[sungod000]

Hallo, mijn computer lijkt te zijn sommige malware dat ontdekte ik toen mijn oom zijn aangesloten USB-sleutel. Avast scant vinden sommige dingen, maar kon niet schoon / verwijderen. Verdediger scan zou bevriezen na ongeveer 7 minuten. En MBAM volledige scan ook bevroor na ongeveer 5 minuten, maar de quick scan was ok. Hier zijn de logs:

Avast:
18/06/2009 11:07:37 AM gebruiker 3652 Sign of "Win32: UPS [Cryp]" is gevonden in "D: \ Recycler \ S-1-5-21-1214440339-602162358-839522115-1003 \ Dd16 \ Outlook.pst \ Personal Folders \ Top of Personal Folders \ Inbox \ UPS Tracking Nummer 7124353990 \ UPS_INVOICE_978172.zip \ UPS_INVOICE_9781 72.exe "bestand.
18/06/2009 11:06:59 AM gebruiker 3652 Sign of "Win32: UPS [Cryp]" is gevonden in "D: \ Recycler \ S-1-5-21-1214440339-602162358-839522115-1003 \ Dd16 \ Outlook.pst \ Personal Folders \ Top of Personal Folders \ Verwijderde items \ UPS Tracking Nummer 7124353990 \ UPS_INVOICE_978172.zip \ UPS_INVOICE_9781 72.exe "bestand.
18/06/2009 11:06:59 AM gebruiker 3652 Sign of "Win32: UPS [Cryp]" is gevonden in "D: \ Recycler \ S-1-5-21-1214440339-602162358-839522115-1003 \ Dd16 \ Outlook.pst \ Personal Folders \ Top of Personal Folders \ Verwijderde items \ UPS Tracking Nummer 0762005263 \ invoice_8712.zip \ INVOICE_8712.exe "bestand.
18/06/2009 11:06:58 AM gebruiker 3652 Sign of "Win32: Agent-AAPS [Trj]" is gevonden in "D: \ Recycler \ S-1-5-21-1214440339-602162358-839522115-1003 \ Dd16 \ Outlook.pst \ Personal Folders \ Top of Personal Folders \ Verwijderde items \ UPS Tracking Nummer 3508422599 \ ups_invoice.zip \ ups_invoice.exe "bestand.
18/06/2009 10:42:55 AM gebruiker 3652 Sign of "Win32: Trojan-gen (Other)" is gevonden in "C: \ Documents and Settings \ gebruikersnaam \ Local Settings \ Application Data \ Microsoft \ Outlook \ Outlookinfo @ fcagroup.com (IMAP)-00000005.pst \ info@fcagroup.com \ Top of Personal Folders \ [Gmail] \ All Mail \ Echt coole foto's \ pussy.zip \ pussy.exe "bestand.
18/06/2009 10:42:41 AM gebruiker 3652 Sign of "Win32: UPS [Cryp]" is gevonden in "C: \ Documents and Settings \ gebruikersnaam \ Local Settings \ Application Data \ Microsoft \ Outlook \ Outlookinfo @ fcagroup . com (IMAP)-00000005.pst \ info@fcagroup.com \ Top of Personal Folders \ [Gmail] \ All Mail \ UPS: Uw Tracking # 358010698330 \ PDF76512.zip \ PDF76512.exe "bestand.
18/06/2009 10:42:41 AM gebruiker 3652 Sign of "Win32: UPS [Cryp]" is gevonden in "C: \ Documents and Settings \ gebruikersnaam \ Local Settings \ Application Data \ Microsoft \ Outlook \ Outlookinfo @ fcagroup . com (IMAP)-00000005.pst \ info@fcagroup.com \ Top of Personal Folders \ [Gmail] \ All Mail \ UPS: Uw Tracking # 145132932471 \ PDF76512.zip \ PDF76512.exe "bestand.
18/06/2009 10:42:23 AM gebruiker 3652 Sign of "Win32: UPS [Cryp]" is gevonden in "C: \ Documents and Settings \ gebruikersnaam \ Local Settings \ Application Data \ Microsoft \ Outlook \ Outlookinfo @ fcagroup . com (IMAP)-00000005.pst \ info@fcagroup.com \ Top of Personal Folders \ [Gmail] \ All Mail \ UPS: Uw Tracking # 239293259082 \ EXL6512721.zip \ EXL6512721.exe "bestand.
17/06/2009 5:36:18 PM STELSEL 1328 Sign of "BV: AutoRun-T [WRM]" is gevonden in "F: \ Autorun.inf" bestand.




SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Gegenereerd 06.19.2009 op 10:43

Toepassing Versie: 4.26.1004

Core Rules Database Version: 3947
Trace Rules Database Version: 1889

Scan type: Volledige Scan
Totaal Scan tijd: 00:36:36

Geheugen objecten gescand: 631
Geheugen bedreigingen gedetecteerd: 0
Register-items gescand: 6110
Griffie bedreigingen gedetecteerd: 0
Bestand objecten gescand: 46796
Bestand bedreigingen gedetecteerd: 9

