Ernstige Adware Probleem

**Psychaospath** · #1 21 januari 2008, 20:16

Ik heb een ernstig probleem. Ive kreeg een soort van adware op mijn computer. Wanneer Im surfen, of gewoon mijn browser opent, zal een popup pop-up om de 2-3 minuten. Ive geprobeerd het gebruik van AVG Anti-Virus, AVG Anti-Spyware, CounterSpy en Bazooka Scanner.

Ze zijn allemaal gevonden ton dingen, ik heb af van ze allemaal, ik opnieuw gescand, alles weg. Behalve voor een paar TrackingCookies, maar dat mag niet bijdragen aan de adware probleem. Dit zijn suppost als de beste programma's.

Eventuele suggesties naar wat ik moet gebruiken of wat ik moet doen?

**evilfantasy** · #2 21 januari 2008, 20:34

Laat het even van dichterbij bekijken.

Download en hernoemen HijackThis (HJT)

Dubbelklik op HJTInstall.
Klik op de Installeer knop.
Het zal automatisch plaats HJT in C: \ Program Files \ TrendMicro \ HijackThis \ HijackThis.exe.
Bij het installeren, HijackThis moet open voor je.
- Sluit HijackThis en de naam van het.
- Ga naar C: \ Program Files \ Trend Micro \HijackThis.exe
- Klik met de rechtermuisknop op HijackThis.exe en selecteer Hernoemen.
- Typ in sniper.exe en druk op Voer.
- Klik met de rechtermuisknop op aan sniper.exe en selecteer Verzenden naar > Desktop (snelkoppeling maken)
Van het bureaublad openen HiajckThis.
Bij gebruik van Windows Vista, moet u ervoor zorgen dat Run as administrator
Klik op de Doe een systeem scannen en opslaan van een log-bestand knop
HijackThis scant en vervolgens een log zal openen in Kladblok.
Kopieer en plak het log in je post.
- Niet hebben HijackThis repareren alles nog. De meeste van wat hij vaststelt zal onschadelijk of zelfs vereist.

Ook al hebben we omgedoopt tot sluipschutter HijackThis, zullen we nog verwijzen naar het als HijackThis of HJT.

