.sys (Malware.Trace) -> Quarantined and deleted successfully.


De uitkomst van Combofix:

[hjt]
combofix 10-01-12.04 - a vonk noordegraaf 13-01-2010 9:17.2.1 - x86
microsoft windows 7 ultimate 6.1.7600.0.1252.31.1033.18.2039.1161 [gmt 1:00]
gestart vanuit: c:\users\a vonk noordegraaf\desktop\combofix.exe
sp: spybot - search and destroy *disabled* (outdated) {ed588faf-1b8f-43b4-aca8-8e3c85dadbe9}
.
(((((((((((((((((((( bestanden gemaakt van 2009-12-13 to 2010-01-13 ))))))))))))))))))))))))))))))
.
2010-01-13 08:29 . 2010-01-13 08:29 -------- d-----w- c:\users\public\appdata\local\temp
2010-01-13 08:29 . 2010-01-13 08:29 -------- d-----w- c:\users\default\appdata\local\temp
2010-01-13 08:12 . 2010-01-13 08:14 -------- d-----w- c:\32788r22fwjfw
2010-01-12 19:21 . 2010-01-12 19:21 5115824 ----a-w- c:\programdata\malwarebytes\malwarebytes' anti-malware\mbam-setup.exe
2010-01-11 21:10 . 2010-01-11 21:10 -------- d--h--w- c:\windows\axinstsv
2010-01-11 17:19 . 2010-01-13 08:29 -------- d-----w- c:\users\a vonk noordegraaf\appdata\local\temp
2010-01-11 10:37 . 2010-01-11 10:37 -------- d-----w- c:\program files\microsoft silverlight
2010-01-10 14:54 . 2010-01-12 21:02 -------- d-----w- c:\sdfix
2010-01-04 18:00 . 2010-01-04 18:00 -------- d-----w- c:\users\a vonk noordegraaf\appdata\roaming\dvdcss
2009-12-28 21:24 . 2009-07-14 01:26 21584 ----a-w- c:\atapi.sys
2009-12-27 16:18 . 2010-01-10 15:12 -------- d-----w- c:\programdata\spybot - search & destroy
2009-12-27 15:42 . 2009-12-27 15:42 -------- d-----w- c:\users\a vonk noordegraaf\appdata\local\ahead
2009-12-27 15:42 . 2010-01-08 08:58 -------- d-----w- c:\users\a vonk noordegraaf\appdata\local\adobe
2009-12-27 15:29 . 2009-12-27 15:29 -------- d-----w- c:\program files\xenocode
2009-12-27 15:29 . 2009-12-27 15:29 -------- d-----w- c:\windows\xsxs
2009-12-27 15:29 . 2009-12-27 15:29 -------- d-----w- c:\users\a vonk noordegraaf\appdata\local\re-enable v2
2009-12-27 12:22 . 2009-12-27 12:22 -------- d-----w- c:\users\a vonk noordegraaf\appdata\roaming\malwarebytes
2009-12-27 12:22 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-27 12:22 . 2009-12-27 12:22 -------- d-----w- c:\programdata\malwarebytes
2009-12-27 12:22 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-22 18:08 . 2009-12-22 18:08 -------- d-----w- c:\users\a vonk noordegraaf\appdata\local\sabnzbd
2009-12-15 16:54 . 2009-12-15 16:54 -------- d-----w- c:\users\a vonk noordegraaf\appdata\roaming\design science
.
((((((((((((((((((((((((((((((((((((((( find3m rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-12 18:32 . 2009-11-18 20:59 -------- d-----w- c:\program files\security
2010-01-11 20:45 . 2009-11-25 20:53 148 ----a-w- c:\programdata\safenet sentinel\sentinel rms development kit\system\prsgrc.dll
2010-01-10 21:34 . 2009-11-23 18:11 -------- d-----w- c:\users\a vonk noordegraaf\appdata\roaming\vlc
2010-01-10 14:13 . 2009-11-22 11:11 -------- d-----w- c:\users\a vonk noordegraaf\appdata\roaming\utorrent
2010-01-10 11:18 . 2009-11-18 20:49 112560 ----a-w- c:\users\a vonk noordegraaf\appdata\local\gdipfontcachev1.dat
2010-01-08 08:53 . 2009-11-23 17:31 -------- d-----w- c:\program files\common files\adobe
2010-01-08 08:53 . 2009-11-18 21:19 -------- d-----w- c:\program files\office
2010-01-04 20:57 . 2009-11-25 20:26 -------- d-----w- c:\users\a vonk noordegraaf\appdata\roaming\goodsync
2009-12-30 17:52 . 2009-11-18 20:59 -------- d-----w- c:\programdata\avg9
2009-12-22 18:08 . 2009-11-18 21:09 -------- d-----w- c:\program files\entertainment
2009-12-21 17:42 . 2009-11-18 21:09 -------- d-----w- c:\users\a vonk noordegraaf\appdata\roaming\winamp
2009-12-21 17:42 . 2009-11-23 18:06 -------- d-----w- c:\programdata\flexnet
2009-12-15 19:54 . 2009-11-22 15:05 -------- d-----w- c:\users\a vonk noordegraaf\appdata\roaming\endnote
2009-12-15 16:52 . 2009-11-18 20:52 -------- d-----w- c:\program files\officemicrosoft office
2009-12-15 08:32 . 2009-11-22 11:05 923456 ----a-w- c:\programdata\microsoft\ehome\packages\mcespotlight\mcespotlight\spotlightresources.dll
2009-12-13 09:57 . 2009-12-05 23:08 48648 ----a-w- c:\programdata\microsoft\ehome\packages\mceclientux\updateablemarkup-2\markup.dll
2009-12-11 22:26 . 2009-12-11 21:59 -------- d-----w- c:\users\a vonk noordegraaf\appdata\roaming\mp3tag
2009-12-11 21:59 . 2009-12-11 21:59 -------- d-----w- c:\program files\multimedia
2009-12-10 06:27 . 2009-11-18 20:52 -------- d-----w- c:\programdata\microsoft help
2009-12-08 11:32 . 2009-12-08 11:32 -------- d-----w- c:\program files\movie maker 2.6
2009-12-07 17:11 . 2009-12-07 17:11 0 ---ha-w- c:\windows\system32\drivers\msft_kernel_syntp_01000.wdf
2009-12-07 17:11 . 2009-12-07 17:11 -------- d-----w- c:\program files\synaptics
2009-12-07 16:12 . 2009-11-22 11:05 48648 ----a-w- c:\programdata\microsoft\ehome\packages\mceclientux\updateablemarkup\markup.dll