Adware.Tracking Cookie
C: \ Documents and Settings \ gebruikersnaam \ Cookies \ gebruiker @ XiTi [1]. Txt
C: \ Documents and Settings \ gebruikersnaam \ Cookies \ gebruiker @ revsci [2]. Txt
C: \ Documents and Settings \ gebruikersnaam \ Cookies \ gebruiker @ tribalfusion [2]. Txt
C: \ Documents and Settings \ gebruikersnaam \ Cookies \ gebruiker @ RealMedia [2]. Txt
C: \ Documents and Settings \ gebruikersnaam \ Cookies \ user@microsoftwindows.112.2o 7 [1]. Txt
C: \ Documents and Settings \ gebruikersnaam \ Cookies \ user@pandasoftware.112.2o7 [1]. Txt
C: \ Documents and Settings \ gebruikersnaam \ Cookies \ user@adopt.euroclick [2]. Txt
C: \ Documents and Settings \ gebruikersnaam \ Cookies \ gebruiker @ specificclick [2]. Txt
C: \ Documents and Settings \ gebruikersnaam \ Cookies \ gebruiker @ 247realmedia [1]. Txt





Malwarebytes' Anti-Malware 1.38
Database versie: 2308
Windows 5.1.2600 Service Pack 3

19/06/2009 11:01:44 AM
mbam-log-2009-06-19 (11-01-44). txt

Scan type: Quick Scan
Objecten gescand: 87063
Verstreken tijd: 2 minute (s), 24 seconde (n)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(Geen kwaadaardige items gedetecteerd)

Memory Modules Infected:
(Geen kwaadaardige items gedetecteerd)

Registry Keys Infected:
(Geen kwaadaardige items gedetecteerd)

Registry Values Infected:
(Geen kwaadaardige items gedetecteerd)

Registry Data Items Infected:
(Geen kwaadaardige items gedetecteerd)

Folders Infected:
(Geen kwaadaardige items gedetecteerd)

Geïnfecteerde bestanden:
(Geen kwaadaardige items gedetecteerd)





Logbestand van Trend Micro HijackThis v2.0.2
Scan opgeslagen om 11:04:24 op 19/06/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Draaiende processen:
C: \ WINDOWS \ System32 \ Smss.exe
C: \ WINDOWS \ system32 \ winlogon.exe
C: \ WINDOWS \ system32 \ Services.exe
C: \ WINDOWS \ system32 \ lsass.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ Program Files \ Windows Defender \ MsMpEng.exe
C: \ WINDOWS \ System32 \ svchost.exe
C: \ WINDOWS \ system32 \ ZoneLabs \ vsmon.exe
C: \ Program Files \ Alwil Software \ Avast4 \ aswUpdSv.exe
C: \ Program Files \ Alwil Software \ Avast4 \ ashServ.exe
C: \ WINDOWS \ system32 \ Spoolsv.exe
C: \ WINDOWS \ system32 \ cisvc.exe
C: \ Program Files \ Diskeeper Corporation \ Diskeeper \ DkService.exe
C: \ Program Files \ Hamachi \ hamachi.exe
C: \ WINDOWS \ system32 \ cidaemon.exe
C: \ Program Files \ Java \ jre6 \ bin \ jqs.exe
C: \ Program Files \ Common Files \ Microsoft Shared \ VS7DEBUG \ Mdm.exe
C: \ WINDOWS \ system32 \ nvsvc32.exe
C: \ WINDOWS \ explorer.exe
C: \ Program Files \ Pervasive Software \ psql \ Bin \ w3dbsmgr.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ WINDOWS \ system32 \ SearchIndexer.exe
C: \ WINDOWS \ system32 \ fxssvc.exe
C: \ Program Files \ Alwil Software \ Avast4 \ ashMaiSv.exe
C: \ Program Files \ Alwil Software \ Avast4 \ ashWebSv.exe
C: \ WINDOWS \ RTHDCPL.EXE
C: \ PROGRA ~ 1 \ ALWILS ~ 1 \ Avast4 \ ashDisp.exe
C: \ Program Files \ Zone Labs \ ZoneAlarm \ zlclient.exe
C: \ WINDOWS \ Samsung \ PanelMgr \ SSMMgr.exe
C: \ WINDOWS \ Twain_32 \ Samsung \ SCX4x28 \ Scan2pc.exe
C: \ Program Files \ Java \ jre6 \ bin \ jusched.exe
C: \ WINDOWS \ system32 \ Ctfmon.exe
C: \ WINDOWS \ System32 \ svchost.exe
C: \ Program Files \ Skype \ Phone \ Skype.exe
C: \ Program Files \ Windows Desktop Search \ WindowsSearch.exe
C: \ Program Files \ Hamachi \ hamachi.exe
C: \ Program Files \ 2BrightSparks \ SyncBack \ SyncBack.exe
C: \ Program Files \ Skype \ Plugin Manager \ skypePM.exe
C: \ WINDOWS \ system32 \ Taskmgr.exe
C: \ Program Files \ SUPERAntiSpyware \ SUPERAntiSpyware.exe
C: \ WINDOWS \ system32 \ NOTEPAD.EXE
C: \ Program Files \ Mozilla Firefox \ firefox.exe
C: \ WINDOWS \ system32 \ SearchProtocolHost.exe
C: \ Program Files \ Trend Micro \ HijackThis \ sniper.exe