**Psychaospath** · #3 21 januari 2008, 20:50

Logbestand van Trend Micro HijackThis v2.0.2
Scan opgeslagen om 10:50:07 PM, op 1.21.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal
Draaiende processen:
C: \ WINDOWS \ System32 \ Smss.exe
C: \ WINDOWS \ system32 \ winlogon.exe
C: \ WINDOWS \ system32 \ Services.exe
C: \ WINDOWS \ system32 \ lsass.exe
C: \ WINDOWS \ system32 \ Ati2evxx.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ WINDOWS \ System32 \ svchost.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ Program Files \ Lavasoft \ Ad-Aware 2007 \ aawservice.exe
C: \ WINDOWS \ system32 \ Ati2evxx.exe
C: \ WINDOWS \ explorer.exe
C: \ WINDOWS \ system32 \ Spoolsv.exe
C: \ WINDOWS \ SOUNDMAN.EXE
C: \ Program Files \ ATI Technologies \ ATI.ACE \ cli.exe
C: \ Program Files \ Java \ jre1.6.0_03 \ bin \ jusched.exe
C: \ Program Files \ iTunes \ iTunesHelper.exe
C: \ Program Files \ SlySoft \ CloneCD \ CloneCDTray.exe
C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgcc.exe
C: \ Program Files \ Grisoft \ AVG Anti-Spyware 7.5 \ avgas.exe
C: \ WINDOWS \ system32 \ Ctfmon.exe
C: \ Program Files \ DAEMON Tools \ daemon.exe
C: \ Program Files \ SUPERAntiSpyware \ SUPERAntiSpyware.exe
C: \ Program Files \ TRENDnet \ TRENDnet TEW-421PC_TEW-423PI \ WlanCU.exe
C: \ Program Files \ Common Files \ Apple \ Mobile Device Support \ bin \ AppleMobileDeviceService.exe
C: \ Program Files \ Grisoft \ AVG Anti-Spyware 7.5 \ guard.exe
C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgamsvr.exe
C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgupsvc.exe
C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgemc.exe
C: \ Program Files \ iPod \ bin \ iPodService.exe
C: \ Program Files \ ATI Technologies \ ATI.ACE \ cli.exe
C: \ Program Files \ ATI Technologies \ ATI.ACE \ cli.exe
C: \ Program Files \ Internet Explorer \ iexplore.exe
C: \ Program Files \ Trend Micro \ HijackThis \ sniper.exe
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://www.yahoo.com/
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Page_URL = http://www.yahoo.com/
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Search_URL = http://us.rd.yahoo.com/customize/ie/.../www.yahoo.com
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Search Bar = http://us.rd.yahoo.com/customize/ie/...ch/search.html
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Search Page = http://us.rd.yahoo.com/customize/ie/.../www.yahoo.com
R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://www.yahoo.com/
R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Search, CustomizeSearch =
R3 - URLSearchHook: Yahoo! Toolbar - (EF99BD32-C1FB-11D2-892F-0090271D4F88) - C: \ PROGRA ~ 1 \ Yahoo! \ Companion \ installs \ CPN \ yt.dll
O2 - BHO: & Yahoo! Toolbar Helper - (02478D38-C3F9-4efb-9B51-7695ECA05670) - C: \ PROGRA ~ 1 \ Yahoo! \ Companion \ installs \ CPN \ yt.dll
O2 - BHO: Yahoo! IE Services Button - (5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897) - C: \ Program Files \ Yahoo! \ Common \ yiesrvc.dll
O2 - BHO: SSVHelper Class - (761497BB-D6F0-462C-B6EB-D4DAF1D92D43) - C: \ Program Files \ Java \ jre1.6.0_03 \ bin \ ssv.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar - (EF99BD32-C1FB-11D2-892F-0090271D4F88) - C: \ PROGRA ~ 1 \ Yahoo! \ Companion \ installs \ CPN \ yt.dll
O4 - HKLM \ .. \ Run: [geluidsman] SOUNDMAN.EXE
O4 - HKLM \ .. \ Run: [ATICCC] "C: \ Program Files \ ATI Technologies \ ATI.ACE \ cli.exe" runtime-Delay
O4 - HKLM \ .. \ Run: [SunJavaUpdateSched] "C: \ Program Files \ Java \ jre1.6.0_03 \ bin \ jusched.exe"
O4 - HKLM \ .. \ Run: [iTunesHelper] "C: \ Program Files \ iTunes \ iTunesHelper.exe"
O4 - HKLM \ .. \ Run: [CloneCDTray] "C: \ Program Files \ SlySoft \ CloneCD \ CloneCDTray.exe" / s
O4 - HKLM \ .. \ Run: [AVG7_CC] C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgcc.exe / STARTUP
O4 - HKLM \ .. \ Run: [! AVG Anti-Spyware] "C: \ Program Files \ Grisoft \ AVG Anti-Spyware 7.5 \ avgas.exe" / geminimaliseerd
O4 - HKLM \ .. \ Run: [LXCFCATS] rundll32 C: \ WINDOWS \ System32 \ spool \ drivers \ w32x86 \ 3 \ LXCFtim e.dll, _RunDLLEntry @ 16
O4 - HKCU \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe
O4 - HKCU \ .. \ Run: [DAEMON Tools] "C: \ Program Files \ DAEMON Tools \ daemon.exe"-lang 1033
O4 - HKCU \ .. \ Run: [Yahoo! Pager] "C: \ Program Files \ Yahoo! \ Messenger \ YahooMessenger.exe" stille
O4 - HKCU \ .. \ Run: [SUPERAntiSpyware] C: \ Program Files \ SUPERAntiSpyware \ SUPERAntiSpyware.exe
O4 - HKUS \ S-1-5-19 \ .. \ Run: [AVG7_Run] C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgw.exe / RunOnce (User 'LOCAL SERVICE')
O4 - HKUS \ S-1-5-20 \ .. \ Run: [AVG7_Run] C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgw.exe / RunOnce (User 'NETWORK SERVICE')
O4 - HKUS \ S-1-5-18 \ .. \ Run: [AVG7_Run] C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgw.exe / RunOnce (User 'SYSTEM')
O4 - HKUS \. DEFAULT \ .. \ Run: [AVG7_Run] C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgw.exe / RunOnce (User 'Default user')
O4 - Global Startup: Wireless Configuration Utility HW.15.lnk = C: \ Program Files \ TRENDnet \ TRENDnet TEW-421PC_TEW-423PI \ WlanCU.exe
O9 - Extra button: Yahoo! Services - (5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897) - C: \ Program Files \ Yahoo! \ Common \ yiesrvc.dll
O9 - Extra button: ShopperReports - Vergelijk prijzen - (C5428486-50a0-4a02-9D20-520B59A9F9B2) - C: \ Program Files \ ShoppingReport \ Bin \ 2.0.26 \ ShoppingReport.dll (bestand ontbreekt)
O9 - Extra button: ShopperReports - Vergelijk reizen tarieven - (C5428486-50a0-4a02-9D20-520B59A9F9B3) - C: \ Program Files \ ShoppingReport \ Bin \ 2.0.26 \ ShoppingReport.dll (bestand ontbreekt)
O9 - Extra button: Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O9 - Extra 'Tools' MENUITEM: Windows Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O16 - DPF: (05D44720-58E3-49E6-BDF6-D00330E511D3) (StagingUI Object) -- http://zone.msn.com/binFrameWork/v10...I.cab55579.cab
O16 - DPF: (30528230-99f7-4bb4-88d8-fa1d4f56a2ab) (Installation Support) - C: \ Program Files \ Yahoo! \ Common \ Yinsthelper.dll
O16 - DPF: (39B0684F-D7BF-4743-B050-FDC3F48F7E3B) -- http://www.fileplanet.com/fpdlmgr/ca..._2.3.6.108.cab
O16 - DPF: (3BB54395-5982-4788-8AF4-B5388FFDD0D8) (MSN Games - Buddy Invite) -- http://zone.msn.com/BinFrameWork/v10...y.cab55579.cab
O16 - DPF: (48DD0448-9209-4F81-9F6D-D83562940134) (MySpace Uploader Control) -- http://lads.myspace.com/upload/MySpaceUploader1005.cab
O16 - DPF: (5736C456-EA94-4AAC-BB08-917ABDD035B3) (ZonePAChat Object) -- http://zone.msn.com/binframework/v10...t.cab55579.cab
O16 - DPF: (67A5F8DC-1A4B-4D66-9F24-A704AD929EEE) (System Requirements Lab) -- http://www.systemrequirementslab.com/sysreqlab2.cab
O16 - DPF: (9BDF4724-10AA-43D5-BD15-AEA0D2287303) (MSN Games - Texas Holdem Poker) -- http://zone.msn.com/bingame/zpagames...e.cab60231.cab
O16 - DPF: (B8BE5E93-A60C-4D26-A2DC-220313175592) (MSN Games - Installer) -- http://cdn2.zone.msn.com/binFramewor...o.cab56649.cab
O16 - DPF: (DA2AA6CF-5C7A-4B71-BC3B-C771BB369937) (MSN Games - Game Communicator) -- http://zone.msn.com/binframework/v10...y.cab55579.cab
O20 - Winlogon Notify:! SASWinLogon - C: \ Program Files \ SUPERAntiSpyware \ SASWINLO.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C: \ Program Files \ Lavasoft \ Ad-Aware 2007 \ aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc - C: \ Program Files \ Common Files \ Apple \ Mobile Device Support \ bin \ AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc - C: \ WINDOWS \ system32 \ Ati2evxx.exe
O23 - Service: ATI Smart - Onbekende eigenaar - C: \ WINDOWS \ system32 \ ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - Grisoft sro - C: \ Program Files \ Grisoft \ AVG Anti-Spyware 7.5 \ guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - Grisoft, sro - C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - Grisoft, sro - C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - Grisoft, sro - C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgemc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C: \ Program Files \ Common Files \ InstallShield \ Driver \ 1150 \ Intel 32 \ IDriverT.exe
O23 - Service: iPod Service - Apple Inc - C: \ Program Files \ iPod \ bin \ iPodService.exe
O23 - Service: lxcf_device - - C: \ WINDOWS \ system32 \ lxcfcoms.exe
--
End of file - 7993 bytes

