Mededeling

Collapse
No announcement yet.

Fynloski.AA trojan

Collapse
X
Collapse
  •  
  • Page of 1
  • Filter
  • Tijd
  • Show
Clear All
new posts
Vorige template Volgende
  • #1

    Fynloski.AA trojan

    Beste beheerder,

    Sinds enige tijd geeft Eset 32 Anti-virus aan dat er een virus actief is op mijn pc. Het kan dit niet opschonen. In eerste instantie draaide ik Spybot S&D en die vond een bedreiging, die ik heb verwijderd. De melding blijft helaas terugkomen elke keer als Eset 32 de startup scan heeft uitgevoerd. Het gaat om een file genaamd 'svchosth.exe'. Spybot vond bij latere scans niets meer dus ik heb Spybot van mijn pc verwijderd.

    Nu heb ik al jullie instructies opgevolgd en hier volgt de inhoud van de 3 log files waar jullie om vragen.

    MBAM log

    Malwarebytes Anti-Malware 1.75.0.1300
    Malwarebytes Cyber Security for Home & Business | Anti-Malware
    https://www.malwarebytes.org
    Protect your home and business PCs, Macs, iOS and Android devices from malware, viruses & cyber threats with our comprehensive cyber security solutions. Free trials available.


    Databaseversie: v2013.07.12.02

    Windows 7 Service Pack 1 x64 NTFS
    Internet Explorer 10.0.9200.16635
    Gebruiker :: RONALD [administrator]

    12-7-2013 15:30:13
    mbam-log-2013-07-12 (15-30-13).txt

    Scan type: Snelle scan
    Ingeschakelde scan opties: Geheugen | Opstartitems | Register | Bestanden en mappen | Heuristiek/Extra | Heuristiek/Shuriken | PUP | PUM
    Uitgeschakelde scan opties: P2P
    Objecten gescand: 215093
    Verstreken tijd: 2 minuut/minuten, 20 seconde(n)

    Geheugenprocessen gedetecteerd: 0
    (Geen kwaadaardige objecten gedetecteerd)

    Geheugenmodulen gedetecteerd: 0
    (Geen kwaadaardige objecten gedetecteerd)

    Registersleutels gedetecteerd: 0
    (Geen kwaadaardige objecten gedetecteerd)

    Registerwaarden gedetecteerd: 0
    (Geen kwaadaardige objecten gedetecteerd)

    Registerdata gedetecteerd: 2
    HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Slecht: (1) Goed: (0) -> Succesvol in quarantaine geplaatst en gerepareerd.
    HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Slecht: (1) Goed: (0) -> Succesvol in quarantaine geplaatst en gerepareerd.

    Mappen gedetecteerd: 1
    C:\Users\Gebruiker\AppData\Roaming\dclogs (Stolen.Data) -> Succesvol in quarantaine geplaatst en verwijderd.

    Bestanden gedetecteerd: 13
    C:\Users\Gebruiker\AppData\Roaming\dclogs\2013-06-30-1.dc (Stolen.Data) -> Succesvol in quarantaine geplaatst en verwijderd.
    C:\Users\Gebruiker\AppData\Roaming\dclogs\2013-07-01-2.dc (Stolen.Data) -> Succesvol in quarantaine geplaatst en verwijderd.
    C:\Users\Gebruiker\AppData\Roaming\dclogs\2013-07-02-3.dc (Stolen.Data) -> Succesvol in quarantaine geplaatst en verwijderd.
    C:\Users\Gebruiker\AppData\Roaming\dclogs\2013-07-03-4.dc (Stolen.Data) -> Succesvol in quarantaine geplaatst en verwijderd.
    C:\Users\Gebruiker\AppData\Roaming\dclogs\2013-07-04-5.dc (Stolen.Data) -> Succesvol in quarantaine geplaatst en verwijderd.
    C:\Users\Gebruiker\AppData\Roaming\dclogs\2013-07-05-6.dc (Stolen.Data) -> Succesvol in quarantaine geplaatst en verwijderd.
    C:\Users\Gebruiker\AppData\Roaming\dclogs\2013-07-06-7.dc (Stolen.Data) -> Succesvol in quarantaine geplaatst en verwijderd.
    C:\Users\Gebruiker\AppData\Roaming\dclogs\2013-07-07-1.dc (Stolen.Data) -> Succesvol in quarantaine geplaatst en verwijderd.
    C:\Users\Gebruiker\AppData\Roaming\dclogs\2013-07-08-2.dc (Stolen.Data) -> Succesvol in quarantaine geplaatst en verwijderd.
    C:\Users\Gebruiker\AppData\Roaming\dclogs\2013-07-09-3.dc (Stolen.Data) -> Succesvol in quarantaine geplaatst en verwijderd.
    C:\Users\Gebruiker\AppData\Roaming\dclogs\2013-07-10-4.dc (Stolen.Data) -> Succesvol in quarantaine geplaatst en verwijderd.
    C:\Users\Gebruiker\AppData\Roaming\dclogs\2013-07-11-5.dc (Stolen.Data) -> Succesvol in quarantaine geplaatst en verwijderd.
    C:\Users\Gebruiker\AppData\Roaming\dclogs\2013-07-12-6.dc (Stolen.Data) -> Succesvol in quarantaine geplaatst en verwijderd.

