Mededeling

Collapse
No announcement yet.

antivirusscherm.com

Collapse
X
  •  
  • Filter
  • Tijd
  • Show
Clear All
new posts

  • antivirusscherm.com

    Hoi,

    Ik heb sinds gisteravond last van een vervelende pop-up die verwijst naar antivirusscherm.com. Hij verschijnt te pas en te onpas. Verder springt mijn browser (IE7) regelmatig als ik op een link in google klik niet naar de gewenste pagina maar naar een willekeurige commerciele zoekresultaten pagina (telkens een andere). Ik heb Spybot S&D, Ad-aware, A-squared, AVG en de sophos antirootkit gedraaid, vooralsnog zonder resultaat. Wel merkte ik vanochtend dat het klikken op de search button in google geen enkel effect meer heeft. Er gebeurd helemaal niets.

    Ik hoop dat iemand me kan helpen.

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 13:21:38, on 11-1-2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16574)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\a-squared Free\a2service.exe
    C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
    C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
    C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
    C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
    C:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exe
    C:\Program Files\Common Files\LightScribe\LSSrvc.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\wscntfy.exe
    C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
    C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
    C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe
    C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe
    C:\Program Files\TomTom HOME 2\HOMERunner.exe
    C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\DesktopEarth\DesktopEarth.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O2 - BHO: (no name) - {A1E49E10-B5D6-4077-AEEC-F6F83D963C86} - C:\WINDOWS\system32\dmusicg.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
    O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
    O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe
    O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe"
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\HOMERunner.exe" -s
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Lokale service')
    O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Lokale service')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Netwerkservice')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Startup: DesktopEarth AutoStart.lnk = ?
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1193249793765
    O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl-esd.sun.com/update/1.6.0/jinstall-6u3-windows-i586-jc.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
    O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
    O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
    O23 - Service: Capture Device Service - InterVideo Inc. - C:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
    O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

    --
    End of file - 6775 bytes

  • #2
    extra info

    Ik heb ook Panda totalscan nog even gedraaid, die vond een of andere RAXVO file in mijn temporary internet files. Die heb ik gedelete.

    Als ik nu op een link in google klik wordt ik naar
    http://89.149.227.101/click.php?c=b94c53870c47a17ad06f4004&r=1
    gestuurd. Er gebeurd echter niets, de html-pagina is leeg.

    Comment


    • #3
      Oorspronkelijk geplaatst door joost485 Bekijk Berichten
      Ik heb ook Panda totalscan nog even gedraaid, die vond een of andere RAXVO file in mijn temporary internet files. Die heb ik gedelete.
      Dan heb je het blijkbaar flink zitten

      Download Combofix (mirror) naar je Bureaublad.
      Dubbelklik op Combofix.exe
      Kies voor "Continue" door 1 te typen gevolgd door ENTER.
      Tijdens het runnen van de fix, NIET in het venster klikken, want dit zal je pc doen vasthangen.
      Wanneer de fix voltooid is en na herstart, zal de log combofix.txt openen.
      Plaats deze log in je volgende post.

      NOTA: Indien je virusscanner reageert met een melding van een scriptuitvoering, mag je dit negeren.

      Comment


      • #4
        Bedankt voor je reaktie, ik was inderdaad een beetje aan het eind van mijn latijn.

        Ik heb combofix gedraaid. Hier is de log.

        ComboFix 08-01-11.1 - Geert 2008-01-11 21:40:03.1 - NTFSx86
        Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1043.18.257 [GMT 1:00]
        Gestart vanuit: C:\Documents and Settings\Geert\Bureaublad\ComboFix.exe
        * Nieuw herstelpunt werd aangemaakt
        .

        (((((((((((((((((((( Bestanden Gemaakt van 2007-12-11 to 2008-01-11 ))))))))))))))))))))))))))))))
        .