**evilfantasy** · #4 21 januari 2008, 20:59

Dat blijkt niet veel, we zullen moeten doen wat meer grondige scans.

Een paar lege items op te lossen met HJT echt snel.

Open HijackThis en selecteer Doe een systeemscan alleen.

Plaats een vinkje naast de volgende vermeldingen:

O9 - Extra button: ShopperReports - Vergelijk prijzen - (C5428486-50a0-4a02-9D20-520B59A9F9B2) - C: \ Program Files \ ShoppingReport \ Bin \ 2.0.26 \ ShoppingReport.dll (bestand ontbreekt)
O9 - Extra button: ShopperReports - Vergelijk reizen tarieven - (C5428486-50a0-4a02-9D20-520B59A9F9B3) - C: \ Program Files \ ShoppingReport \ Bin \ 2.0.26 \ ShoppingReport.dll (bestand ontbreekt)

Sluit alle vensters behalve HijackThis en klik op Fix gecontroleerd.

Afsluiten HijackThis.

---------

Downloaden CCleaner

Er wordt voorgesteld om de CCleaner - Slim -- Nr. Toolbar dat is de versie zonder de Yahoo! Toolbar.

Dubbelklik op het bestand ccsetup.exe om te beginnen met de installatie van het programma.
Selecteer uw taal en klik op OK, Dan volgende.
Lees de licentieovereenkomst en klik op I Agree.
Klik op volgende gebruik te maken van de standaard installatie locatie.
Onder Installeer Opties, kies alle standaardinstellingen
Klik op Installeer dan afwerking om de installatie te voltooien.
Dubbelklik op het CCleaner snelkoppeling op het bureaublad om het programma te starten.
Op de "Windows" tabblad onder "Internet Explorer", vink "Cookies" als je niet wil dat ze verwijderd. (Als geschrapt, zal u waarschijnlijk nodig om opnieuw uw wachtwoorden op alle locaties waar een cookie wordt gebruikt om u te herkennen wanneer u bezoek).
Als je gebruik maakt van de Firefox of Mozilla browsers, vink het vakje aan voor "cookies" op het tabblad Toepassingen, onder Firefox / Mozilla.
Klik op de "Opties" pictogram aan de linkerkant van het venster, klik vervolgens op 'Geavanceerd'.
deselecteren "Alleen verwijderen van bestanden in Windows Temp mappen die ouder zijn dan 48 uur."
Klik op de "schonere" pictogram aan de linkerkant van het venster, klik op Run Cleaner het uitvoeren van het programma.
Let op: Gebruik alleen de "register"-functie als u zeer vertrouwd met het register als het is bekend om legitieme items.
Altijd back-up van uw register voordat maken van eventuele wijzigingen.
Na CCleaner heeft zijn proces, klikt u op Afsluiten.

----------

Downloaden SUPERAntispyware Free Edition (SAS)

Dubbelklik op het pictogram op uw bureaublad naar het installatieprogramma.
Gevraagd naar Update het programma definities, klik Ja
Vervolgens klikt u op de Voorkeuren knop.
Klik op de Scanning Control tabblad.
Onder Scanner Opties Zorg ervoor dat alleen de volgende worden gecontroleerd:
- Sluiten browsers voor het scannen
- Scan voor het bijhouden van cookies
- Terminate geheugen bedreigingen voordat quarantainemaatregelen
- Laat de anderen uitgeschakeld.
- Klik op de knop Sluiten om de control center scherm.
Klik op de Sluiten knop om de control center scherm.
Op het hoofdscherm klikt u op Scan uw computer
Aan de linkerkant controleren C: \ Vaste Drive
Aan de rechterkant kiezen Perform Complete Scan
Klik op Volgende om te beginnen met de scan. Even geduld terwijl hij scant uw computer.
Na de scan is een samenvatting weergegeven. Klik op OK
Zorg ervoor dat alles in het witte vak heeft een vinkje naast deze, en klik vervolgens op Volgende
Het zal quarantaine wat zij vinden en als hij vraagt of je opnieuw wilt opstarten, klikt u op Ja
Om de verwijdering informatie kunt u het volgende doen:
- Na de herstart, dubbelklik op de SUPERAntiSpyware pictogram op uw bureaublad.
- Klik op Voorkeuren. Klik op de Statistieken / Logs tabblad.
- Onder Scanner Logs, dubbel-klik SUPERAntiSpyware Scan Logboek.
- Het wordt geopend in uw standaard teksteditor (zoals Kladblok / Wordpad).
- Sla het Kladblok-bestand op uw bureaublad op door te klikken (in notepad) Bestand > Opslaan als...
Sla de log ergens kunt u gemakkelijk vinden. (doorgaans de desktop)
Klik op Sluiten en sluit het opnieuw aan het programma te verlaten.
Kopieer en plak het log in je post.

----------

Volgende bericht aub
SuperantiSpyware log

**Psychaospath** · #5 21 januari 2008, 22:20

ok ik eindelijk heb het gedaan, maar .... pop-ups nog steeds hier, Anyways heres de log:

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Gegenereerd 01.22.2008 op 00:10 AM

Toepassing Versie: 3-9-1008

Core Rules Database Version: 3385
Trace Rules Database Version: 1379

Scan type: Volledige Scan
Totaal Scan tijd: 00:48:33

Geheugen objecten gescand: 556
Geheugen bedreigingen gedetecteerd: 0
Register-items gescand: 4213
Griffie bedreigingen gedetecteerd: 0
Bestand objecten gescand: 39567
Bestand bedreigingen gedetecteerd: 8