    (einde)

    DDS log

    DDS (Ver_2012-11-20.01) - NTFS_AMD64
    Internet Explorer: 10.0.9200.16635 BrowserJavaVersion: 10.25.2
    Run by Gebruiker at 15:48:03 on 2013-07-12
    Microsoft Windows 7 Ultimate 6.1.7601.1.1252.31.1043.18.3818.2287 [GMT 2:00]
    .
    AV: ESET NOD32 Antivirus 5.0 *Enabled/Updated* {77DEAFED-8149-104B-25A1-21771CA47CD1}
    SP: ESET NOD32 Antivirus 5.0 *Enabled/Updated* {CCBF4E09-A773-1FC5-1F11-1A056723366C}
    SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
    .
    ============== Running Processes ===============
    .
    C:\Windows\system32\lsm.exe
    C:\Windows\system32\svchost.exe -k DcomLaunch
    C:\Windows\system32\svchost.exe -k RPCSS
    C:\Windows\system32\atiesrxx.exe
    C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
    C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
    C:\Windows\system32\svchost.exe -k LocalService
    C:\Windows\system32\svchost.exe -k netsvcs
    C:\Windows\system32\svchost.exe -k GPSvcGroup
    C:\Windows\system32\svchost.exe -k NetworkService
    C:\Windows\system32\atieclxx.exe
    C:\Windows\System32\spoolsv.exe
    C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
    C:\Windows\system32\taskhost.exe
    C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
    C:\Program Files (x86)\Google\Update\1.3.21.149\GoogleCrashHandler.exe
    C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe
    C:\Program Files (x86)\Google\Update\1.3.21.149\GoogleCrashHandler64.exe
    C:\Windows\system32\Dwm.exe
    C:\Windows\Explorer.EXE
    C:\Users\Gebruiker\AppData\Roaming\MSDCSC\svchosth.exe
    C:\Program Files\ESET\ESET NOD32 Antivirus\x86\ekrn.exe
    C:\Windows\system32\svchost.exe -k imgsvc
    C:\Windows\System32\svchost.exe -k secsvcs
    C:\Windows\SysWOW64\notepad.exe
    C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
    C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe
    C:\Program Files (x86)\Google\Drive\googledrivesync.exe
    C:\Users\Gebruiker\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe
    C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
    C:\Program Files (x86)\Google\Drive\googledrivesync.exe
    C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
    C:\Program Files (x86)\Winamp\winampa.exe
    C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
    C:\Program Files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE
    C:\Windows\system32\svchost.exe -k NetworkServiceNetworkRestricted
    C:\Windows\system32\wbem\wmiprvse.exe
    C:\Windows\system32\SearchIndexer.exe
    C:\Program Files\Windows Media Player\wmpnetwk.exe
    C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation
    C:\Windows\Microsoft.Net\Framework64\v3.0\WPF\PresentationFontCache.exe
    C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe
    C:\Windows\servicing\TrustedInstaller.exe
    C:\Users\Gebruiker\AppData\Local\Google\Chrome\Application\chrome.exe
    C:\Users\Gebruiker\AppData\Local\Google\Chrome\Application\chrome.exe
    C:\Users\Gebruiker\AppData\Local\Google\Chrome\Application\chrome.exe
    C:\Users\Gebruiker\AppData\Local\Google\Chrome\Application\chrome.exe
    C:\Windows\system32\taskeng.exe
    C:\Windows\system32\wbem\wmiprvse.exe
    C:\Windows\System32\cscript.exe
    .
    ============== Pseudo HJT Report ===============
    .
    uStart Page = hxxp://www.google.nl/
    uSearch Page = hxxp://www.google.nl
    uDefault_Page_URL = www.google.nl
    mWinlogon: Userinit = userinit.exe,
    BHO: {6C680BAE-655C-4E3D-8FC4-E6A520C3D928} - <orphaned>
    BHO: Groove GFS Browser Helper: {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files (x86)\Microsoft Office\Office14\GROOVEEX.DLL
    BHO: Java(tm) Plug-In SSV Helper: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre7\bin\ssv.dll
    BHO: Office Document Cache Handler: {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\Program Files (x86)\Microsoft Office\Office14\URLREDIR.DLL
    BHO: Java(tm) Plug-In 2 SSV Helper: {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll
    uRun: [Google Update] "C:\Users\Gebruiker\AppData\Local\Google\Update\GoogleUpdate.exe" /c
    uRun: [GoogleDriveSync] "C:\Program Files (x86)\Google\Drive\googledrivesync.exe" /autostart
    uRun: [Spotify Web Helper] "C:\Users\Gebruiker\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe"
    mRun: [TaskTray] <no file>
    uPolicies-Explorer: NoDriveTypeAutoRun = dword:145
    uPolicies-Explorer: NoResolveTrack = dword:1
    uPolicies-System: EnableLUA = dword:0
    mPolicies-Explorer: NoActiveDesktop = dword:1
    mPolicies-Explorer: NoActiveDesktopChanges = dword:1
    mPolicies-System: ConsentPromptBehaviorAdmin = dword:0
    mPolicies-System: ConsentPromptBehaviorUser = dword:0
    mPolicies-System: EnableLUA = dword:0
    mPolicies-System: EnableUIADesktopToggle = dword:0
    IE: &Verzenden naar OneNote - C:\PROGRA~2\MICROS~1\Office14\ONBttnIE.dll/105
    IE: E&xporteren naar Microsoft Excel - C:\PROGRA~2\MICROS~1\Office14\EXCEL.EXE/3000
    IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIE.dll