2009-12-06 21:26 . 2009-12-06 21:26 -------- d-----w- c:\program files\msxml 4.0
2009-12-06 20:24 . 2009-12-06 18:42 -------- d-----w- c:\users\a vonk noordegraaf\appdata\roaming\ahead
2009-12-06 18:40 . 2009-12-06 18:36 -------- d-----w- c:\program files\common files\ahead
2009-12-06 18:36 . 2009-12-06 18:36 -------- d-----w- c:\programdata\nero
2009-11-27 07:50 . 2009-11-27 07:50 0 ---ha-w- c:\windows\system32\drivers\msft_kernel_ccdcmb_01005.wdf
2009-11-27 07:49 . 2009-11-27 07:49 0 ---ha-w- c:\windows\system32\drivers\msft_user_wpdfs_01_09_00.wdf
2009-11-25 21:02 . 2009-11-25 20:51 -------- d-----w- c:\program files\common files\spss
2009-11-25 20:57 . 2009-11-25 20:57 1024 ----a-w- c:\windows\system32\grcauth2.dll
2009-11-25 20:57 . 2009-11-25 20:57 1024 ----a-w- c:\windows\system32\grcauth1.dll
2009-11-25 20:54 . 2009-11-25 20:54 16 ---h--w- c:\programdata\safenet sentinel\sentinel rms development kit\system\zw6k156.dll
2009-11-25 20:54 . 2009-11-25 20:54 16 ---h--w- c:\programdata\safenet sentinel\sentinel rms development kit\system\uebek7k.dll
2009-11-25 20:54 . 2009-11-25 20:54 16 ---h--w- c:\programdata\safenet sentinel\sentinel rms development kit\system\jwjwxna.dll
2009-11-25 20:54 . 2009-11-25 20:54 16 ---h--w- c:\programdata\safenet sentinel\sentinel rms development kit\system\ws2wx1h.dll
2009-11-25 20:54 . 2009-11-25 20:54 16 ---h--w- c:\programdata\safenet sentinel\sentinel rms development kit\system\n7kyayz.dll
2009-11-25 20:54 . 2009-11-25 20:54 16 ---h--w- c:\programdata\safenet sentinel\sentinel rms development kit\system\aajvg0f.dll
2009-11-25 20:54 . 2009-11-25 20:54 16 ---h--w- c:\programdata\safenet sentinel\sentinel rms development kit\system\vpymad7.dll
2009-11-25 20:54 . 2009-11-25 20:54 16 ---h--w- c:\programdata\safenet sentinel\sentinel rms development kit\system\o0ch3gu.dll
2009-11-25 20:54 . 2009-11-25 20:54 16 ---h--w- c:\programdata\safenet sentinel\sentinel rms development kit\system\g9jiok0.dll
2009-11-25 20:51 . 2009-11-25 20:51 -------- d-----w- c:\programdata\spss
2009-11-25 20:51 . 2009-11-25 20:51 1025 ----a-w- c:\windows\system32\sysprs7.dll
2009-11-25 20:39 . 2009-11-25 20:39 -------- d-----w- c:\programdata\goodsync
2009-11-25 18:07 . 2009-11-25 18:07 963392 ----a-w- c:\programdata\microsoft\ehome\packages\mcespotlight\mcespotlight-2\spotlightresources.dll
2009-11-22 14:54 . 2009-11-22 14:51 -------- d-----w- c:\programdata\thomson.researchsoft.installers
2009-11-22 14:53 . 2009-11-22 14:53 -------- d-----w- c:\program files\common files\risxtd
2009-11-22 14:53 . 2009-11-22 14:53 -------- d-----w- c:\program files\common files\researchsoft
2009-11-22 11:14 . 2009-11-22 11:14 -------- d-----w- c:\program files\common files\deterministic networks
2009-11-19 21:00 . 2009-11-19 21:00 -------- d-----w- c:\program files\intel
2009-11-19 05:34 . 2009-11-19 05:34 -------- d-sh--we c:\programdata\templates
2009-11-19 05:34 . 2009-11-19 05:34 -------- d-sh--we c:\programdata\start menu
2009-11-19 05:34 . 2009-11-19 05:34 -------- d-sh--we c:\programdata\favorites
2009-11-19 05:34 . 2009-11-19 05:34 -------- d-sh--we c:\programdata\documents
2009-11-19 05:34 . 2009-11-19 05:34 -------- d-sh--we c:\programdata\desktop
2009-11-18 21:09 . 2009-11-18 21:09 -------- d-----w- c:\program files\common files\px storage engine
2009-11-18 21:04 . 2009-11-18 21:04 -------- d-----w- c:\program files\microsoft works
2009-11-18 21:04 . 2009-07-14 04:52 -------- d-----w- c:\program files\msbuild
2009-11-18 21:02 . 2009-11-18 21:02 -------- d-----w- c:\program files\microsoft.net
2009-11-18 21:00 . 2009-11-18 21:00 12464 ----a-w- c:\windows\system32\avgrsstx.dll
2009-11-18 21:00 . 2009-11-18 21:00 360584 ----a-w- c:\windows\system32\drivers\avgtdix.sys
2009-11-18 20:59 . 2009-11-18 20:59 333192 ----a-w- c:\windows\system32\drivers\avgldx86.sys
2009-11-18 20:59 . 2009-11-18 20:59 28424 ----a-w- c:\windows\system32\drivers\avgmfx86.sys
2009-11-18 20:59 . 2009-11-18 20:59 -------- d-----w- c:\program files\avg
2009-11-18 20:54 . 2009-11-18 20:54 -------- d-----w- c:\program files\microsoft visual studio 8
2009-11-06 08:20 . 2009-11-21 00:09 34112 ----a-w- c:\users\a vonk noordegraaf\appdata\roaming\mozilla\firefox\profiles\ggmdwtvp.default\extensions\{e2883e8f-472f-4fb0-9522-ac9bf37916a7}\chrome\content\getplusplus_adobe_reg_bootstrap.exe
2009-11-06 08:20 . 2009-11-21 00:09 22352 ----a-w- c:\users\a vonk noordegraaf\appdata\roaming\mozilla\firefox\profiles\ggmdwtvp.default\extensions\{e2883e8f-472f-4fb0-9522-ac9bf37916a7}\chrome\content\getplusplus_adobe_reg.exe
2009-11-02 19:42 . 2009-10-14 09:58 195456 ------w- c:\windows\system32\mpsigstub.exe
2009-10-29 07:22 . 2009-11-24 21:38 2048 ----a-w- c:\windows\system32\tzres.dll
2009-06-10 21:26 . 2009-07-14 02:04 9633792 --sha-r- c:\windows\fonts\staticcache.dat