R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://www.dhl.ca/ca/wfHomeLoggedIn.aspx
F2 - REG: system.ini: UserInit = C: \ WINDOWS \ system32 \ Userinit.exe, userinit. Exe
O1 - Hosts: 66.98.148.65 auto.search.msn.com
O1 - Hosts: 66.98.148.65 auto.search.msn.es
O2 - BHO: Spybot-S & D IE Protection - (53707962-6F74-2D53-2644-206D7942484F) - C: \ PROGRA ~ 1 \ Spybot ~ 1 \ SDHelper.dll
O2 - BHO: Java (tm) Plug-In 2 SSV Helper - (DBC80044-A445-435b-BC74-9C25C1C588A9) - C: \ Program Files \ Java \ jre6 \ bin \ jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - (E7E6F031-17CE-4C07-BC86-EABFE594F69C) - C: \ Program Files \ Java \ jre6 \ lib \ implementeren \ jqs \ IE \ jqs_plugin.dll
O4 - HKLM \ .. \ Run: [NvCplDaemon] RUNDLL32.EXE C: \ WINDOWS \ system32 \ NvCpl.dll, NvStartup
O4 - HKLM \ .. \ Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM \ .. \ Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM \ .. \ Run: [DiskeeperSystray] "C: \ Program Files \ Diskeeper Corporation \ Diskeeper \ DkIcon.exe"
O4 - HKLM \ .. \ Run: [avast!] C: \ PROGRA ~ 1 \ ALWILS ~ 1 \ Avast4 \ ashDisp.exe
O4 - HKLM \ .. \ Run: [Windows Defender] "C: \ Program Files \ Windows Defender \ MSASCui.exe"-hide
O4 - HKLM \ .. \ Run: [ZoneAlarm Client] "C: \ Program Files \ Zone Labs \ ZoneAlarm \ zlclient.exe"
O4 - HKLM \ .. \ Run: [Samsung PanelMgr] C: \ WINDOWS \ Samsung \ PanelMgr \ SSMMgr.exe / autorun
O4 - HKLM \ .. \ Run: [4x28 Scan2PC] "C: \ WINDOWS \ Twain_32 \ Samsung \ SCX4x28 \ Scan2pc.e xe"
O4 - HKLM \ .. \ Run: [SunJavaUpdateSched] "C: \ Program Files \ Java \ jre6 \ bin \ jusched.exe"
O4 - HKLM \ .. \ RunOnce: [Malwarebytes' Anti-Malware] C: \ Program Files \ Malwarebytes' Anti-Malware \ mbamgui.exe / install / silent
O4 - HKCU \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe
O4 - HKCU \ .. \ Run: [Skype] "C: \ Program Files \ Skype \ Phone \ Skype.exe" / nosplash / geminimaliseerd
O4 - HKUS \ S-1-5-19 \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe (User 'LOCAL SERVICE')
O4 - HKUS \ S-1-5-20 \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe (User 'NETWORK SERVICE')
O4 - HKUS \ S-1-5-18 \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe (User 'SYSTEM')
O4 - HKUS \. DEFAULT \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe (User 'Default user')
O4 - Startup: hamachi.lnk = C: \ Program Files \ Hamachi \ hamachi.exe
O4 - Startup: Snelkoppeling naar Kaart Drive.lnk = C: \ Documents and Settings \ gebruikersnaam \ Desktop \ Kaart Drive.bat
O4 - Startup: SyncBack.lnk = C: \ Program Files \ 2BrightSparks \ SyncBack \ SyncBack.exe
O4 - Global Startup: Windows Search.lnk = C: \ Program Files \ Windows Desktop Search \ WindowsSearch.exe
O8 - Extra context menu item: E & xporteren naar Microsoft Excel - res: / / C: \ PROGRA ~ 1 \ MICROS ~ 2 \ Office11 \ EXCEL.EXE/3000
O8 - Extra context menu item: Web Capture - C: \ Program Files \ SmarThru Office \ WebCapture.dll
O9 - Extra button: Onderzoek - (92780B25-18CC-41C8-B9BE-3C9C571A8263) - C: \ PROGRA ~ 1 \ MICROS ~ 2 \ Office11 \ REFIEBAR.DLL
O9 - Extra button: (geen naam) - (DFB852A3-47F8-48C4-A200-58CAB36FD2A2) - C: \ PROGRA ~ 1 \ Spybot ~ 1 \ SDHelper.dll
O9 - Extra 'Tools' MENUITEM: Spybot - Search & Destroy Configuration - (DFB852A3-47F8-48C4-A200-58CAB36FD2A2) - C: \ PROGRA ~ 1 \ Spybot ~ 1 \ SDHelper.dll
O9 - Extra button: (geen naam) - (e2e2dd38-d088-4134-82b7-f2ba38496583) - C: \ WINDOWS \ Network Diagnostic \ xpnetdiag.exe
O9 - Extra 'Tools' MENUITEM: @ xpsp3res.dll, -20001 - (e2e2dd38-d088-4134-82b7-f2ba38496583) - C: \ WINDOWS \ Network Diagnostic \ xpnetdiag.exe
O9 - Extra button: Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O9 - Extra 'Tools' MENUITEM: Windows Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O16 - DPF: (56762DEC-6B0D-4AB4-A8AD-989993B5D08B) -- http://www.eset.eu/buxus/docs/OnlineScanner.cab
O16 - DPF: (6414512B-B978-451D-A0D8-FCFDF33E833C) (WUWebControl Class) -- http://www.update.microsoft.com/wind...?1203273577140
O18 - Protocol: skype4com - (FFC8B962-9B40-4DFF-9458-1830C7DD7F5D) - C: \ PROGRA ~ 1 \ COMMON ~ 1 \ Skype \ SKYPE4 ~ 1.dll
O20 - Winlogon Notify:! SASWinLogon - C: \ Program Files \ SUPERAntiSpyware \ SASWINLO.dll
O23 - Service: Adobe LM Service - Onbekende eigenaar - C: \ Program Files \ Common Files \ Adobe Systems Shared \ Service \ Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C: \ Program Files \ Alwil Software \ Avast4 \ aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C: \ Program Files \ Alwil Software \ Avast4 \ ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C: \ Program Files \ Alwil Software \ Avast4 \ ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C: \ Program Files \ Alwil Software \ Avast4 \ ashWebSv.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C: \ Program Files \ Diskeeper Corporation \ Diskeeper \ DkService.exe
O23 - Service: Hamachi Service (HamachiService) - LogMeIn Inc - C: \ Program Files \ Hamachi \ hamachi.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc - C: \ Program Files \ Java \ jre6 \ bin \ jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C: \ WINDOWS \ system32 \ nvsvc32.exe
O23 - Service: Pervasive psql Workgroup Engine (psqlWGE) - Pervasive Software Inc - C: \ Program Files \ Pervasive Software \ psql \ Bin \ w3dbsmgr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C: \ WINDOWS \ system32 \ ZoneLabs \ vsmon.exe