        2008-01-11 21:39 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
        2008-01-11 20:01 . 2008-01-11 20:01 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
        2008-01-11 20:01 . 2008-01-11 20:01 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
        2008-01-11 18:52 . 2008-01-11 18:55 <DIR> d-------- C:\Program Files\Panda Security
        2008-01-11 10:34 . 2008-01-11 12:48 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
        2008-01-11 09:56 . 2008-01-11 10:05 <DIR> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
        2008-01-10 23:48 . 2008-01-10 23:48 <DIR> d-------- C:\Program Files\Trend Micro
        2008-01-10 23:40 . 2008-01-10 23:40 <DIR> d-------- C:\Program Files\Sophos
        2008-01-09 20:48 . 19,584 C:\WINDOWS\system32\drivers\ivdvymgf.dat
        2008-01-09 20:46 . 2004-08-04 00:03 83,968 --a------ C:\WINDOWS\system32\dmusicg.dll
        2008-01-09 11:27 . 2008-01-09 11:27 <DIR> d-------- C:\Program Files\Nvu
        2008-01-09 11:27 . 2008-01-09 11:27 <DIR> d-------- C:\Documents and Settings\Geert\Application Data\Nvu
        2008-01-04 10:54 . 2008-01-04 10:54 1,409 --a------ C:\WINDOWS\QTFont.for
        2008-01-04 10:53 . 2008-01-09 20:46 54,156 --ah----- C:\WINDOWS\QTFont.qfn
        2007-12-25 11:22 . 2008-01-11 21:52 <DIR> d-------- C:\Program Files\DesktopEarth

        .
        ((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))
        .
        2008-01-10 20:32 --------- d-----w C:\Documents and Settings\Geert\Application Data\AVG7
        2008-01-09 19:49 --------- d-----w C:\Program Files\a-squared Free
        2008-01-05 10:21 --------- d-----w C:\Documents and Settings\Geert\Application Data\OpenOffice.org2
        2007-12-28 08:48 --------- d-----w C:\Documents and Settings\Kirsten\Application Data\OpenOffice.org2
        2007-12-23 15:20 --------- d-----w C:\Documents and Settings\Kirsten\Application Data\AVG7
        2007-12-18 22:35 --------- d-----w C:\Program Files\Java
        2007-11-25 17:38 --------- d-----w C:\Documents and Settings\All Users\Application Data\SlySoft
        2007-11-25 17:36 --------- d-----w C:\Program Files\SlySoft
        2007-11-20 23:59 97,216 ----a-w C:\WINDOWS\system32\drivers\AnyDVD.sys
        2007-11-15 18:36 --------- d-----w C:\Program Files\Microsoft Bootvis
        2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
        2007-11-08 18:08 60,416 ----a-w C:\WINDOWS\ALCFDRTM.EXE
        .

        ((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))
        .
        .
        REGEDIT4
        *Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond

        [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A1E49E10-B5D6-4077-AEEC-F6F83D963C86}]
        2004-08-04 00:03 83968 --a------ C:\WINDOWS\system32\dmusicg.dll

        [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
        "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:03 15360]

        [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
        "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51 39792]
        "SoundMan"="SOUNDMAN.EXE" [2005-11-11 13:07 90112 C:\WINDOWS\soundman.exe]
        "AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2007-12-25 09:28 579072]
        "TrueImageMonitor.exe"="C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe" [2007-02-16 17:45 1169776]
        "AcronisTimounterMonitor"="C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe" [2007-02-16 17:57 1945960]
        "Acronis Scheduler2 Service"="C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe" [2007-02-16 17:49 149024]
        "NeroFilterCheck"="C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe" [2006-01-12 15:40 155648]
        "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-06-29 05:24 286720]
        "TomTomHOME.exe"="C:\Program Files\TomTom HOME 2\HOMERunner.exe" [2007-10-31 10:19 378784]
        "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]

        [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
        "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:03 15360]
        "AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2007-10-24 07:53 219136]

        C:\Documents and Settings\Kirsten\Menu Start\Programma's\Opstarten\
        OpenOffice.org 2.2.lnk - C:\Program Files\OpenOffice.org 2.2\program\quickstart.exe [2007-02-02 16:54:56]

        C:\Documents and Settings\Geert\Menu Start\Programma's\Opstarten\
        DesktopEarth AutoStart.lnk - C:\Documents and Settings\Geert\Application Data\Microsoft\Installer\{DBA5E973-660D-4CBE-A469-F5C37FBF0CE4}\_C1A9BF9D98647632ED5172.exe [2007-12-25 11:22:50]