    IE: {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - {FFFDC614-B694-4AE6-AB38-5D6374584B52} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
    .
    INFO: HKCU has more than 50 listed domains.
    If you wish to scan all of them, select the 'Force scan all domains' option.
    .
    .
    INFO: HKLM has more than 50 listed domains.
    If you wish to scan all of them, select the 'Force scan all domains' option.
    .
    TCP: NameServer = 145.97.192.174
    TCP: Interfaces\{E16F380F-7321-49DF-9153-E99F075DCA8D} : DHCPNameServer = 145.97.192.174
    Filter: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
    Filter: video/mp4 - {20C75730-7C25-476B-95DC-C65810F9E489} - C:\Program Files (x86)\AMD\SteadyVideo\VideoMIMEFilter.dll
    Filter: video/x-flv - {20C75730-7C25-476B-95DC-C65810F9E489} - C:\Program Files (x86)\AMD\SteadyVideo\VideoMIMEFilter.dll
    SSODL: WebCheck - <orphaned>
    SEH: Groove GFS Stub Execution Hook - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Program Files (x86)\Microsoft Office\Office14\GROOVEEX.DLL
    x64-mWinlogon: Userinit = C:\Windows\System32\userinit.exe,C:\Users\Gebruiker\AppData\Roaming\MSDCSC\svchosth.exe
    x64-BHO: SteadyVideoBHO Class: {6C680BAE-655C-4E3D-8FC4-E6A520C3D928} - C:\Program Files\AMD\SteadyVideo\SteadyVideo.dll
    x64-BHO: Office Document Cache Handler: {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\Program Files\Microsoft Office\Office14\URLREDIR.DLL
    x64-BHO: Java(tm) Plug-In 2 SSV Helper: {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll
    x64-Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
    x64-Run: [RTHDVCPL] C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe -s
    x64-IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll
    x64-IE: {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - {FFFDC614-B694-4AE6-AB38-5D6374584B52} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
    .
    INFO: x64-HKLM has more than 50 listed domains.
    If you wish to scan all of them, select the 'Force scan all domains' option.
    .
    x64-DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_02-windows-i586.cab
    x64-DPF: {CAFEEFAC-0017-0000-0002-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_02-windows-i586.cab
    x64-DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_02-windows-i586.cab
    x64-Filter: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
    x64-Filter: video/mp4 - {20C75730-7C25-476B-95DC-C65810F9E489} - C:\Program Files\AMD\SteadyVideo\VideoMIMEFilter.dll
    x64-Filter: video/x-flv - {20C75730-7C25-476B-95DC-C65810F9E489} - C:\Program Files\AMD\SteadyVideo\VideoMIMEFilter.dll
    x64-SSODL: WebCheck - <orphaned>
    Hosts: 127.0.0.1 www.spywareinfo.com
    .
    ============= SERVICES / DRIVERS ===============
    .
    R1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;C:\Windows\System32\drivers\dtsoftbus01.sys [2012-6-24 283200]
    R2 AMD External Events Utility;AMD External Events Utility;C:\Windows\System32\atiesrxx.exe [2012-4-6 236544]
    R2 AMD FUEL Service;AMD FUEL Service;C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe [2012-4-5 361984]
    R2 AODDriver4.1;AODDriver4.1;C:\Program Files\ATI Technologies\ATI.ACE\Fuel\amd64\aoddriver2.sys [2012-3-5 53888]
    R2 ASTRA64;ASTRA64 Kernel Driver 1.0.0.1;C:\Program Files (x86)\ASTRA32\astra64.sys [2007-2-22 21200]
    R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-3-18 138576]
    R2 ekrn;ESET Service;C:\Program Files\ESET\ESET NOD32 Antivirus\x86\ekrn.exe [2011-9-22 974944]
    R2 epfwwfpr;epfwwfpr;C:\Windows\System32\drivers\epfwwfpr.sys [2011-8-4 137144]
    R3 amdhub30;AMD USB 3.0 Hub Driver;C:\Windows\System32\drivers\amdhub30.sys [2012-6-24 87168]
    R3 amdiox64;AMD IO Driver;C:\Windows\System32\drivers\amdiox64.sys [2012-6-24 46136]
    R3 amdxhc;AMD USB 3.0 Host Controller Driver;C:\Windows\System32\drivers\amdxhc.sys [2012-6-24 188544]
    R3 AtiHDAudioService;AMD Function Driver for HD Audio Service;C:\Windows\System32\drivers\AtihdW76.sys [2012-2-23 95760]
    R3 eamonm;eamonm;C:\Windows\System32\drivers\eamonm.sys [2011-8-9 202576]
    R3 MBfilt;MBfilt;C:\Windows\System32\drivers\MBfilt64.sys [2012-9-26 32344]
    S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384]
    S3 b06diag;Broadcom NetXtreme II Diag Driver;C:\Windows\System32\drivers\bxdiaga.sys [2012-1-8 88104]
    S3 BFN7x64;Bigfoot Networks Killer Gaming Service;C:\Windows\System32\drivers\Xeno7x64.sys [2012-1-8 157288]
    S3 BFNVis64;Bigfoot Networks Killer Gaming Service;C:\Windows\System32\drivers\XenoVa64.sys [2012-1-8 157288]
    S3 BXOIS;BXOIS;C:\Windows\System32\drivers\bxois.sys [2012-1-8 533544]
    S3 dmvsc;dmvsc;C:\Windows\System32\drivers\dmvsc.sys [2011-4-12 71168]
    S3 IAMTVE;Stuurprogramma voor Intel(R) Active Management Technology - KCS;C:\Windows\System32\drivers\IAMTVE.sys [2012-1-8 43416]
    S3 IAMTXPE;Stuurprogramma voor Intel(R) Active Management Technology - KCS;C:\Windows\System32\drivers\IAMTXPE.sys [2012-1-8 51096]