2009-07-14 01:14 . 2009-07-13 23:42 396800 --sha-w- c:\windows\winsxs\x86_microsoft-windows-mail-app_31bf3856ad364e35_6.1.7600.16385_none_f12e83abb108c86c\winmail.exe
.
((((((((((((((((((((((((((((((((((((( reg opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond
regedit4
[hkey_current_user\software\microsoft\windows\currentversion\run]
"goodsync"=c:\program files\office\goodsync\goodsync.exe [2008-10-13 2112696]
"bgmonitor_{79662e04-7c6c-4d9f-84c7-88d8a56b10aa}"=c:\program files\common files\ahead\lib\nmbgmonitor.exe [2008-01-22 152872]
[hkey_local_machine\software\microsoft\windows\currentversion\run]
"avg9_tray"=c:\progra~1\security\avgtray.exe [2010-01-01 2033432]
"igfxtray"=c:\windows\system32\igfxtray.exe [2009-06-16 141848]
"hotkeyscmds"=c:\windows\system32\hkcmd.exe [2009-06-16 173592]
"persistence"=c:\windows\system32\igfxpers.exe [2009-06-16 150552]
"groovemonitor"=c:\program files\officemicrosoft office\office12\groovemonitor.exe [2007-08-24 33648]
"nerofiltercheck"=c:\program files\common files\ahead\lib\nerocheck.exe [2008-05-28 570664]
"syntpenh"=c:\program files\synaptics\syntp\syntpenh.exe [2008-01-18 1033512]
"adobe reader speed launcher"=c:\program files\office\adobe\reader\reader_sl.exe [2009-10-03 35696]
"adobe arm"=c:\program files\common files\adobe\arm\1.0\adobearm.exe [2009-09-04 935288]
"malwarebytes anti-malware (reboot)"=c:\program files\security\malwarebytes' anti-malware\mbam.exe [2010-01-07 1394000]
c:\programdata\microsoft\windows\start menu\programs\startup\
vpn client.lnk - c:\windows\installer\{871df2be-41d2-4334-ac33-839af16fc8fe}\icon3e5562ed7.ico [2009-11-22 6144]
[hkey_local_machine\software\microsoft\windows\currentversion\policies\system]
"consentpromptbehavioradmin"= 5 (0x5)
"consentpromptbehavioruser"= 3 (0x3)
"enableuiadesktoptoggle"= 0 (0x0)
[hkey_local_machine\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=c:\windows\system32\avgrsstx.dll
r1 avgldx86;avg free avi loader driver x86;c:\windows\system32\drivers\avgldx86.sys [18-11-2009 21:59 333192]
r1 avgtdix;avg free network redirector;c:\windows\system32\drivers\avgtdix.sys [18-11-2009 22:00 360584]
r1 vwififlt;virtual wifi filter driver;c:\windows\system32\drivers\vwififlt.sys [14-7-2009 0:52 48128]
r2 avg9emc;avg free e-mail scanner;c:\program files\security\avgemc.exe [18-11-2009 21:59 906520]
r2 avg9wd;avg free watchdog;c:\program files\security\avgwdsvc.exe [18-11-2009 21:59 285392]
.
.
------- bijkomende scan -------
.
ie: append link target to existing pdf - c:\program files\common files\adobe\acrobat\activex\acroiefavclient.dll/acroieappendsellinks.html
ie: e&xport to microsoft excel - c:\progra~1\office~1\office12\excel.exe/3000
ff - profilepath - c:\users\a vonk noordegraaf\appdata\roaming\mozilla\firefox\profiles\ggmdwtvp.default\
ff - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=utf-8&oe=utf-8&q=
ff - prefs.js: browser.search.selectedengine - google
ff - prefs.js: browser.startup.homepage - hxxp://nl.start2.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:nl:official
ff - prefs.js: keyword.url - hxxp://www.google.com/search?ie=utf-8&oe=utf-8&sourceid=navclient&gfns=1&q=
ff - plugin: c:\program files\office\adobe\reader\browser\nppdf32.dll
ff - plugin: c:\program files\office\mozilla\plugins\np-mswmp.dll
.
**************************************************************************
stealth mbr rootkit/mebroot/sinowal detector 0.3.7 by gmer, [noparse]http://www.gmer.net[/noparse]
device: opened successfully
user: mbr read successfully
called modules: ntkrnlpa.exe classpnp.sys disk.sys >>unknown [0x859a9618]<<
kernel: mbr read successfully
detected mbr rootkit hooks:
iodeviceobjecttype -> dumpprocedure -> 0xd46a624f
securityprocedure -> 0x84cac5f0
querynameprocedure -> 0x84ca75e8
user & kernel mbr ok
**************************************************************************
.
--------------------- vergrendelde register sleutels ---------------------
[hkey_users\.default\software\microsoft\internet explorer\user preferences]
@denied: (2) (localsystem)
"88d7d0879dab32e14de5b3a805a34f98aff34f5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,f0,3d,bc,dc,08,5f,a3,48,a5,25,0a,\
"2d53cffc5c1a3dd2e97b7979ac2a92bd59bc839e81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,f0,3d,bc,dc,08,5f,a3,48,a5,25,0a,\
[hkey_local_machine\system\controlset001\control\class\{4d36e96d-e325-11ce-bfc1-08002be10318}\0000\allusersettings]
@denied: (a) (users)
@denied: (a) (everyone)
@allowed: (b 1 2 3 4 5) (s-1-5-20)
"blinddial"=dword:00000000
"mscurrentcountry"=dword:000000b5
[hkey_local_machine\system\controlset001\control\pcw\security]
@denied: (full) (everyone)
.
voltooingstijd: 2010-01-13 09:36:17
combofix-quarantined-files.txt 2010-01-13 08:36
combofix2.txt 2010-01-11 17:30
pre-run: 39.503.380.480 bytes free
post-run: 39.466.053.632 bytes free
- - end of file - - 0e098aa8348837dead65444f262d9981