        [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
        "NoRecentDocsNetHood"= 01000000

        [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
        Authentication Packages REG_MULTI_SZ msv1_0 relog_ap

        R0 bcifvlli;bcifvlli;C:\WINDOWS\system32\drivers\ivdvymgf.dat
        S3 Intels51;Creatix V.9X DSP Data Fax Modem;C:\WINDOWS\system32\DRIVERS\ctxs51.sys [2002-07-01 15:10]
        S3 MEMSWEEP2;MEMSWEEP2;C:\WINDOWS\system32\7.tmp
        S3 NSNDIS5;NSNDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\NSNDIS5.SYS [2004-03-24 03:12]

        [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{50db81ff-32c5-11dc-b20e-0012179a6372}]
        \Shell\AutoRun\command - F:\InstallTomTomHOME.exe

        .
        **************************************************************************

        catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
        Rootkit scan 2008-01-11 21:52:56
        Windows 5.1.2600 Service Pack 2 NTFS

        scannen van verborgen processen ...

        scannen van verborgen autostart items ...

        scannen van verborgen bestanden ...

        Scan succesvol afgerond
        verborgen bestanden: 0

        **************************************************************************
        .
        Voltooingstijd: 2008-01-11 21:55:10 - machine was rebooted
        ComboFix-quarantined-files.txt 2008-01-11 20:55:07

        Comment


        • #5
          Download de bijlage: CFScript.txt

          Sleep CFScript.txt in ComboFix.exe zoals getoond in onderstaand voorbeeld :



          Dit zal ComboFix doen herstarten.
          Start opnieuw op als daarom gevraagd wordt,
          en post de inhoud van de Combofix.txt in je volgende antwoord.
          Bijgevoegde Bestanden

          Comment


          • #6
            Oke, script in combofix gesleept geeft de volgende log:

            ComboFix 08-01-11.1 - Geert 2008-01-12 7:36:02.2 - NTFSx86
            Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1043.18.258 [GMT 1:00]
            Gestart vanuit: C:\Documents and Settings\Geert\Bureaublad\ComboFix.exe
            Command switches used :: C:\Documents and Settings\Geert\Bureaublad\cfscript.txt C:\Documents and Settings\Geert\Bureaublad\cfscript.txt
            * Nieuw herstelpunt werd aangemaakt

            FILE
            C:\WINDOWS\system32\7.tmp
            C:\WINDOWS\system32\dmusicg.dll
            C:\WINDOWS\system32\drivers\ivdvymgf.dat
            .

            (((((((((((((((((((((((((((((((((( Andere Verwijderingen )))))))))))))))))))))))))))))))))))))))))))))))))
            .

            C:\WINDOWS\system32\dmusicg.dll
            C:\WINDOWS\system32\drivers\ivdvymgf.dat

            .
            ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

            .
            -------\LEGACY_BCIFVLLI
            -------\LEGACY_MEMSWEEP2
            -------\bcifvlli
            -------\MEMSWEEP2


            (((((((((((((((((((( Bestanden Gemaakt van 2007-12-12 to 2008-01-12 ))))))))))))))))))))))))))))))
            .

            2008-01-11 21:39 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
            2008-01-11 20:01 . 2008-01-11 20:01 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
            2008-01-11 20:01 . 2008-01-11 20:01 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
            2008-01-11 18:52 . 2008-01-11 18:55 <DIR> d-------- C:\Program Files\Panda Security
            2008-01-11 10:34 . 2008-01-11 12:48 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
            2008-01-11 09:56 . 2008-01-11 10:05 <DIR> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
            2008-01-10 23:48 . 2008-01-10 23:48 <DIR> d-------- C:\Program Files\Trend Micro
            2008-01-10 23:40 . 2008-01-10 23:40 <DIR> d-------- C:\Program Files\Sophos
            2008-01-09 11:27 . 2008-01-09 11:27 <DIR> d-------- C:\Program Files\Nvu
            2008-01-09 11:27 . 2008-01-09 11:27 <DIR> d-------- C:\Documents and Settings\Geert\Application Data\Nvu
            2008-01-04 10:54 . 2008-01-04 10:54 1,409 --a------ C:\WINDOWS\QTFont.for
            2008-01-04 10:53 . 2008-01-09 20:46 54,156 --ah----- C:\WINDOWS\QTFont.qfn
            2007-12-25 11:22 . 2008-01-12 07:31 <DIR> d-------- C:\Program Files\DesktopEarth