    S3 IFCoEMP;IFCoEMP;C:\Windows\System32\drivers\ifM60x64.sys [2012-1-8 388368]
    S3 IFCoEVB;IFCoEVB;C:\Windows\System32\drivers\ifP60x64.sys [2012-1-8 77584]
    S3 ioatdma1;ioatdma1;C:\Windows\System32\drivers\qd162x64.sys [2012-1-8 40144]
    S3 ioatdma2;Intel(R) QuickData Technology device ver.2;C:\Windows\System32\drivers\qd262x64.sys [2012-1-8 42192]
    S3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;C:\Windows\System32\drivers\rdpvideominiport.sys [2013-1-9 19456]
    S3 Synth3dVsc;Microsoft Virtual 3D Video Transport Driver;C:\Windows\System32\drivers\Synth3dVsc.sys [2011-4-12 88960]
    S3 terminpt;Microsoft Remote Desktop Input Driver;C:\Windows\System32\drivers\terminpt.sys [2013-1-9 29696]
    S3 TsUsbFlt;TsUsbFlt;C:\Windows\System32\drivers\TsUsbFlt.sys [2013-1-9 57856]
    S3 TsUsbGD;Remote Desktop Generic USB Device;C:\Windows\System32\drivers\TsUsbGD.sys [2013-1-9 30208]
    S3 tsusbhub;Remote Deskotop USB Hub;C:\Windows\System32\drivers\tsusbhub.sys [2011-4-12 117248]
    .
    =============== Created Last 30 ================
    .
    2013-07-12 13:37:29 -------- d-----w- C:\Users\Gebruiker\AppData\Roaming\dclogs
    2013-07-12 13:26:43 -------- d-----w- C:\Users\Gebruiker\AppData\Roaming\Malwarebytes
    2013-07-12 13:25:42 25928 ----a-w- C:\Windows\System32\drivers\mbam.sys
    2013-07-12 13:25:42 -------- d-----w- C:\ProgramData\Malwarebytes
    2013-07-12 13:25:42 -------- d-----w- C:\Program Files (x86)\Malwarebytes' Anti-Malware
    2013-07-12 13:21:39 -------- d-----w- C:\Users\Gebruiker\AppData\Local\Programs
    2013-07-12 08:18:36 9552976 ----a-w- C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{BBF73ED3-2999-4402-8C75-063E9C0E0AAF}\mpengine.dll
    2013-07-11 09:09:10 -------- d-----w- C:\Windows\System32\MRT
    2013-07-10 10:09:59 817664 ----a-w- C:\Program Files (x86)\Common Files\Microsoft Shared\VGX\VGX.dll
    2013-07-10 10:09:59 1084928 ----a-w- C:\Program Files\Common Files\Microsoft Shared\VGX\VGX.dll
    2013-07-10 10:09:58 1767936 ----a-w- C:\Windows\SysWow64\wininet.dll
    2013-07-10 10:09:57 2241024 ----a-w- C:\Windows\System32\wininet.dll
    2013-06-30 01:49:19 -------- d-sh--w- C:\Users\Gebruiker\AppData\Roaming\MSDCSC
    2013-06-21 09:03:52 96168 ----a-w- C:\Windows\SysWow64\WindowsAccessBridge-32.dll
    .
    ==================== Find3M ====================
    .
    2013-06-12 19:48:23 867240 ----a-w- C:\Windows\SysWow64\npDeployJava1.dll
    2013-06-12 19:48:17 789416 ----a-w- C:\Windows\SysWow64\deployJava1.dll
    2013-06-11 23:43:00 2877440 ----a-w- C:\Windows\SysWow64\jscript9.dll
    2013-06-11 23:42:58 61440 ----a-w- C:\Windows\SysWow64\iesetup.dll
    2013-06-11 23:42:58 109056 ----a-w- C:\Windows\SysWow64\iesysprep.dll
    2013-06-11 23:25:16 3958784 ----a-w- C:\Windows\System32\jscript9.dll
    2013-06-11 23:25:13 67072 ----a-w- C:\Windows\System32\iesetup.dll
    2013-06-11 23:25:13 136704 ----a-w- C:\Windows\System32\iesysprep.dll
    2013-06-11 22:51:45 71680 ----a-w- C:\Windows\SysWow64\RegisterIEPKEYs.exe
    2013-06-11 22:50:58 89600 ----a-w- C:\Windows\System32\RegisterIEPKEYs.exe
    2013-06-07 03:22:18 2706432 ----a-w- C:\Windows\System32\mshtml.tlb
    2013-06-07 02:37:52 2706432 ----a-w- C:\Windows\SysWow64\mshtml.tlb
    2013-06-05 03:34:27 3153920 ----a-w- C:\Windows\System32\win32k.sys
    2013-06-04 06:00:13 624128 ----a-w- C:\Windows\System32\qedit.dll
    2013-06-04 04:53:07 509440 ----a-w- C:\Windows\SysWow64\qedit.dll
    2013-05-13 05:51:01 184320 ----a-w- C:\Windows\System32\cryptsvc.dll
    2013-05-13 05:51:00 1464320 ----a-w- C:\Windows\System32\crypt32.dll
    2013-05-13 05:51:00 139776 ----a-w- C:\Windows\System32\cryptnet.dll
    2013-05-13 05:50:40 52224 ----a-w- C:\Windows\System32\certenc.dll
    2013-05-13 04:45:55 140288 ----a-w- C:\Windows\SysWow64\cryptsvc.dll
    2013-05-13 04:45:55 1160192 ----a-w- C:\Windows\SysWow64\crypt32.dll
    2013-05-13 04:45:55 103936 ----a-w- C:\Windows\SysWow64\cryptnet.dll
    2013-05-13 03:43:55 1192448 ----a-w- C:\Windows\System32\certutil.exe
    2013-05-13 03:08:10 903168 ----a-w- C:\Windows\SysWow64\certutil.exe
    2013-05-13 03:08:06 43008 ----a-w- C:\Windows\SysWow64\certenc.dll
    2013-05-10 05:49:27 30720 ----a-w- C:\Windows\System32\cryptdlg.dll
    2013-05-10 03:20:54 24576 ----a-w- C:\Windows\SysWow64\cryptdlg.dll
    2013-05-08 06:39:01 1910632 ----a-w- C:\Windows\System32\drivers\tcpip.sys
    2013-05-06 06:03:49 1887744 ----a-w- C:\Windows\System32\WMVDECOD.DLL
    2013-05-06 04:56:35 1620480 ----a-w- C:\Windows\SysWow64\WMVDECOD.DLL
    2013-05-02 00:06:08 278800 ------w- C:\Windows\System32\MpSigStub.exe
    2013-04-26 05:51:36 751104 ----a-w- C:\Windows\System32\win32spl.dll
    2013-04-26 04:55:21 492544 ----a-w- C:\Windows\SysWow64\win32spl.dll
    2013-04-25 23:30:32 1505280 ----a-w- C:\Windows\SysWow64\d3d11.dll
    2013-04-17 07:02:06 1230336 ----a-w- C:\Windows\SysWow64\WindowsCodecs.dll
    2013-04-17 06:24:46 1424384 ----a-w- C:\Windows\System32\WindowsCodecs.dll
    .
    ============= FINISH: 15:48:25,10 ===============