Adware.Tracking Cookie
C: \ Documents and Settings \ Richard \ Cookies \ richard@login.revenueloop [2]. Txt
C: \ Documents and Settings \ Richard \ Cookies \ richard@publishers.clickb ooth [2]. Txt
C: \ Documents and Settings \ Richard \ Cookies \ richard @ dubbelklik [1]. Txt
C: \ Documents and Settings \ Richard \ Cookies \ richard@ads.pointroll [1]. Txt
C: \ Documents and Settings \ Richard \ Cookies \ richard @ bluestreak [1]. Txt
C: \ Documents and Settings \ Richard \ Cookies \ richard @ tribalfusion [2]. Txt
C: \ Documents and Settings \ Richard \ Cookies \ richard @ atdmt [2]. Txt

RootKit.TnCore / Trace
C: \ WINDOWS \ system32 \ drivers \ core.cache.dsk

**evilfantasy** · #6 21 januari 2008, 22:23

Deze scan duurt ongeveer 5 tot 10 minuten.

Please download Combofix door subs uit een van de onderstaande links.
(Probeer alle drie indien nodig)

BELANGRIJK - Combofix.exe MOET worden opgeslagen op uw uw Desktop.

Sluit alle open web browsers. (Firefox, Internet Explorer, enz.)
Sluit / uitschakelen alle anti-virus en anti-malware programma's zodat ze niet interfereren met Combofix. <- BELANGRIJK
- Klik op deze link om een lijst van programma's die moeten worden uitgeschakeld. Als de jouwe niet is genoemd en u weet niet hoe uit te schakelen, gaat u vragen.
Dubbelklik op combofix.exe en volg de instructies.
- Van het toetsenbord selecteren 1 en druk op Voer
Wanneer u klaar bent, zal een log voor je.
Post dat log in je volgende antwoord.

Niet muisklik combofix het venster terwijl het draait.
De scan zal tijdelijk uitschakelen van uw bureaublad.
Als onderbroken kan uw computer bevroren.
Als dit gebeurt, moet u opnieuw opstarten om het bureaublad.

Volgende bericht
Combofix log

**Psychaospath** · #7 21 jan 2008, 22:48

ok gelukt. maar ive nog popups :-( Heres het logboek:

ComboFix 08-01-21.3 - Richard 2008-01-22 0:30:28.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1033.18.628 [GMT -5:00]
Running from: C: \ Documents and Settings \ Richard \ Desktop \ ComboFix.exe
* Gemaakt van een nieuw herstelpunt
WARNING-THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE GEÏNSTALLEERD!
.
((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))) ))))))))))))))))))))))))))))))))))))))))
.
C: \ temp \ tn3
C: \ WINDOWS \ system32 \ drivers \ core.cache.dsk. . . . niet te verwijderen
.
((((((((((((((((((((((((( Bestanden Gemaakt van 2007-12-22 tot 2008-01-22 ))))))))))) ))))))))))))))))))))
.
2008-01-22 00:36. 2008-01-22 00:36 167,545 --------- C: \ WINDOWS \ system32 \ drivers \ core.cache.dsk
2008-01-22 00:34. 2008-01-22 00:34 <DIR> d -------- C: \ Temp \ tn3
2008-01-22 00:29. 2000-08-31 08:00 51.200 - a ------ C: \ WINDOWS \ Nircmd.exe
2008-01-21 23:10. 2008-01-21 23:10 <DIR> d -------- C: \ Program Files \ CCleaner
2008-01-21 22:47. 2008-01-21 22:47 <DIR> d -------- C: \ Program Files \ Trend Micro
2008-01-21 22:21. 2008-01-22 00:16 <DIR> d -------- C: \ Program Files \ SUPERAntiSpyware
2008-01-21 02:10. 2008-01-21 02:10 <DIR> d -------- C: \ Program Files \ Lavasoft
2008-01-21 02:09. 2008-01-21 22:20 <DIR> d -------- C: \ Program Files \ Common Files \ Wise Installation Wizard
2008-01-20 22:04. 2008-01-20 22:04 <DIR> d -------- C: \ Program Files \ Bazooka Scanner
2008-01-20 17:41. 2007-05-30 07:10 10.872 - a ------ C: \ WINDOWS \ system32 \ drivers \ AvgAsCln.sys
2008-01-20 16:39. 2008-01-20 16:39 86,144 - a ------ C: \ WINDOWS \ system32 \ drivers \ ALCXWDMM.sys
2008-01-12 16:25. 2008-01-12 16:25 <DIR> d -------- C: \ Program Files \ Electronic Arts
2008-01-12 15:11. 2005-06-24 16:24 438,272-ra ------ C: \ WINDOWS \ system32 \ vp6vfw.dll
2008-01-12 15:11. 2004-12-10 09:06 327,680 - a ------ C: \ WINDOWS \ system32 \ vp6dec.ax
2008-01-12 15:06. 2008-01-12 15:20 <DIR> d - h ----- C: \ WINDOWS \ msdownld.tmp
2008-01-10 19:21. 2008-01-10 19:21 <DIR> d -------- C: \ Program Files \ uTorrent
2008-01-10 19:01. 2008-01-10 19:21 <DIR> d -------- C: \ Program Files \ megamaps
2008-01-08 22:43. 2008-01-10 19:30 <DIR> d -------- C: \ Program Files \ Guitar Pro 5
2008-01-06 05:19. 2008-01-06 05:19 <DIR> d -------- C: \ Program Files \ Power Tab Software
2008-01-03 22:31. 2008-01-03 22:31 <DIR> d -------- C: \ AeriaGames
2008-01-03 21:30. 2008-01-12 21:55 <DIR> d -------- C: \ UnrealTournament
2007-12-25 14:25. 2007-12-28 16:53 90 - a ------ C: \ WINDOWS \ RCAMPEG4VC.ini
2007-12-25 14:18. 2006-09-13 14:52 561,152 - a ------ C: \ WINDOWS \ system32 \ xvidcore.dll
2007-12-25 14:18. 2006-09-13 15:01 237,568 - a ------ C: \ WINDOWS \ system32 \ xvidvfw.dll
2007-12-25 14:18. 2005-12-30 15:34 2864 - a ------ C: \ WINDOWS \ system32 \ xvid.inf
2007-12-25 14:17. 2007-12-25 14:17 <DIR> d -------- C: \ Program Files \ RCA
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))) ))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-20 20:59 --------- d - h - w C: \ Program Files \ InstallShield Installation Information
2008-01-17 00:48 --------- d ----- w C: \ Program Files \ Yahoo!
2008-01-16 01:15 --------- d ----- w C: \ Program Files \ Lx_cats
2008-01-11 00:21 --------- d ----- w C: \ Program Files \ Xfire
2008-01-11 00:21 --------- d ----- w C: \ Program Files \ LimeWire
2007-12-22 10:47 --------- d ----- w C: \ Program Files \ DriftCity
2007-12-20 07:35 --------- d ----- w C: \ Program Files \ Sierra On-Line
2007-12-18 08:02 --------- d ----- w C: \ Program Files \ NHN USA
2007-12-17 21:17 --------- d ----- w C: \ Program Files \ Bethesda Softworks
2007-12-05 04:14 --------- d ----- w C: \ Program Files \ SlySoft
2007-12-03 03:06 --------- d ----- w C: \ Program Files \ TGTSoft
2007-11-25 18:18 --------- d ----- w C: \ Program Files \ Common Files \ Sonic Shared
2007-11-22 05:03 --------- d ----- w C: \ Program Files \ Cliprex DVD Player Professional
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))) ))))))))))))))))))))))))))))))))))))))))
.
.
* Note * empty entries & legit default entries worden niet weergegeven
REGEDIT4
[HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ Curre ntVersion \ Run]