[/hjt]

En een HJT logje voor de zekerheid :)

[hjt]
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 9:51:42, on 13-1-2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
c:\windows\system32\dwm.exe
c:\windows\system32\taskhost.exe
c:\program files\security\avgtray.exe
c:\windows\system32\igfxtray.exe
c:\windows\system32\hkcmd.exe
c:\windows\system32\igfxpers.exe
c:\program files\officemicrosoft office\office12\groovemonitor.exe
c:\program files\synaptics\syntp\syntpenh.exe
c:\windows\system32\igfxsrvc.exe
c:\program files\office\goodsync\goodsync.exe
c:\program files\common files\ahead\lib\nmbgmonitor.exe
c:\windows\system32\wbem\unsecapp.exe
c:\program files\common files\ahead\lib\nmindexstoresvr.exe
c:\program files\synaptics\syntp\syntphelper.exe
c:\program files\officemicrosoft office\office12\winword.exe
c:\program files\security\avgcsrvx.exe
c:\windows\explorer.exe
c:\program files\security\trend micro\hijackthis\problemen.exe

r0 - hkcu\software\microsoft\internet explorer\main,start page = [noparse]http://go.microsoft.com/fwlink/?linkid=69157[/noparse]
r1 - hklm\software\microsoft\internet explorer\main,default_page_url = [noparse]http://go.microsoft.com/fwlink/?linkid=69157[/noparse]
r1 - hklm\software\microsoft\internet explorer\main,default_search_url = [noparse]http://go.microsoft.com/fwlink/?linkid=54896[/noparse]
r1 - hklm\software\microsoft\internet explorer\main,search page = [noparse]http://go.microsoft.com/fwlink/?linkid=54896[/noparse]
r0 - hklm\software\microsoft\internet explorer\main,start page = [noparse]http://go.microsoft.com/fwlink/?linkid=69157[/noparse]
r0 - hkcu\software\microsoft\internet explorer\toolbar,linksfoldername =
o2 - bho: acroiehelperstub - {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\acroiehelpershim.dll
o2 - bho: wormradar.com iesiteblocker.navfilter - {3ca2f312-6f6e-4b53-a66e-4e65e497c8c0} - c:\program files\security\avgssie.dll
o2 - bho: groove gfs browser helper - {72853161-30c5-4d22-b7f9-0bbc1d38a37e} - c:\program files\officemicrosoft office\office12\grooveshellextensions.dll
o4 - hklm\..\run: [avg9_tray] c:\progra~1\security\avgtray.exe
o4 - hklm\..\run: [igfxtray] c:\windows\system32\igfxtray.exe
o4 - hklm\..\run: [hotkeyscmds] c:\windows\system32\hkcmd.exe
o4 - hklm\..\run: [persistence] c:\windows\system32\igfxpers.exe
o4 - hklm\..\run: [groovemonitor] c:\program files\officemicrosoft office\office12\groovemonitor.exe
o4 - hklm\..\run: [nerofiltercheck] c:\program files\common files\ahead\lib\nerocheck.exe
o4 - hklm\..\run: [syntpenh] c:\program files\synaptics\syntp\syntpenh.exe
o4 - hklm\..\run: [adobe reader speed launcher] c:\program files\office\adobe\reader\reader_sl.exe
o4 - hklm\..\run: [adobe arm] c:\program files\common files\adobe\arm\1.0\adobearm.exe
o4 - hklm\..\run: [malwarebytes anti-malware (reboot)] c:\program files\security\malwarebytes' anti-malware\mbam.exe /runcleanupscript
o4 - hkcu\..\run: [goodsync] c:\program files\office\goodsync\goodsync.exe /min
o4 - hkcu\..\run: [bgmonitor_{79662e04-7c6c-4d9f-84c7-88d8a56b10aa}] c:\program files\common files\ahead\lib\nmbgmonitor.exe
o4 - global startup: vpn client.lnk = ?
o8 - extra context menu item: append link target to existing pdf - res://c:\program files\common files\adobe\acrobat\activex\acroiefavclient.dll/acroieappendsellinks.html
o8 - extra context menu item: e&xport to microsoft excel - res://c:\progra~1\office~1\office12\excel.exe/3000
o9 - extra button: verzenden naar onenote - {2670000a-7350-4f3c-8081-5663ee0c6c49} - c:\progra~1\office~1\office12\onbttnie.dll
o9 - extra 'tools' menuitem: verz&enden naar onenote - {2670000a-7350-4f3c-8081-5663ee0c6c49} - c:\progra~1\office~1\office12\onbttnie.dll
o9 - extra button: research - {92780b25-18cc-41c8-b9be-3c9c571a8263} - c:\progra~1\office~1\office12\refiebar.dll
o16 - dpf: {7530bfb8-7293-4d34-9923-61a11451afc5} - [noparse]http://download.eset.com/special/eos/onlinescanner.cab[/noparse]
o18 - protocol: groovelocalgws - {88fed34c-f0ca-4636-a375-3cb6248b04cd} - c:\program files\officemicrosoft office\office12\groovesystemservices.dll
o18 - protocol: linkscanner - {f274614c-63f8-47d5-a4d1-fbdde494f8d1} - c:\program files\security\avgpp.dll
o20 - appinit_dlls: c:\windows\system32\avgrsstx.dll
o23 - service: avg free e-mail scanner (avg9emc) - avg technologies cz, s.r.o. - c:\program files\security\avgemc.exe
o23 - service: avg free watchdog (avg9wd) - avg technologies cz, s.r.o. - c:\program files\security\avgwdsvc.exe
o23 - service: cisco systems, inc. vpn service (cvpnd) - cisco systems, inc. - c:\program files\office\vpn\cvpnd.exe
o23 - service: nmindexingservice - nero ag - c:\program files\common files\ahead\lib\nmindexingservice.exe
o23 - service: sbsd security center service (sbsdwscservice) - safer networking ltd. - c:\program files\security\spybot - search & destroy\sdwinsec.exe
--
end of file - 4923 bytes