    GMER log

    GMER 2.1.19163 - http://www.gmer.net
    Rootkit scan 2013-07-12 16:06:03
    Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T1L0-5 WDC_WD5000AAKX-001CA0 rev.15.01H15 465,76GB
    Running: n3mpd1c0.exe; Driver: C:\Users\GEBRUI~1\AppData\Local\Temp\pwldrpow.sys


    ---- User code sections - GMER 2.1 ----

    .text C:\Program Files\ESET\ESET NOD32 Antivirus\x86\ekrn.exe[1536] C:\Windows\syswow64\kernel32.dll!SetUnhandledExceptionFilter 0000000075ae87b1 4 bytes [C2, 04, 00, 00]
    .text C:\Program Files\ESET\ESET NOD32 Antivirus\x86\ekrn.exe[1536] C:\Windows\syswow64\psapi.dll!GetModuleInformation + 69 0000000075c81465 2 bytes [C8, 75]
    .text C:\Program Files\ESET\ESET NOD32 Antivirus\x86\ekrn.exe[1536] C:\Windows\syswow64\psapi.dll!GetModuleInformation + 155 0000000075c814bb 2 bytes [C8, 75]
    .text ... * 2
    .text C:\Program Files (x86)\Google\Drive\googledrivesync.exe[2852] C:\Windows\syswow64\Psapi.dll!GetModuleInformation + 69 0000000075c81465 2 bytes [C8, 75]
    .text C:\Program Files (x86)\Google\Drive\googledrivesync.exe[2852] C:\Windows\syswow64\Psapi.dll!GetModuleInformation + 155 0000000075c814bb 2 bytes [C8, 75]
    .text ... * 2

    ---- Threads - GMER 2.1 ----

    Thread C:\Windows\System32\svchost.exe [1484:1680] 000007fef75f9688
    Thread C:\Windows\SysWOW64\notepad.exe [2112:2120] 00000000001e0000

    ---- EOF - GMER 2.1 ----

    Met vriendelijke groet,

    Ronald
    Labels: Geen
    • Citaat
  • #2
    Download zoek.exe naar het bureaublad.
    • Schakel je antivirus- en antispywareprogramma's uit, mogelijk kunnen ze conflicteren met zoek.exe
      (hier of hier) kan je lezen hoe je de gebruikte beveiligingssoftware kunt uitschakelen.
    • Dubbelklik op Zoek.exe om de tool te starten.
    • Windows Vista, 7 en 8 gebruikers dienen de tool als "administrator" uit te voeren door middel van de rechtermuisknop en kiezen voor Als Administrator uitvoeren.
    • Kopieer nu onderstaande code en plak die in het grote invulvenster:
    • Note: Dit script is speciaal bedoeld voor deze PC, gebruik dit dan ook niet op andere PC's met een gelijkwaardig probleem.
      Code:
      emptyclsid;
firefoxlook; 
Chromelook; 
autoclean; 
iedefaults;
    • Klik nu op de knop "Run script".
    • Wacht nu geduldig af tot er een logje opent (dit kan na een herstart zijn als deze benodigd is).
    • Mocht na de herstart geen logje verschijnen, start zoek.exe dan opnieuw, de log verschijnt dan alsnog.
    • Post het geopende logje in het volgende bericht als bijlage.