--
End of file - 7353 bytes

[sjb007]

Hallo daar en welkom op Computer Juice

Ik ben Steve en ik zal u helpen thoughout deze correctie.

Alvorens te beginnen met het repareren, lees dit bericht volledig. Als er iets dat u niet begrijpt, vriendelijk verzoeken uw vragen voordat u verder gaat. Het is belangrijk dat u niet missen een stap. Gelieve alles in de juiste volgorde / volgorde.

We zullen beginnen met ComboFix.exe. Ga naar deze webpagina voor download links en instructies voor het uitvoeren van het hulpprogramma:

http://www.bleepingcomputer.com/comb...o-use-combofix

Zorg ervoor dat u hebt uitgeschakeld alle anti-virus en anti-malware programma's zodat ze niet interfereren met de werking van ComboFix.

Geef ook de C: \ ComboFix.txt in uw volgende antwoord voor verder onderzoek.

[sungod000]

He, bedankt voor het helpen. Hier is het log:

ComboFix 09-06-21.01 - gebruiker 22/06/2009 10:29.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1033.18.2046.1511 [GMT -4:00]
Running from: C: \ Documents and Settings \ gebruikersnaam \ Desktop \ ComboFix.exe
AV: avast! antivirus 4.8.1335 [VPS 090621-0] * On-access scannen gehandicapte * (Updated) (7591DB91-41F0-48A3-B128-1A293FD8233D)
FW: ZoneAlarm Firewall * gehandicapten * (829BDA32-94B3-44F4-8446-F8FCFF809F8B)
.

((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))) ))))))))))))))))))))))))))))))))))))))))
.

c: \ windows \ system32 \ winsusrm.dll

.
((((((((((((((((((((((((( Bestanden Gemaakt van 2009-05-22 tot 2009-06-22 ))))))))))) ))))))))))))))))))))
.