[/hjt]

Het goede nieuws is dat er weer wat uitgehaald is maar het slechte nieuws is dat ik nog steeds om de 5 minuten melding van AVG krijg.

Gr, TM
--- automatische edit ---
Hierbij ook de historie van de virusscanner



Resident Shield detectie
Infectie;"Object";"Resultaat";"Detectietijd";"Objecttype";"Proces"
Trojaans paard Clicker.AEIO;"C:\Windows\temp\lmrj.tmp\svchost.exe";"Verplaatst naar de quarantaine";"13-1-2010, 10:45:36";"bestand";"C:\Windows\System32\svchost.exe"
Trojaans paard Clicker.AEIO;"C:\Windows\temp\vviy.tmp\svchost.exe";"Verplaatst naar de quarantaine";"13-1-2010, 10:39:35";"bestand";"C:\Windows\System32\svchost.exe"
Trojaans paard Clicker.AEIO;"C:\Windows\temp\iboe.tmp\svchost.exe";"Verplaatst naar de quarantaine";"13-1-2010, 10:13:32";"bestand";"C:\Windows\System32\svchost.exe"
Trojaans paard Clicker.AEIO;"C:\Windows\temp\kgyu.tmp\svchost.exe";"Verplaatst naar de quarantaine";"13-1-2010, 10:07:40";"bestand";"C:\Windows\System32\svchost.exe"
Trojaans paard Clicker.AEIO;"C:\Windows\temp\tktx.tmp\svchost.exe";"Verplaatst naar de quarantaine";"13-1-2010, 9:11:45";"bestand";"C:\Windows\System32\svchost.exe"
Trojaans paard Clicker.AEIO;"C:\Windows\temp\yumk.tmp\svchost.exe";"Verplaatst naar de quarantaine";"12-1-2010, 22:19:00";"bestand";"C:\Windows\System32\svchost.exe"
Trojaans paard Clicker.AEIO;"C:\Windows\temp\rove.tmp\svchost.exe";"Verplaatst naar de quarantaine";"12-1-2010, 22:12:06";"bestand";"C:\Windows\System32\svchost.exe"
Trojaans paard Clicker.AEIO;"C:\Windows\temp\cfqo.tmp\svchost.exe";"Verplaatst naar de quarantaine";"12-1-2010, 21:34:26";"bestand";"C:\Windows\System32\svchost.exe"
Trojaans paard Clicker.AEIO;"C:\Windows\temp\ugkm.tmp\svchost.exe";"Verplaatst naar de quarantaine";"12-1-2010, 20:32:06";"bestand";"C:\Windows\System32\svchost.exe"
Trojaans paard Clicker.AEIO;"C:\Windows\temp\uqyt.tmp\svchost.exe";"Verplaatst naar de quarantaine";"12-1-2010, 20:23:58";"bestand";"C:\Windows\System32\svchost.exe"
Trojaans paard Clicker.AEIO;"C:\Windows\temp\rrux.tmp\svchost.exe";"Verplaatst naar de quarantaine";"12-1-2010, 19:47:10";"bestand";"C:\Windows\System32\svchost.exe"
Trojaans paard Clicker.AEIO;"C:\Windows\temp\iewv.tmp\svchost.exe";"Verplaatst naar de quarantaine";"12-1-2010, 19:41:18";"bestand";"C:\Windows\System32\svchost.exe"
Trojaans paard Clicker.AEIO;"C:\Windows\temp\lqot.tmp\svchost.exe";"Verplaatst naar de quarantaine";"12-1-2010, 17:12:13";"bestand";"C:\Windows\System32\svchost.exe"
Trojaans paard Clicker.AEIO;"C:\Windows\temp\yhco.tmp\svchost.exe";"Verplaatst naar de quarantaine";"12-1-2010, 15:29:53";"bestand";"C:\Windows\System32\svchost.exe"
Trojaans paard Clicker.AEIO;"C:\Windows\temp\lvvo.tmp\svchost.exe";"Verplaatst naar de quarantaine";"12-1-2010, 15:24:19";"bestand";"C:\Windows\System32\svchost.exe"
Trojaans paard Clicker.AEIO;"C:\Windows\temp\avoh.tmp\svchost.exe";"Verplaatst naar de quarantaine";"12-1-2010, 14:13:38";"bestand";"C:\Windows\System32\svchost.exe"
Trojaans paard Clicker.AEIO;"C:\Windows\temp\cnlb.tmp\svchost.exe";"Verplaatst naar de quarantaine";"12-1-2010, 13:17:49";"bestand";"C:\Windows\System32\svchost.exe"
Trojaans paard Clicker.AEIO;"C:\Windows\temp\tqtp.tmp\svchost.exe";"Verplaatst naar de quarantaine";"12-1-2010, 13:11:48";"bestand";"C:\Windows\System32\svchost.exe"
Trojaans paard Clicker.AEIO;"C:\Windows\temp\ujij.tmp\svchost.exe";"Verplaatst naar de quarantaine";"12-1-2010, 11:31:06";"bestand";"C:\Windows\System32\svchost.exe"
Trojaans paard Clicker.AEIO;"C:\Windows\temp\elro.tmp\svchost.exe";"Verplaatst naar de quarantaine";"12-1-2010, 10:45:19";"bestand";"C:\Windows\System32\svchost.exe"
Trojaans paard Clicker.AEIO;"C:\Windows\temp\kcfw.tmp\svchost.exe";"Verplaatst naar de quarantaine";"12-1-2010, 10:39:46";"bestand";"C:\Windows\System32\svchost.exe"
Trojaans paard Clicker.AEIO;"C:\Windows\temp\jwfr.tmp\svchost.exe";"Verplaatst naar de quarantaine";"12-1-2010, 10:34:15";"bestand";"C:\Windows\System32\svchost.exe"
Trojaans paard Clicker.AEIO;"C:\Windows\temp\jhtv.tmp\svchost.exe";"Verplaatst naar de quarantaine";"12-1-2010, 10:28:42";"bestand";"C:\Windows\System32\svchost.exe"