    Windows 10 opstarten in Veilige Modus
    • Citaat

    Comment

    • #3
      Results zoek.exe

      Allereerst: geweldig zo'n snelle reactie! Dat had ik niet voorzien. Ik had mijn Nucia account even in de bibliotheek aangemaakt, omdat ik op mijn eigen computer nu een keylogger vermoed. In de bijlage zit het gevraagde logje.
      Bijgevoegde Bestanden
      • Citaat

      Comment

      • #4
        Download DDS van sUBS van één van deze locaties en plaats het op je bureaublad:
        DDS - Bleeping Computer download.
        DDS - Bleeping Computer download.
        DDS - Infospyware.

        Schakel je antivirus- en antispywareprogramma's uit, mogelijk kunnen ze conflicteren met DDS(hier of hier) kan je lezen hoe je de gebruikte beveiligingssoftware kunt uitschakelen.
        • Dubbelklik op DDS om de tool te starten.
          Let op! Windows Vista & 7 gebruikers dienen DDS als administrator uit te voeren "Rechtermuisknop uitvoeren als"
        • Vink in het volgende scherm DDS.txt en Attacht.txt aan en klik op "Start Scan"
        • Laat de tool ongehinderd zijn werk doen, als de scan gereed is klikt u op "OK"
        • Post de inhoud van het geopende DDS.txt in het volgende bericht.
          (Plaats het attach logje alleen indien hierom wordt gevraagd!)

        Windows 10 opstarten in Veilige Modus
        • Citaat

        Comment

        • #5
          DDS log

          DDS (Ver_2012-11-20.01) - NTFS_AMD64
          Internet Explorer: 10.0.9200.16635 BrowserJavaVersion: 10.25.2
          Run by Gebruiker at 17:16:07 on 2013-07-14
          Microsoft Windows 7 Ultimate 6.1.7601.1.1252.31.1043.18.3818.2577 [GMT 2:00]
          .
          AV: ESET NOD32 Antivirus 5.0 *Disabled/Updated* {77DEAFED-8149-104B-25A1-21771CA47CD1}
          SP: ESET NOD32 Antivirus 5.0 *Disabled/Updated* {CCBF4E09-A773-1FC5-1F11-1A056723366C}
          SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
          .
          ============== Running Processes ===============
          .
          C:\Windows\system32\lsm.exe
          C:\Windows\system32\svchost.exe -k DcomLaunch
          C:\Windows\system32\svchost.exe -k RPCSS
          C:\Windows\system32\atiesrxx.exe
          C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
          C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
          C:\Windows\system32\svchost.exe -k LocalService
          C:\Windows\system32\svchost.exe -k netsvcs
          C:\Windows\system32\svchost.exe -k GPSvcGroup
          C:\Windows\system32\atieclxx.exe
          C:\Windows\system32\svchost.exe -k NetworkService
          C:\Windows\System32\spoolsv.exe
          C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
          C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
          C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe
          C:\Windows\system32\taskhost.exe
          C:\Windows\system32\Dwm.exe
          C:\Program Files (x86)\Google\Update\1.3.21.153\GoogleCrashHandler.exe
          C:\Program Files (x86)\Google\Update\1.3.21.153\GoogleCrashHandler64.exe
          C:\Windows\Explorer.EXE
          C:\Program Files\ESET\ESET NOD32 Antivirus\x86\ekrn.exe
          C:\Windows\system32\svchost.exe -k imgsvc
          C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
          C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe
          C:\Program Files (x86)\Google\Drive\googledrivesync.exe
          C:\Users\Gebruiker\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe
          C:\Program Files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE
          C:\Windows\system32\SearchIndexer.exe
          C:\Program Files (x86)\Google\Drive\googledrivesync.exe
          C:\Program Files (x86)\Winamp\winampa.exe
          C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
          C:\Program Files\Windows Media Player\wmpnetwk.exe
          C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
          C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation
          C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
          C:\Windows\Microsoft.Net\Framework64\v3.0\WPF\PresentationFontCache.exe
          C:\Windows\system32\wbem\wmiprvse.exe
          C:\Windows\System32\cscript.exe
          .
          ============== Pseudo HJT Report ===============
          .
          uStart Page = hxxp://www.google.nl/
          uDefault_Page_URL = www.google.nl
          mWinlogon: Userinit = userinit.exe,
          BHO: Groove GFS Browser Helper: {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files (x86)\Microsoft Office\Office14\GROOVEEX.DLL
          BHO: Java(tm) Plug-In SSV Helper: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre7\bin\ssv.dll
          BHO: Office Document Cache Handler: {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\Program Files (x86)\Microsoft Office\Office14\URLREDIR.DLL
          BHO: Java(tm) Plug-In 2 SSV Helper: {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll
          uRun: [Google Update] "C:\Users\Gebruiker\AppData\Local\Google\Update\GoogleUpdate.exe" /c
          uRun: [GoogleDriveSync] "C:\Program Files (x86)\Google\Drive\googledrivesync.exe" /autostart
          uRun: [Spotify Web Helper] "C:\Users\Gebruiker\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe"
          mRun: [TaskTray] <no file>
          uPolicies-Explorer: NoDriveTypeAutoRun = dword:145
          uPolicies-Explorer: NoResolveTrack = dword:1
          uPolicies-System: EnableLUA = dword:0
          mPolicies-Explorer: NoActiveDesktop = dword:1
          mPolicies-Explorer: NoActiveDesktopChanges = dword:1
          mPolicies-System: ConsentPromptBehaviorAdmin = dword:0
          mPolicies-System: ConsentPromptBehaviorUser = dword:0
          mPolicies-System: EnableLUA = dword:0
          mPolicies-System: EnableUIADesktopToggle = dword:0
          IE: &Verzenden naar OneNote - C:\PROGRA~2\MICROS~1\Office14\ONBttnIE.dll/105
          IE: E&xporteren naar Microsoft Excel - C:\PROGRA~2\MICROS~1\Office14\EXCEL.EXE/3000
          IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIE.dll
          IE: {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - {FFFDC614-B694-4AE6-AB38-5D6374584B52} - C:\Program Files (x86)\Microsoft Office