2009-06-19 15:34. 2009-06-19 15:34 -------- d ----- w-C: \ Program Files \ Microsoft ActiveSync
2009-06-19 14:07. 2009-06-19 14:07 -------- d ----- w-c: \ Documents and Settings \ gebruikersnaam \ Application Data \ Malwarebytes
2009-06-19 14:07. 2009-06-17 15:27 38,160 ---- aw-c: \ windows \ system32 \ drivers \ mbamswissarmy.sys
2009-06-19 14:07. 2009-06-19 14:07 -------- d ----- w-C: \ Program Files \ Malwarebytes' Anti-Malware
2009-06-19 14:07. 2009-06-19 14:07 -------- d ----- w-c: \ Documents and Settings \ All Users \ Application Data \ Malwarebytes
2009-06-19 14:07. 2009-06-17 15:27 19,096 ---- aw-c: \ windows \ system32 \ drivers \ mbam.sys
2009-06-19 13:58. 2009-06-19 13:58 117,760 ---- aw-c: \ Documents and Settings \ gebruikersnaam \ Application Data \ SUPERAntiSpyware.com \ SUPERAntiSpyware \ SDDLLS \ UIREPAIR.DLL
2009-06-19 13:57. 2009-06-19 13:57 -------- d ----- w-c: \ Documents and Settings \ All Users \ Application Data \ SUPERAntiSpyware.com
2009-06-19 13:57. 2009-06-19 13:57 -------- d ----- w-c: \ program files \ SUPERAntiSpyware
2009-06-19 13:57. 2009-06-19 13:57 -------- d ----- w-c: \ Documents and Settings \ gebruikersnaam \ Application Data \ SUPERAntiSpyware.com
2009-06-19 13:57. 2009-06-19 13:57 -------- d ----- w-C: \ Program Files \ Common Files \ Wise Installation Wizard
2009-06-10 17:39. 2009-06-10 17:39 152,576 ---- aw-c: \ Documents and Settings \ gebruikersnaam \ Application Data \ zondag \ Java \ jre1.6.0_14 \ lzma.dll
2009-06-10 00:53. 2009-06-10 00:53 -------- d ----- w-c: \ Documents and Settings \ All Users \ Application Data \ NCH Software
2009-05-29 11:46. 2008-04-14 09:42 26624 ---- aw-c: \ Documents and Settings \ LocalService \ Application Data \ Microsoft \ UPnP Device Host \ upnphost \ udhisapi.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))) ))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-22 14:22. 2009-04-28 15:03 -------- d ----- w-c: \ Documents and Settings \ gebruikersnaam \ Application Data \ Skype
2009-06-22 13:56. 2008-02-17 21:01 -------- d ----- w-c: \ Documents and Settings \ gebruikersnaam \ Application Data \ Hamachi
2009-06-22 12:02. 2009-04-28 15:18 -------- d ----- w-c: \ Documents and Settings \ gebruikersnaam \ Application Data \ skypePM
2009-06-19 13:35. 2008-02-17 22:39 -------- d ----- w-c: \ Documents and Settings \ All Users \ Application Data \ Spybot - Search & Destroy
2009-06-18 19:10. 2008-06-19 15:20 31703397 ---- aw-c: \ windows \ Internet Logs \ tvDebug.zip
2009-06-12 07:08. 2008-12-03 14:46 -------- d ----- w-C: \ Program Files \ Windows Desktop Search
2009-06-10 17:39. 2009-03-26 15:12 -------- d ----- w-C: \ Program Files \ Java
2009-06-10 16:58. 2008-12-30 17:22 -------- d ----- w-c: \ Documents and Settings \ gebruikersnaam \ Application Data \ FileZilla
2009-05-30 21:05. 2008-08-28 17:15 -------- d ----- w-c: \ program files \ MK PowerTools
2009-05-25 04:24. 2008-05-27 03:18 350208 ---- aw-c: \ windows \ system32 \ mssph.dll
2009-05-21 15:33. 2008-12-06 16:44 410,984 ---- aw-c: \ windows \ system32 \ deploytk.dll
2009-05-12 19:12. 2008-02-17 18:05 26,144 ---- aw-c: \ windows \ system32 \ spupdsvc.exe
2009-05-07 15:32. 2004-08-03 16:56 345,600 ---- aw-c: \ windows \ system32 \ Localspl.dll
2009-05-01 16:37. 2009-02-07 19:53 -------- d ----- w-c: \ Documents and Settings \ gebruikersnaam \ Application Data \ Unyte
2009-04-29 04:46. 2004-08-03 16:56 666,624 ---- aw-c: \ windows \ system32 \ Wininet.dll
2009-04-29 04:46. 2004-08-03 16:56 81,920 ---- aw-c: \ windows \ system32 \ ieencode.dll
2009-04-28 15:18. 2009-04-28 15:18 56 --- ha-w-c: \ windows \ system32 \ ezsidmv.dat
2009-04-28 15:02. 2009-04-28 15:02 -------- d ----- w-C: \ Program Files \ Common Files \ Skype
2009-04-28 15:02. 2009-04-28 15:02 -------- d ----- r-C: \ Program Files \ Skype
2009-04-28 15:02. 2009-04-28 15:02 -------- d ----- w-c: \ Documents and Settings \ All Users \ Application Data \ Skype
2009-04-17 12:26. 2004-08-03 15:17 1,847,168 ---- aw-c: \ windows \ system32 \ Win32k.sys
2009-04-15 14:51. 2004-08-03 16:56 585,216 ---- aw-c: \ windows \ system32 \ Rpcrt4.dll
2009-04-09 02:09. 2009-04-09 02:04 664 ---- aw-c: \ windows \ system32 \ d3d9caps.dat
2009-04-01 21:57. 2008-02-17 22:30 4212 --- ha-w-c: \ windows \ system32 \ zllictbl.dat
2009-04-01 21:21. 2009-04-01 21:21 152,576 ---- aw-c: \ Documents and Settings \ gebruikersnaam \ Application Data \ zondag \ Java \ jre1.6.0_13 \ lzma.dll
2009-03-31 21:41. 2009-03-31 21:41 0 ---- aw-c: \ windows \ system32 \ WSSPOOL.TMP
2009-03-26 15:11. 2009-03-26 15:11 152,576 ---- aw-c: \ Documents and Settings \ gebruikersnaam \ Application Data \ zondag \ Java \ jre1.6.0_12 \ lzma.dll
2008-06-23 22:36. 2008-06-23 22:36 0 ---- aw-c: \ program files \ gditst
2008-05-22 20:04. 2008-05-22 20:04 190 ---- aw-c: \ Program Files \ Common Files \ psasetup.log
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))) ))))))))))))))))))))))))))))))))))))))))
.
.
* Note * empty entries & legit default entries worden niet weergegeven
REGEDIT4

[HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ Curre ntVersion \ Run]
"Ctfmon.exe" = "c: \ windows \ system32 \ Ctfmon.exe" [2008-04-14 15360]
"Skype" = "C: \ Program Files \ Skype \ Phone \ Skype.exe" [2009-04-21 24264488]

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Curr entVersion \ Run]
"NvCplDaemon" = "c: \ windows \ system32 \ NvCpl.dll" [2007-09-17 8491008]
"DiskeeperSystray" = "C: \ Program Files \ Diskeeper Corporation \ Diskeeper \ DkIcon.exe" [2006-10-04 163840]
"avast!" = "c: \ progra ~ 1 \ ALWILS ~ 1 \ Avast4 \ ashDisp. exe" [2009-02-05 81000]
"ZoneAlarm Client" = "C: \ Program Files \ Zone Labs \ ZoneAlarm \ zlclient.exe" [2009-02-16 981384]
"Samsung PanelMgr" = "C: \ Windows \ Samsung \ PanelMgr \ SSMMgr.exe" [2008-07-31 536576]
"4x28 Scan2PC" = "c: \ windows \ Twain_32 \ Samsung \ SCX4x28 \ Scan 2pc.exe" [2008-09-29 495616]
"SunJavaUpdateSched" = "C: \ Program Files \ Java \ jre6 \ bin \ jusched.exe" [2009-05-21 148888]
"RTHDCPL" = "RTHDCPL.EXE" - c: \ windows \ RTHDCPL.exe [2007-04-26 16132608]