            .
            ((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))
            .
            2008-01-10 20:32 --------- d-----w C:\Documents and Settings\Geert\Application Data\AVG7
            2008-01-09 19:49 --------- d-----w C:\Program Files\a-squared Free
            2008-01-05 10:21 --------- d-----w C:\Documents and Settings\Geert\Application Data\OpenOffice.org2
            2007-12-28 08:48 --------- d-----w C:\Documents and Settings\Kirsten\Application Data\OpenOffice.org2
            2007-12-23 15:20 --------- d-----w C:\Documents and Settings\Kirsten\Application Data\AVG7
            2007-12-18 22:35 --------- d-----w C:\Program Files\Java
            2007-11-25 17:38 --------- d-----w C:\Documents and Settings\All Users\Application Data\SlySoft
            2007-11-25 17:36 --------- d-----w C:\Program Files\SlySoft
            2007-11-20 23:59 97,216 ----a-w C:\WINDOWS\system32\drivers\AnyDVD.sys
            2007-11-15 18:36 --------- d-----w C:\Program Files\Microsoft Bootvis
            2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
            2007-11-08 18:08 60,416 ----a-w C:\WINDOWS\ALCFDRTM.EXE
            .

            ((((((((((((((((((((((((((((( [email protected]_21.54.54.43 )))))))))))))))))))))))))))))))))))))))))
            .
            - 2008-01-11 20:39:49 1,421,312 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT
            + 2008-01-12 06:35:46 1,421,312 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT
            - 2008-01-11 20:39:49 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat
            + 2008-01-12 06:35:46 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat
            - 2008-01-11 20:39:49 6,840,320 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\ntuser.dat
            + 2008-01-12 06:35:46 6,840,320 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\ntuser.dat
            - 2008-01-11 20:39:49 159,744 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat
            + 2008-01-12 06:35:46 159,744 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat
            - 2008-01-11 20:39:49 1,421,312 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\NTUSER.DAT
            + 2008-01-12 06:35:46 1,421,312 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\NTUSER.DAT
            - 2008-01-11 20:39:49 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat
            + 2008-01-12 06:35:46 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat
            .
            ((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))
            .
            .
            REGEDIT4
            *Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond

            [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
            "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:03 15360]

            [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
            "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51 39792]
            "SoundMan"="SOUNDMAN.EXE" [2005-11-11 13:07 90112 C:\WINDOWS\soundman.exe]
            "AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2007-12-25 09:28 579072]
            "TrueImageMonitor.exe"="C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe" [2007-02-16 17:45 1169776]
            "AcronisTimounterMonitor"="C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe" [2007-02-16 17:57 1945960]
            "Acronis Scheduler2 Service"="C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe" [2007-02-16 17:49 149024]
            "NeroFilterCheck"="C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe" [2006-01-12 15:40 155648]
            "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-06-29 05:24 286720]
            "TomTomHOME.exe"="C:\Program Files\TomTom HOME 2\HOMERunner.exe" [2007-10-31 10:19 378784]
            "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]

            [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
            "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:03 15360]
            "AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2007-10-24 07:53 219136]

            C:\Documents and Settings\Kirsten\Menu Start\Programma's\Opstarten\
            OpenOffice.org 2.2.lnk - C:\Program Files\OpenOffice.org 2.2\program\quickstart.exe [2007-02-02 16:54:56]

            C:\Documents and Settings\Geert\Menu Start\Programma's\Opstarten\
            DesktopEarth AutoStart.lnk - C:\Documents and Settings\Geert\Application Data\Microsoft\Installer\{DBA5E973-660D-4CBE-A469-F5C37FBF0CE4}\_C1A9BF9D98647632ED5172.exe [2007-12-25 11:22:50]