          \Office14\ONBttnIELinkedNotes.dll
          .
          INFO: HKCU has more than 50 listed domains.
          If you wish to scan all of them, select the 'Force scan all domains' option.
          .
          .
          INFO: HKLM has more than 50 listed domains.
          If you wish to scan all of them, select the 'Force scan all domains' option.
          .
          TCP: NameServer = 145.97.192.174
          TCP: Interfaces\{E16F380F-7321-49DF-9153-E99F075DCA8D} : DHCPNameServer = 145.97.192.174
          Filter: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
          Filter: video/mp4 - {20C75730-7C25-476B-95DC-C65810F9E489} - C:\Program Files (x86)\AMD\SteadyVideo\VideoMIMEFilter.dll
          Filter: video/x-flv - {20C75730-7C25-476B-95DC-C65810F9E489} - C:\Program Files (x86)\AMD\SteadyVideo\VideoMIMEFilter.dll
          SSODL: WebCheck - <orphaned>
          SEH: Groove GFS Stub Execution Hook - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Program Files (x86)\Microsoft Office\Office14\GROOVEEX.DLL
          x64-mWinlogon: Userinit = C:\Windows\System32\userinit.exe,C:\Users\Gebruiker\AppData\Roaming\MSDCSC\svchosth.exe
          x64-BHO: Office Document Cache Handler: {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\Program Files\Microsoft Office\Office14\URLREDIR.DLL
          x64-BHO: Java(tm) Plug-In 2 SSV Helper: {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll
          x64-Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
          x64-Run: [RTHDVCPL] C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe -s
          x64-IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll
          x64-IE: {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - {FFFDC614-B694-4AE6-AB38-5D6374584B52} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
          .
          INFO: x64-HKLM has more than 50 listed domains.
          If you wish to scan all of them, select the 'Force scan all domains' option.
          .
          x64-DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_02-windows-i586.cab
          x64-DPF: {CAFEEFAC-0017-0000-0002-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_02-windows-i586.cab
          x64-DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_02-windows-i586.cab
          x64-Filter: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
          x64-Filter: video/mp4 - {20C75730-7C25-476B-95DC-C65810F9E489} - C:\Program Files\AMD\SteadyVideo\VideoMIMEFilter.dll
          x64-Filter: video/x-flv - {20C75730-7C25-476B-95DC-C65810F9E489} - C:\Program Files\AMD\SteadyVideo\VideoMIMEFilter.dll
          x64-SSODL: WebCheck - <orphaned>
          Hosts: 127.0.0.1 www.spywareinfo.com
          .
          ============= SERVICES / DRIVERS ===============
          .
          R1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;C:\Windows\System32\drivers\dtsoftbus01.sys [2012-6-24 283200]
          R2 AMD External Events Utility;AMD External Events Utility;C:\Windows\System32\atiesrxx.exe [2012-4-6 236544]
          R2 AMD FUEL Service;AMD FUEL Service;C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe [2012-4-5 361984]
          R2 AODDriver4.1;AODDriver4.1;C:\Program Files\ATI Technologies\ATI.ACE\Fuel\amd64\aoddriver2.sys [2012-3-5 53888]
          R2 ASTRA64;ASTRA64 Kernel Driver 1.0.0.1;C:\Program Files (x86)\ASTRA32\astra64.sys [2007-2-22 21200]
          R2 ekrn;ESET Service;C:\Program Files\ESET\ESET NOD32 Antivirus\x86\ekrn.exe [2011-9-22 974944]
          R2 epfwwfpr;epfwwfpr;C:\Windows\System32\drivers\epfwwfpr.sys [2011-8-4 137144]
          R3 amdhub30;AMD USB 3.0 Hub Driver;C:\Windows\System32\drivers\amdhub30.sys [2012-6-24 87168]
          R3 amdiox64;AMD IO Driver;C:\Windows\System32\drivers\amdiox64.sys [2012-6-24 46136]
          R3 amdxhc;AMD USB 3.0 Host Controller Driver;C:\Windows\System32\drivers\amdxhc.sys [2012-6-24 188544]
          R3 AtiHDAudioService;AMD Function Driver for HD Audio Service;C:\Windows\System32\drivers\AtihdW76.sys [2012-2-23 95760]
          R3 eamonm;eamonm;C:\Windows\System32\drivers\eamonm.sys [2011-8-9 202576]
          R3 MBfilt;MBfilt;C:\Windows\System32\drivers\MBfilt64.sys [2012-9-26 32344]
          S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384]
          S2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-3-18