"Ctfmon.exe" = "C: \ WINDOWS \ system32 \ Ctfmon.exe" [2004-08-04 07:00 15360]
"DAEMON Tools" = "C: \ Program Files \ DAEMON Tools \ daemon.exe" [2007-08-29 10:09 171464]
"Yahoo! Pager" = "C: \ Program Files \ Yahoo! \ Messenger \ YahooMessenger.exe" [2007-08-30 17:43 4670704]
"SUPERAntiSpyware" = "C: \ Program Files \ SUPERAntiSpyware \ SUPERAntiSpyware.exe" [2007-06-21 14:06 1318912]
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Curr entVersion \ Run]
"Geluidsman" = "SOUNDMAN.EXE" [2006-11-16 16:42 577536 C: \ WINDOWS \ SOUNDMAN.EXE]
"ATICCC" = "C: \ Program Files \ ATI Technologies \ ATI.ACE \ cli.exe" [2005-08-12 13:43 45056]
"SunJavaUpdateSched" = "C: \ Program Files \ Java \ jre1.6.0_03 \ bin \ jusched.exe" [2007-09-25 01:11 132496]
"iTunesHelper" = "C: \ Program Files \ iTunes \ iTunesHelper.exe" [2007-09-26 13:42 267064]
"CloneCDTray" = "C: \ Program Files \ SlySoft \ CloneCD \ CloneCDTray.exe" [2006-09-28 14:21 57344]
"AVG7_CC" = "C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgcc.exe" [2008-01-20 17:18 579072]
"! AVG Anti-Spyware" = "C: \ Program Files \ Grisoft \ AVG Anti-Spyware 7.5 \ avgas.exe" [2007-06-11 04:25 6731312]
"LXCFCATS" = "C: \ WINDOWS \ System32 \ spool \ drivers \ W32X 86 \ 3 \ LXCFtime.dll" [2005-07-20 12:47 73728]
[HKEY_USERS \. DEFAULT \ Software \ Microsoft \ Windows \ Cur rentVersion \ Run]
"AVG7_Run" = "C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgw.exe" [2008-01-20 17:18 219136]
C: \ Documents and Settings \ All Users \ Start Menu \ Programs \ Startup \
Wireless Configuration Utility HW.15.lnk - C: \ Program Files \ TRENDnet \ TRENDnet TEW-421PC_TEW-423PI \ WlanCU.exe [2007-01-30 13:57:42 577536]
[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ curre ntversion \ policies \ system]
"DisableRegistryTools" = 0 (0x0)
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ valuta entversion \ Explorer \ shellexecutehooks]
"(5AE067D3-9AFB-48E0-853A-EBB7F4A000DA)" = C: \ Program Files \ SUPERAntiSpyware \ SASSEH.DLL [2006-12-20 13:55 77824]
[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon]
"UIHost" = "LogonUI.EXE"
[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Notify \! SASWinLogon]
C: \ Program Files \ SUPERAntiSpyware \ SASWINLO.dll 2007-04-19 13:41 294912 C: \ Program Files \ SUPERAntiSpyware \ SASWINLO.dll
[HKLM \ ~ \ startupfolder \ C: ^ Documents and Settings ^ All Users ^ Menu Start ^ Programma's ^ Opstarten ^ Sonic CinePlayer Quick Launch.lnk]
path = C: \ Documents and Settings \ All Users \ Start Menu \ Programs \ Startup \ Sonic CinePlayer Quick Launch.lnk
backup = C: \ WINDOWS \ PSS \ Sonic CinePlayer Quick Launch.lnkCommon Opstarten
[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Shared Tools \ msconfig \ startupreg \ igndlm.exe]
C: \ Program Files \ Download Manager \ DLM.exe
[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Shared Tools \ msconfig \ startupreg \ msmsgs]
--------- 2004-10-13 11:24 1694208 C: \ Program Files \ Messenger \ msmsgs.exe
[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Shared Tools \ msconfig \ startupreg \ QuickTime Task]
- a ------ 2007-06-29 05:24 286720 C: \ Program Files \ QuickTime \ qttask.exe
[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Shared Tools \ msconfig \ startupreg \ SBCSTray]
C: \ Program Files \ Sunbelt Software \ CounterSpy \ SBCSTray.exe
R0 videX32; videX32, C: \ WINDOWS \ system32 \ drivers \ videX3 2.sys [2006-10-17 07:22]
R0 xfilt; VIA SATA IDE Hot-plug Driver; C: \ WINDOWS \ system32 \ drivers \ xfilt.sys [2006-10-18 04:39]
R1 ALCXWDMM; ALCXWDMM, C: \ WINDOWS \ system32 \ drivers \ ALCX WDMM.sys [2008-01-20 16:39]
R1 Cinemsup; Cinemsup, C: \ WINDOWS \ system32 \ drivers \ CinE msup.sys [2002-07-19 09:10]
R3 odysseyIM3; Odyssey Network Services Miniport, C: \ WINDOWS \ system32 \ drivers \ odysseyIM3.sy s [2007-08-17 20:35]
S3 rtl8180; Realtek RTL8180 Wireless LAN (Mini-) PCI NIC NT Driver; C: \ WINDOWS \ system32 \ drivers \ RTL8180.SYS [2003-12-30 12:20]
S3 SetupNTGLM7X; SetupNTGLM7X, D: \ NTGLM7X.sys []
[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ curre ntversion \ explorer \ mountpoints2 \ (5ed3c7c1-4bdf-11dc-8daa-806d6172696f)]
\ Shell \ AutoRun \ command - D: \ Autorun.exe