Trojaans paard Clicker.AEIO;"C:\Windows\temp\ijwq.tmp\svchost.exe";"Verplaatst naar de quarantaine";"12-1-2010, 10:23:10";"bestand";"C:\Windows\System32\svchost.exe"
Trojaans paard Clicker.AEIO;"C:\Windows\temp\mpwj.tmp\svchost.exe";"Verplaatst naar de quarantaine";"12-1-2010, 10:11:56";"bestand";"C:\Windows\System32\svchost.exe"
Trojaans paard Clicker.AEIO;"C:\Windows\temp\gtcw.tmp\svchost.exe";"Verplaatst naar de quarantaine";"12-1-2010, 10:05:28";"bestand";"C:\Windows\System32\svchost.exe"
Trojaans paard Clicker.AEIO;"C:\Windows\temp\txge.tmp\svchost.exe";"Genfecteerd";"12-1-2010, 9:58:54";"bestand";"C:\Windows\System32\svchost.exe"
Trojaans paard Clicker.AEIO;"C:\Windows\temp\npnm.tmp\svchost.exe";"Genfecteerd";"12-1-2010, 9:52:37";"bestand";"C:\Windows\System32\svchost.exe"
Trojaans paard Clicker.AEIO;"C:\Windows\temp\lrou.tmp\svchost.exe";"Verplaatst naar de quarantaine";"12-1-2010, 9:46:34";"bestand";"C:\Windows\System32\svchost.exe"
Trojaans paard Clicker.AEIO;"C:\Windows\temp\rgpv.tmp\svchost.exe";"Verplaatst naar de quarantaine";"12-1-2010, 9:40:21";"bestand";"C:\Windows\System32\svchost.exe"
Trojaans paard Clicker.AEIO;"C:\Windows\temp\xire.tmp\svchost.exe";"Verplaatst naar de quarantaine";"12-1-2010, 9:34:16";"bestand";"C:\Windows\System32\svchost.exe"
Trojaans paard Clicker.AEIO;"C:\Windows\temp\ttpx.tmp\svchost.exe";"Verplaatst naar de quarantaine";"12-1-2010, 9:27:57";"bestand";"C:\Windows\System32\svchost.exe"
Trojaans paard Clicker.AEIO;"C:\Windows\temp\aant.tmp\svchost.exe";"Verplaatst naar de quarantaine";"12-1-2010, 9:21:15";"bestand";"C:\Windows\System32\svchost.exe"
Trojaans paard Clicker.AEIO;"C:\Windows\temp\yhby.tmp\svchost.exe";"Verplaatst naar de quarantaine";"12-1-2010, 9:13:12";"bestand";"C:\Windows\System32\svchost.exe"
Trojaans paard Clicker.AEIO;"C:\Windows\temp\igft.tmp\svchost.exe";"Verplaatst naar de quarantaine";"12-1-2010, 9:07:17";"bestand";"C:\Windows\System32\svchost.exe"
Trojaans paard Clicker.AEIO;"C:\Windows\temp\xqvg.tmp\svchost.exe";"Verplaatst naar de quarantaine";"12-1-2010, 9:01:12";"bestand";"C:\Windows\System32\svchost.exe"
Trojaans paard Clicker.AEIO;"C:\Windows\temp\bosh.tmp\svchost.exe";"Verplaatst naar de quarantaine";"12-1-2010, 8:54:36";"bestand";"C:\Windows\System32\svchost.exe"
Trojaans paard Clicker.AEIO;"C:\Windows\temp\xgct.tmp\svchost.exe";"Verplaatst naar de quarantaine";"11-1-2010, 22:14:14";"bestand";"C:\Windows\System32\svchost.exe"
Trojaans paard Clicker.AEIO;"C:\Windows\temp\tfdu.tmp\svchost.exe";"Verplaatst naar de quarantaine";"11-1-2010, 22:08:09";"bestand";"C:\Windows\System32\svchost.exe"
Trojaans paard Clicker.AEIO;"C:\Windows\temp\pihv.tmp\svchost.exe";"Verplaatst naar de quarantaine";"11-1-2010, 22:02:13";"bestand";"C:\Windows\System32\svchost.exe"
Trojaans paard Clicker.AEIO;"C:\Windows\temp\hjnq.tmp\svchost.exe";"Verplaatst naar de quarantaine";"11-1-2010, 21:16:40";"bestand";"C:\Windows\System32\svchost.exe"
Trojaans paard Clicker.AEIO;"C:\Windows\temp\xoov.tmp\svchost.exe";"Verplaatst naar de quarantaine";"11-1-2010, 20:30:59";"bestand";"C:\Windows\System32\svchost.exe"
Trojaans paard Clicker.AEIO;"C:\Windows\temp\xavu.tmp\svchost.exe";"Verplaatst naar de quarantaine";"11-1-2010, 20:25:25";"bestand";"C:\Windows\System32\svchost.exe"
Trojaans paard Clicker.AEIO;"C:\Windows\temp\bwyn.tmp\svchost.exe";"Verplaatst naar de quarantaine";"11-1-2010, 20:19:44";"bestand";"C:\Windows\System32\svchost.exe"
Trojaans paard Clicker.AEIO;"C:\Windows\temp\dmox.tmp\svchost.exe";"Verplaatst naar de quarantaine";"11-1-2010, 18:43:22";"bestand";"C:\Windows\System32\svchost.exe"
Trojaans paard Clicker.AEIO;"C:\Windows\temp\nipm.tmp\svchost.exe";"Verplaatst naar de quarantaine";"11-1-2010, 18:37:53";"bestand";"C:\Windows\System32\svchost.exe"
Trojaans paard Clicker.AEIO;"C:\Windows\temp\byqa.tmp\svchost.exe";"Verplaatst naar de quarantaine";"11-1-2010, 18:32:22";"bestand";"C:\Windows\System32\svchost.exe"
Trojaans paard Clicker.AEIO;"C:\Windows\Temp\mtim.tmp\svchost.exe";"Verplaatst naar de quarantaine";"11-1-2010, 17:59:00";"bestand";"C:\Windows\System32\svchost.exe"
 