[HKEY_USERS \. DEFAULT \ Software \ Microsoft \ Windows \ Cur rentVersion \ Run]
"Ctfmon.exe" = "c: \ windows \ system32 \ Ctfmon.exe" [2008-04-14 15360]

c: \ Documents and Settings \ gebruikersnaam \ Start Menu \ Programs \ Startup \
hamachi.lnk - c: \ program files \ Hamachi \ hamachi.exe [2008-2-17 625952]
Spring naar de Kaart Drive.lnk - c: \ Documents and Settings \ gebruikersnaam \ Desktop \ Kaart Drive.bat [2008-7-30 42]
SyncBack.lnk - c: \ program files \ 2BrightSparks \ SyncBack \ SyncBack.exe [2008-11-15 2936064]

c: \ Documents and Settings \ All Users \ Start Menu \ Programs \ Startup \
Windows Search.lnk - C: \ Program Files \ Windows Desktop Search \ WindowsSearch.exe [2008-5-26 123904]

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ valuta entversion \ Explorer \ ShellExecuteHooks]
"(56F9679E-7826-4C84-81F3-532071A8BCC5)" = "C: \ Program Files \ Windows Desktop Search \ MSNLNamespaceMgr.dll" [2009-05-25 304128]
"(5AE067D3-9AFB-48E0-853A-EBB7F4A000DA)" = "C: \ Program Files \ SUPERAntiSpyware \ SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Notify \! SASWinLogon]
2008-12-22 16:05 356,352 ---- aw-c: \ program files \ SUPERAntiSpyware \ SASWINLO.dll

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ contro l \ SafeBoot \ Minimal \ WinDefend]
@ = "Service"

[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Security Center \ Monitoring \ ZoneLabsFirewall]
"DisableMonitoring" = dword: 00000001

[HKLM \ ~ \ Services \ SharedAccess \ Parameters \ firewallpo antonny \ standardprofile]
"EnableFirewall" = 0 (0x0)

[HKLM \ ~ \ Services \ SharedAccess \ Parameters \ firewallpo antonny \ standardprofile \ AuthorizedApplications \ List]
"% windir% \ \ system32 \ \ sessmgr.exe" =
"% windir% \ \ Network Diagnostic \ \ xpnetdiag.exe" =
"c: \ \ WINDOWS \ \ system32 \ \ fxsclnt.exe" =
"c: \ \ Program Files \ \ Pervasive Software \ \ psql \ \ bin \ \ w3dbsmgr.exe" =
"c: \ \ WINDOWS \ \ twain_32 \ \ Samsung \ \ ScanMgr.exe" =
"c: \ \ WINDOWS \ \ twain_32 \ \ Samsung \ \ SCX4x28 \ \ Scan2Pc. exe" =
"c: \ \ WINDOWS \ \ twain_32 \ \ Samsung \ \ SCX4x28 \ \ Sscan2io. exe" =
"c: \ \ Program Files \ \ Skype \ \ Phone \ \ Skype.exe" =

[HKLM \ ~ \ Services \ SharedAccess \ Parameters \ firewallpo antonny \ standardprofile \ GloballyOpenPorts \ List]
"3389: TCP" = 3389: TCP: @ Xpsp2res.dll, -22009

R1 aswSP; avast! Self Protection; c: \ windows \ system32 \ drivers \ aswSP.sys [07/04/2008 10:44 AM 114768]
R1 SASDIFSV; SASDIFSV; C: \ Program Files \ SUPERAntiSpyware \ sasdifsv.sys [26/05/2009 10:05 AM 9968]
R1 SASKUTIL; SASKUTIL; C: \ Program Files \ SUPERAntiSpyware \ SASKUTIL.SYS [26/05/2009 10:05 AM 72944]
R2 aswFsBlk; aswFsBlk, c: \ windows \ system32 \ drivers \ aswF sBlk.sys [07/04/2008 10:44 AM 20560]
R2 HamachiService; Hamachi Service; c: \ program files \ Hamachi \ hamachi.exe [17/02/2008 5:01 PM 625952]
R2 psqlWGE; Pervasive psql Workgroup Engine; c: \ program files \ Pervasive Software \ psql \ Bin \ w3dbsmgr.exe [06/06/2008 1:03 PM 435488]
R2 WinDefend; Windows Defender; C: \ Program Files \ Windows Defender \ MsMpEng.exe [03/11/2006 8:19 PM 13592]
R3 SASENUM; SASENUM; C: \ Program Files \ SUPERAntiSpyware \ SASENUM.SYS [26/05/2009 10:05 AM 7408]
S1 KPSYSDRV; KPSYSDRV, c: \ windows \ system32 \ drivers \ Kpsy sdrv.sys [23/06/2008 6:36 PM 17016]
S2 BulkUsb; Genesys Logic USB Controller NT 5.0; c: \ windows \ system32 \ drivers \ usbprn.sys [23/06/2008 6:27 PM 7552]
S2 SSPORT; SSPORT; \? \ C: \ windows \ system32 \ drivers \ SSPO RT.sys -> c: \ windows \ system32 \ drivers \ SSPORT.sys [?]
S3 Moarer; Moarer; [x]