[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Active Setup \ geïnstalleerde componenten \ (2352721C-2267-DB51-0008-030706070804)]
C: \ WINDOWS \ system32 \ vsc32.exe
.
************************************************** ************************
CatchMe 0.3.1344 W2K/XP/Vista - rootkit / stealth malware detector, Gmer, http://www.gmer.net
Rootkit scan 2008-01-22 00:37:48
Windows 5.1.2600 Service Pack 2 NTFS
het scannen van verborgen processen ...
het scannen van verborgen autostart items ...
het scannen van verborgen bestanden ...
scannen is voltooid
verborgen bestanden: 0
************************************************** ************************
.
Voltooiingstijdstip: 2008-01-22 0:42:14 - machine werd herstart
ComboFix-quarantaine-files.txt 2008-01-22 05:42:10
.
2008-01-11 00:38:07 --- EOF ---

**evilfantasy** · #8 21 januari 2008, 22:57

Nu downloaden De Avenger Door Swandog46En sla het op uw bureaublad.

Avenger.exe uittreksel uit het zip-bestand en sla het op uw bureaublad
Uitvoeren avenger.exe door er op te dubbelklikken.
Controleer de Input script handmatig vak.
Klik op het vergrootglas die opent een nieuw venstertje View / edit script
Kopieer alles in het Codee vak hieronder en plak deze in het vak dat wordt geopend:

Code:

Mappen te verwijderen: C: \ Temp \ tn3 Bestanden verwijderen: C: \ WINDOWS \ system32 \ drivers \ core.cache.dsk registersleutels te verwijderen: HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Active Setup \ geïnstalleerde componenten \ (2352721C-2267 - DB51-0008-030706070804)

Opmerking: de bovenstaande citaat is gemaakt speciaal voor deze gebruiker. Als u geen gebruiker, niet voldoen aan deze richtlijnen, omdat zij schade zouden kunnen toebrengen aan de werking van uw systeem

Klik nu op de 'Gedaan'Knop.
Klik op de Green Light en OK de prompt.
U wordt gevraagd opnieuw op te starten, klikt u op OK op de prompt en je pc moet herstarten, zo niet, herstart het zelf.
Een logboekbestand van Avenger zal worden geproduceerd op C: \ avenger.txt

De Avenger zal automatisch het volgende doen:

Het zal Herstart uw computer. (In de gevallen waarin de code uit te voeren bevat "Drivers te lossen"The Avenger zal daadwerkelijk uw systeem opnieuw opstarten tweemaal.)
Op herstart, zal het kort opent een zwart command window op uw bureaublad, dit is normaal.
Na de herstart, het maakt een logbestand dat moet openen met de resultaten van de Avenger de acties.

Dit logbestand zal worden gevestigd op C: \ avenger.txt

De Avenger zal ook back-up van alle bestanden, enz., die u gevraagd het te verwijderen, En zal zijn gecomprimeerd en verplaatst het zip-archieven naar C: \ avenger \ backup.zip.

Alsjeblieft hechten de C: \ avenger.txt in je volgende post.

----------

Volgende bericht
Avenger log

**Psychaospath** · #9 21 januari 2008, 23:09

ok hier u gaan, nog steeds pop-ups btw.

Logbestand van The Avenger version 1, door Swandog46
Die loopt van registersleutel:
\ Registry \ Machine \ System \ CurrentControlSet \ Service s \ hptxmheu
*******************
Scriptbestand vinden op: wqwsrviw
Kan niet openen scriptbestand! Fout
Kan niet openen scriptbestand! Status: 0xc000003b Afbreken!

**Psychaospath** · #10 De 21 januari 2008, 23:16

oops mijn slechte i redid IT, cuz het logboek didnt look rechts, en blijkbaar i didnt iets rechts de eerste keer, heres de nieuwe log. Oh, en er zijn nog steeds pop-ups.

Logbestand van The Avenger version 1, door Swandog46
Die loopt van registersleutel:
\ Registry \ Machine \ System \ CurrentControlSet \ Service s \ mkawvjax
*******************
Scriptbestand gevestigd op: \? \ C: \ WINDOWS \ system32 \ ygueewld.txt
Scriptbestand geopend succes.
Scriptbestand lezen succes
Backups directory geopend succes in C: \ Avenger
*******************
Het begin tot het proces scriptbestand:
Map C: \ Temp \ tn3 succesvol verwijderd.
Bestand C: \ WINDOWS \ system32 \ drivers \ core.cache.dsk succesvol verwijderd.
Registersleutel HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Active Setup \ geïnstalleerde componenten \ (2352721C-2267-DB51-0008-030706070804) verwijderd.
Afgesloten script verwerking.
*******************
Klaar! Beëindigen.