Laatst bewerkt door een moderator:
Hallo Technical miracle, mij valt op dat het gros van de bedreigingen altijd uit de tijdelijke mappen in jouw Windows komt!

Gebruik regelmatig een goede cleaner om de zogeheten Temp Files te legen!

Heb je er nog geen, dan is de ATF-Cleaner een goed alternatief: ATF-Cleaner

En een andere vraag: heb je mogelijk programma's genstalleerd met behulp van cracks/keygens?
 
Hoi TM :)


Hetgeen er nog uit is zijn eigenlijk false positifs :(
allez, niks ergs hoor, onderdeeltjes van SDFIX die door MBAM blijkbaar verkerd gezien worden als infected, maar bioj dsfix is het net als bij combofix ed. daar worden onderdelen wel eens verkeerdelijk door antivirusscanners enz... opgepikt (maar het verbaast me wel dat dit bij sdfix het geval is, MBAM wordt nl. "gemaakt" door mensne die echt veel bezig zijn met malware (en het behandelen van ook logs enz... en die dus ook SDFix kennen). Maar SDFIx kon idd niet draaien op je PC (doet het niet op Windows 7, bij je HJT logje stond Unknown Windows, mijn frank was ook niet meteen gevallen dat het 7 was die moment dat ik de stap SDFix neerzette ;) (wel jammer overigens want die zou de infectie volgens mij wel aangekunnen hebben)) dus het maakt nu verder ook niets uit ;)



Hoewel het tooltje ook in combofix vervat zit, kan je toch hem er eens apart over laten gaan? :


Laat GMER anti-rootkit eens scannen:
(na een herstart)
* Download GMER anti-rootkit en sla het op naar bv bureaublad :
http://www.gmer.net
via het download.exe knopje (even scrollen)
* kies voor "opslaan" en sla op naar bureaublad
* Sluit alle openstaande andere progr. (mail, messengers, ...)
* sluit het downloadvenster en dubbelklik het gedownloade .exe bestand van GMER (indien je een beveiligingswaarschuwing krijgt, klik op "uitvoeren")
* Hij kan vragen om een "full scan, kies dan "no"
* rechts zijn er een aantal zaken aangevinkt, laat dat zo staan. Kijk ook na of het vakje bij "show all" NIET aanvinkt is, dat vakje moet leeg zijn
* klik het scan" knopje, GMER gaat nu de PC doorscannen (niet alles wat aangetroffen wordt is daarom kwaadaardig)
* als de scan gedaan is (kan wel even duren, vergelijkbaar met een onine virusscan qua scantijd), klik "save" en sla op als GMER.txt op een locatie waar je het makkelijk kan terugvinden, bv. bureaublad
* Post dit resultaat mee in een volgende reactie


Succes :)

--- automatische edit ---

Doe ook volgende eens:

* ga naar:
http://www.surfright.nl/nl/hitmanpro
download de versie geschikt voor je windows (32 of 64 bits)
* dubbelklik HitmanPro3.5.exe
* klik "volgends"
* accepteer de licentie-overeenkomst, klik "volgende"
* er wordt gescand, kopieer (maak een screenshot)als de scan klaar is, het venster met de resultaten daarna eens (nog niets laten verwijderen, want er gaan allicht ook tools die veilig zijn gevonden worden, zoals securitycheck.exe; selecteer evtl. bij deze tools om door te geven dat het geen bedreiging is (uitklapmenuutje rechts))

Eens kijken wat daar uitkomt, en of we daarmee verder kunnen om de infectie er nog uit te halen, succes :)
 
Laatst bewerkt door een moderator:
Hoi,

Hieronder het resultaat van GMER:

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-01-13 20:27:38
Windows 6.1.7600
Running: 36m75hhd.exe; Driver: C:\Users\AVONKN~1\AppData\Local\Temp\uwwiqaoc.sys


---- System - GMER 1.0.15 ----

INT 0x1F \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82A1AAF8
INT 0x37 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82A1A104
INT 0xC1 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82A1A3F4
INT 0xD1 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82A02634
INT 0xD2 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82A02898
INT 0xDF \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82A1A1DC
INT 0xE1 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82A1A958
INT 0xE3 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82A1A6F8
INT 0xFD \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82A1AF2C
INT 0xFE \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82A1B1A8

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!ZwSaveKeyEx + 13AD 82A7A579 1 Byte [06]
.text ntkrnlpa.exe!KiDispatchInterrupt + 5A2 82A9EF52 19 Bytes [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text peauth.sys AA424C9D 28 Bytes [D5, BC, 95, 23, 4D, 98, 95, ...]
.text peauth.sys AA424CC1 28 Bytes [D5, BC, 95, 23, 4D, 98, 95, ...]