--- Andere Diensten / drivers In Memory ---

* NewlyCreated * - SASDIFSV
* NewlyCreated * - SASENUM
* NewlyCreated * - SASKUTIL
.
Inhoud van de 'Geplande taken' map

2009-06-22 c: \ windows \ Tasks \ MP Scheduled Scan.job
- C: \ Program Files \ Windows Defender \ MpCmdRun.exe [2006-11-04 00:20]

2009-06-22 c: \ windows \ Tasks \ SyncBack Outlook.job
- C: \ program files \ 2BrightSparks \ SyncBack \ SyncBack.exe [2008-11-15 16:19]
.
.
------- Bijkomende Scan -------
.
uStart Page = hxxp: / / www.dhl.ca / CA / wfHomeLoggedIn.aspx
IE: E & xporteren naar Microsoft Excel - c: \ progra ~ 1 \ MICROS ~ 2 \ Office11 \ EXCEL.EXE/3000
IE: Web Capture - c: \ program files \ SmarThru Office \ WebCapture.dll
FF - ProfilePath --
.

************************************************** ************************

CatchMe 0.3.1398 W2K/XP/Vista - rootkit / stealth malware detector, Gmer, http://www.gmer.net
Rootkit scan 2009-06-22 10:31
Windows 5.1.2600 Service Pack 3 NTFS

het scannen van verborgen processen ...

het scannen van verborgen autostart items ...

het scannen van verborgen bestanden ...

scannen is voltooid
verborgen bestanden: 0

************************************************** ************************
.
--------------------- --------------------- LOCKED GRIFFIE SLEUTELS

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Pervasive Software \ psql]
@ Instapweigering:) (Iedereen)
@ = ""
.
Afronding tijd: 2009-06-22 10:32
ComboFix-quarantaine-files.txt 2009-06-22 14:32

Pre-Run: 32245211136 bytes vrij
Post-Run: 32239325184 bytes vrij

WindowsXP-KB310994-SP2-Pro-Bootdisk-NLD.exe
[boot loader]
timeout = 2
standaard = multi (0) disk (0) rdisk (0) partition (1) \ WINDOW S
[operating systems]
c: \ cmdcons \ bootsect.dat = "Microsoft Windows Recovery Console" / cmdcons
multi (0) disk (0) rdisk (0) partition (1) \ WINDOWS = "Micro soft Windows XP Professional" / noexecute = OptIn / fastdetect

164 --- EOF --- 2009-06-18 19:28

[sjb007]

Hallo daar

In het volgende bericht wil ik u een online virusscan, eerste laat verwijderen sommige ongewenste rommel ....

Please download ATF Cleaner door Atribune.
Dit programma is voor XP en Windows 2000

Dubbelklik op ATF-Cleaner.exe het uitvoeren van het programma.
Onder Belangrijkste kiezen: Alles selecteren
Klik op de Lege Geselecteerde knop.

Als je gebruik maakt van Firefox-browser
Klik op Firefox aan de boven-en kies: Alles selecteren
Klik op de Lege Geselecteerde knop.
OPMERKING: Als u wenst te houden je opgeslagen wachtwoorden, klik Nee op de prompt.

Als je gebruik maakt van Opera browser
Klik op Opera aan de boven-en kies: Alles selecteren
Klik op de Lege Geselecteerde knop.
OPMERKING: Als u wenst te houden je opgeslagen wachtwoorden, klik Nee op de prompt.

Klik op Afsluiten op het hoofdmenu af te sluiten van het programma.
Voor Technical SupportDubbelklik op de e-mail adres op de onderkant van elk menu.

Tot stand brengen van een internetverbinding en het uitvoeren van een online scan met Internet Explorer op Kaspersky Online Scanner.

** Vista-gebruikers - rechts klikken IE / Firefox-pictogram en draaien als beheerder

Klik op Accepteren, Wanneer wordt gevraagd om te downloaden en installeren van de bestanden en de database van malware definities.

• Klik op Rennen in de Veiligheidsraad gevraagd.
• Het programma zal dan beginnen met het downloaden en installeren en zal ook het actualiseren van de database.
• Wees geduldig als dit kan enkele minuten duren.
• Zodra de update voltooid is, klikt u op Mijn Computer in het kader van de groen Scan balk naar links om te beginnen met de scan.
• Zodra de scan is voltooid, zal het scherm wanneer uw systeem is geïnfecteerd. Het voorziet niet in een optie tot schoon / ontsmet. Wij hebben slechts een verslag van.
• Doen NIET worden gealarmeerd door wat je ziet in het rapport. Veel van de vondsten zijn te verwachten is in quarantaine.
• Klik op Bekijk de scan rapport aan de onderkant.
• Klik op de Sla verslag... knop.
• Klik op de Opslaan als Tekst knop het bestand op te slaan op uw bureaublad, zodat u kunt na het in je volgende antwoord.

Deze animatie zal u door het proces:


** Opmerking **

Het optimaliseren van het scannen van de tijd en een meer zinvolle verslag voor herziening:
Sluit alle geopende programma's
Schakel de real-time scanner van bestaande antivirus-programma tijdens het uitvoeren van de online scan. U kunt de verbinding met het internet als je eenmaal begint de scan.