            [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
            "NoRecentDocsNetHood"= 01000000

            [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
            Authentication Packages REG_MULTI_SZ msv1_0 relog_ap

            S3 Intels51;Creatix V.9X DSP Data Fax Modem;C:\WINDOWS\system32\DRIVERS\ctxs51.sys [2002-07-01 15:10]
            S3 NSNDIS5;NSNDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\NSNDIS5.SYS [2004-03-24 03:12]

            [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{50db81ff-32c5-11dc-b20e-0012179a6372}]
            \Shell\AutoRun\command - F:\InstallTomTomHOME.exe

            .
            **************************************************************************

            catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
            Rootkit scan 2008-01-12 07:39:48
            Windows 5.1.2600 Service Pack 2 NTFS

            scannen van verborgen processen ...

            scannen van verborgen autostart items ...

            scannen van verborgen bestanden ...

            Scan succesvol afgerond
            verborgen bestanden: 0

            **************************************************************************
            .
            Voltooingstijd: 2008-01-12 7:41:17 - machine was rebooted
            ComboFix-quarantined-files.txt 2008-01-12 06:41:09
            ComboFix2.txt 2008-01-11 20:55:10

            Comment


            • #7
              Verwijder de volgende map:
              C:\Qoobox

              Maak dan je prullenbak leeg.

              Download ATF cleaner (mirror)(gemaakt door Atribune)

              Belangrijk: Sluit al je browservensters(IE en/of Firefox en/of Opera) om de tool goed te kunnen laten werken.

              Dubbelklik op ATF cleaner om het programma te starten.
              Op het tabblad "Main", plaats je een vinkje bij Select All.
              Klik op de knop Empty Selected.

              Het volgende doen als je ook FireFox als browser hebt:
              Klik op tabblad "Firefox", plaats een vinkje bij Select All.
              Wil je de door Firefox opgeslagen wachtwoorden behouden, dan klik je in het venster dat verschijnt op "No".
              (dit haalt het vinkje weer weg bij "Firefox saved passwords")
              Klik op de knop Empty Selected.

              Het volgende doen als je ook Opera als browser hebt:
              Klik op tabblad "Opera", plaats een vinkje bij Select All.
              Wil je de door Opera opgeslagen wachtwoorden behouden, dan klik je in het venster dat verschijnt op "No".
              Klik op de knop Empty Selected.
              Ga naar het tabblad "Main" en klik op de knop Exit om het programma af te sluiten.

              Ga naar Start - Uitvoeren en geef hier het volgende in:
              Combofix /U
              Druk daarna op OK.
              Let op: Er moet een spatie tussen Combofix en /U zitten.

              Dit zal Combofix deïnstalleren.

              Schakel Systeemherstel uit. Herstart de computer. Schakel Systeemherstel weer in.
              Kijk hier hoe je je systeemherstel moet uitschakelen.
              Hiermee verwijder je eventuele restanten van de infecties uit je systeemherstel.

              Dan denk ik dat alles weer OK is

              Comment


              • #8
                Super! De pop-ups zijn verdwenen en ik kan ook weer gewoon op de links in google klikken zonder dat ik van links naar rechts over het web gestuurd word.

                Wel moest ik na de eerste keer herstarten, de boel met de powerknop uitzetten en opnieuw starten omdat elke klik resulteerde in 30 seconden wachten voordat de aktie werd uitgevoerd. Leek een timer want de cpu load was 0. Na de extra herstart werkt alles weer normaal. Wel heb ontdekt dat als ik in google invul antivirusscherm.com en vervolgens op de zoekknop druk, er helemaal niets gebeurd, terwijl ik bij alle andere invuloefeningen een normaal zoekresultaat krijg (ook als ik ander .com woorden invul). Misschien toch nog een restant?

                Comment


                • #9
                  Misschien de instructies op deze pagina eens proberen:

                  Comment


                  • #10
                    Top! Nu werkt alles echt weer zoals ik het gewend was.

                    Heel erg bedankt voor je hulp.

                    Comment


                    • #11
                      Graag gedaan hoor

                      Comment

                      Sorry, you are not authorized to view this page
                      Working...
                      X