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (Kernel Mode Driver Framework Runtime/Microsoft Corporation)

Device \Driver\ACPI_HAL \Device\00000053 halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)

AttachedDevice \Driver\tdx \Device\Tcp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume2 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume3 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\tdx \Device\Udp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\tdx \Device\RawIp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)

Device -> \Driver\atapi \Device\Harddisk0\DR0 859A9618

---- Threads - GMER 1.0.15 ----

Thread System [4:2420] AA5B8F2E

---- Registry - GMER 1.0.15 ----

Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Perflib@Last Counter 5452
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Perflib@Last Help 5453

---- Files - GMER 1.0.15 ----

File C:\Windows\system32\drivers\atapi.sys suspicious modification

---- EOF - GMER 1.0.15 ----

En dat van HitmanPro:

atapi.sys
C:\windows\system32\DRIVERS Rootkit

keygen.exe
C:\Users\....\Downloads\Design.Science.MathType.v6.5.Incl.Keymaker-CORE\

GMER heeft volgens mij wel wat resultaat opgeleverd, ik krijg iig het laatste uur geen
melding meer van svchost.exe!

Thanks,

Gr, TM
 
Met alle respect: keygen.exe
C:\Users\....\Downloads\Design.Science.MathType.v6 .5.Incl.Keymaker-CORE\

Ik had al zo'n vermoeden!
Niets is gratis!
 
Het is toch die atapi.sys die er nog mee te maken heeft vrees 'k (cfr. vorige keer) :(

Het goede nieuws is wel dat Hitman pro dit kan oplossen. Scheelt een hoop gedoe met machtigingen, verplaatsen enz... bij Vista/7


Doe volgende eens:


Download en gebruik TFC van Oldtimer
(indien je evtl. bestandne in de prullenbak hebt staan, die toch nog niet wegmogen (uitzonderlijk, maar kan altijd ;)) , haal ze er weer uit, want TFC gaat de prullenbak legen )
* download TFC van Oldtimer klik en kies voor opslaan, sla op naar het bureaublad.
* Sluit alle openstaande programma's zoals messenger, mail, sites, GMER als die nog openstaat, hitmanpro als die nog openstaat, enz … net alsof je op het punt staat de pc af te sluiten (hierna moet toch herstart worden, als de pc dat niet automatisch doet). Ook je browser sluiten.
* dubbelklik op het TFC.exe icoontje op het bureaublad (Vista: rechtermuisklik > "uitvoeren als administrator")
* er opent een venster. Sluit indien nog open ook even je browser na deze stap uitgelezen te hebben ;)). Klik daarin op knopje "starten". Desktopicoontje en taalbalk gana even verdwijnen, dat is normaal.
Laat het programma gewoon ongestoord zijn werk doen totdat het klaar is. Dat duurt niet zo heel lang, een paar minuutjes.
Als het programma klaar is, dan zal het je computer opnieuw opstarten. Als dat niet gebeurt, start dan de pc zelf opnieuw op.



Laat daarna Hitman Pro 3.5 nog eens scannen.
Als hij deze nog aantreft:
atapi.sys
C:\windows\system32\DRIVERS Rootkit

Seleteer links "verwijderen" (het bestand wordt dan (omdat het een systeembestand is) niet verwijderd, maar vervangen door een cleane)
Dat gaat allicht meer succes hebben dan de vervangacties die we vorige keer ondernomen hebben. :) (tenzij die wel gelukt waren maar je mss de/een besmette keygen terug gebruikt had ofzo :p)
Bij die Keygen.exe is de kans groot dat die genfecteerd is, dus kies daar mss best ook bij om 'm te laten verwijderen. (Bij twijfel laat 'm niet verwijderen, en laat 'm evtl. eens door Jotti of virustotal scannen, en/of verwijder 'm handmatig (maar 't is wel een feit dat deze infectie zich vnl. verspeid via cracks en keygens, enz...))
Klik dan "volgende" in HitmanPro (verder afgekort als HMP)

Je krijgt dan een venster met dat Hitman pro "geactiveerd" dient te worden, echter is er een 30 dagen gratis volledig werkende trial. Er staan vakjes om een code in te tikken, maar je ook gewoon op activeren klikken, en dan iets daaronder op de link om die 30 dagen volledig werkende trial te activeren.


Herstart daarna weer de pc
En laat HMP evtl nog eens cannen, is de uitkomst dan clean?
Post evtl. ook het log van TFC, mocht je dat gekregen hebben na herstarten van de pc. (Als je het niet kreeg, geen probleem verder)
Hou verder ook in de gaten of je nog problemen merkt, oid.


Succes :)
 
Na het een aantal weken aangekeken te hebben denk ik dat het probleem is verholpen. Ik krijg iig niet meer het svchost.exe probleem. Ontzettend bedankt voor de hulp!

Gr, TM
 
Mooi dat je het svchost.exe probleem niet meer voorgehad hebt :)
Hoe draait de computer verder, merk je evtl. nog (andere) problemen oid? Of heb je evtl. nog rare zaken gemerkt?

Zou je misschien nog eens een nieuw combofix logje kunnen maken, om dat nog even te bekijken of die/gmer onderdeeltje er in, nog wat meldt? (het logje ook weer even door de kleurcodering halen) :)
 
Status
Niet open voor verdere reacties.

Nieuwste berichten

Terug
Bovenaan