Noot voor de Internet Explorer 7 gebruikers: Als u moeite hebt met het bekijken van het accepteren van de licentie-knop, klik op de Zoom tool gelegen aan de onderkant rechts van het IE-venster en de zoom van 75%. Zodra de licentie geaccepteerd, teruggezet naar 100%.

Post terug met de resultaten van Kasperksy, ook update me op hoe de zaken lopen

[sungod000]

http://www.dhl.ca/ca/wfHomeLoggedIn.aspx R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 http://www.eset.eu/buxus/docs/OnlineScanner.cab O16 - DPF: (6414512B-B978-451D-A0D8-FCFDF33E833C) (WUWebControl Class) -- http://www.update.microsoft.com/wind...?1203273577140 O18 - Protocol: skype4com - (FFC8B962-9B40-4DFF-9458-1830C7DD7F5D) - C: \ PROGRA ~ 1 \ COMMON ~ 1 \ Skype \ SKYPE4 ~ 1.dll O20 - Winlogon Notify:! SASWinLogon - C: \ Program Files \ SUPERAntiSpyware \ SASWINLO.dll O23 - Service: Adobe LM Service - Onbekende eigenaar - C: \ Program Files \ Common Files \ Adobe Systems Shared \ Service \ Adobelmsvc.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C: \ Program Files \ Alwil Software \ Avast4 \ aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C: \ Program Files \ Alwil Software \ Avast4 \ ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C: \ Program Files \ Alwil Software \ Avast4 \ ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C: \ Program Files \ Alwil Software \ Avast4 \ ashWebSv.exe O23 - Service: Diskeeper - Diskeeper Corporation - C: \ Program Files \ Diskeeper Corporation \ Diskeeper \ DkService.exe O23 - Service: Hamachi Service ( HamachiService) - LogMeIn Inc - C: \ Program Files \ Hamachi \ hamachi.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc - C: \ Program Files \ Java \ jre6 \ bin \ jqs.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C: \ WINDOWS \ system32 \ nvsvc32.exe O23 - Service: Pervasive psql Workgroup Engine (psqlWGE) - Pervasive Software Inc - C: \ Program Files \ Pervasive Software \ psql \ Bin \ w3dbsmgr.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C: \ WINDOWS \ system32 \ ZoneLabs \ vsmon.exe - End of file - 7090 bytes

[sjb007]

Hi there

We echt nodig om een volledige systeemscan uit op het station om er zeker van zijn dat er niets is overgebleven.

Een ding ben ik opvalt is dat de online scanner opgepikt op een Phishing scam e-mail. Het maakt ons niet vertellen precies welke dat is, maar laat ons zeggen dat het in uw inbox. Phishing proberen te lokken u in om uw gegevens in de locaties, zodat criminelen kunnen vervolgens krijgen de informatie en het gebruiken voor hun eigen voordeel. Voor meer informatie over phishing dit artikel leest hier. De e-mail in kwestie lijkt het afkomstig is van uw eigen bank of andere financiële instelling en zal zelfs de logo's gestolen uit de oorspronkelijke site. Log nooit in een bank site of elke andere site vanaf links van e-mails. Altijd naar de home pagina en log in vanaf hun. Ik zou adviseren dat u uw lege map Verwijderde items naast een andere verdachte e-mails.

Kunt proberen een volledige scan met een andere scanner.

Voer een online scan met Panda ActiveScan

• Klik op Scan uw pc kopen
• Een "pop up"-venster, of een nieuw tabblad te openen.
• Klik op Registreer
• Kies de optie die u net als de meeste, maar we raden de Vrije Registratie.
• Klik op Registreer
• Voer uw e-mailadres en een wachtwoord.
• Selecteer "Ik wil niet op een soort van informatie". (Tenzij u wilt ontvangen deze informatie)
• Klik op Sturen
• Bevestig registratie, en verder door het invoeren van uw gebruikersnaam en wachtwoord, klik dan op Voer
• Selecteer Volledige Scan, klik dan op Scan Now
• Wacht voor de componenten worden geladen en geïnstalleerd. Niet in dit venster sluiten of ga naar een andere pagina, terwijl het downloaden. U kunt gebruik blijven maken van het internet door het openen van een ander venster in uw browser.
• Indien hij vaststelt alle malware kan ontsmetten, de Desinfecteer knop worden ingeschakeld. Klik op Desinfecteer
• Please ignore het aanbod tot koop van het programma. Klik op Exporteren naar
  
• Exporteer de log en sla het op uw bureaublad.
• Please post de inhoud van dit log voor uw antwoord.

* Schakel de real-time scanner van bestaande antivirus-programma tijdens het uitvoeren van de online scan.

Avast gebruikers Opmerking:

Kunt u verder met de online scan bij Panda als u een waarschuwing. Het is een vals positieve uit Avast omdat Panda Antivirus niet versleutelen zijn virus database.

Om een of andere reden de HJT log u afkomstig is onleesbaar, in plaats wil ik u om een ander type van log

Please download DDS en sla het op uw bureaublad.

• Schakel alle script blokkeert bescherming
• Dubbelklik dds.scr om de tool.
• Wanneer gedaan, DDS.txt zal openen.
• Klik op Ja op de volgende vragen naar Optioneel Scan.
• Sla beide rapporten naar uw bureaublad.

Post beide logs terug in je volgende antwoord

Ook de panda scan resultaten en houd me op de hoogte van uw systeem status