          138576]
          S3 b06diag;Broadcom NetXtreme II Diag Driver;C:\Windows\System32\drivers\bxdiaga.sys [2012-1-8 88104]
          S3 BFN7x64;Bigfoot Networks Killer Gaming Service;C:\Windows\System32\drivers\Xeno7x64.sys [2012-1-8 157288]
          S3 BFNVis64;Bigfoot Networks Killer Gaming Service;C:\Windows\System32\drivers\XenoVa64.sys [2012-1-8 157288]
          S3 BXOIS;BXOIS;C:\Windows\System32\drivers\bxois.sys [2012-1-8 533544]
          S3 dmvsc;dmvsc;C:\Windows\System32\drivers\dmvsc.sys [2011-4-12 71168]
          S3 IAMTVE;Stuurprogramma voor Intel(R) Active Management Technology - KCS;C:\Windows\System32\drivers\IAMTVE.sys [2012-1-8 43416]
          S3 IAMTXPE;Stuurprogramma voor Intel(R) Active Management Technology - KCS;C:\Windows\System32\drivers\IAMTXPE.sys [2012-1-8 51096]
          S3 IFCoEMP;IFCoEMP;C:\Windows\System32\drivers\ifM60x64.sys [2012-1-8 388368]
          S3 IFCoEVB;IFCoEVB;C:\Windows\System32\drivers\ifP60x64.sys [2012-1-8 77584]
          S3 ioatdma1;ioatdma1;C:\Windows\System32\drivers\qd162x64.sys [2012-1-8 40144]
          S3 ioatdma2;Intel(R) QuickData Technology device ver.2;C:\Windows\System32\drivers\qd262x64.sys [2012-1-8 42192]
          S3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;C:\Windows\System32\drivers\rdpvideominiport.sys [2013-1-9 19456]
          S3 Synth3dVsc;Microsoft Virtual 3D Video Transport Driver;C:\Windows\System32\drivers\Synth3dVsc.sys [2011-4-12 88960]
          S3 terminpt;Microsoft Remote Desktop Input Driver;C:\Windows\System32\drivers\terminpt.sys [2013-1-9 29696]
          S3 TsUsbFlt;TsUsbFlt;C:\Windows\System32\drivers\TsUsbFlt.sys [2013-1-9 57856]
          S3 TsUsbGD;Remote Desktop Generic USB Device;C:\Windows\System32\drivers\TsUsbGD.sys [2013-1-9 30208]
          S3 tsusbhub;Remote Deskotop USB Hub;C:\Windows\System32\drivers\tsusbhub.sys [2011-4-12 117248]
          .
          =============== Created Last 30 ================
          .
          2013-07-13 09:18:51 -------- d-sh--w- C:\$RECYCLE.BIN
          2013-07-13 09:15:40 24064 ----a-w- C:\Windows\zoek-delete.exe
          2013-07-13 09:15:39 -------- d-----w- C:\Users\Gebruiker\AppData\Local\Temp
          2013-07-12 13:37:29 -------- d-----w- C:\Users\Gebruiker\AppData\Roaming\dclogs
          2013-07-12 13:26:43 -------- d-----w- C:\Users\Gebruiker\AppData\Roaming\Malwarebytes
          2013-07-12 13:25:42 25928 ----a-w- C:\Windows\System32\drivers\mbam.sys
          2013-07-12 13:25:42 -------- d-----w- C:\ProgramData\Malwarebytes
          2013-07-12 13:25:42 -------- d-----w- C:\Program Files (x86)\Malwarebytes' Anti-Malware
          2013-07-12 13:21:39 -------- d-----w- C:\Users\Gebruiker\AppData\Local\Programs
          2013-07-12 08:18:36 9552976 ----a-w- C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{BBF73ED3-2999-4402-8C75-

          063E9C0E0AAF}\mpengine.dll
          2013-07-11 09:09:10 -------- d-----w- C:\Windows\System32\MRT
          2013-07-10 10:09:59 817664 ----a-w- C:\Program Files (x86)\Common Files\Microsoft Shared\VGX\VGX.dll
          2013-07-10 10:09:59 1084928 ----a-w- C:\Program Files\Common Files\Microsoft Shared\VGX\VGX.dll
          2013-07-10 10:09:58 1767936 ----a-w- C:\Windows\SysWow64\wininet.dll
          2013-07-10 10:09:57 2241024 ----a-w- C:\Windows\System32\wininet.dll
          2013-06-21 09:03:52 96168 ----a-w- C:\Windows\SysWow64\WindowsAccessBridge-32.dll
          .
          ==================== Find3M ====================
          .
          2013-06-12 19:48:23 867240 ----a-w- C:\Windows\SysWow64\npDeployJava1.dll
          2013-06-12 19:48:17 789416 ----a-w- C:\Windows\SysWow64\deployJava1.dll
          2013-06-11 23:43:00 2877440 ----a-w- C:\Windows\SysWow64\jscript9.dll
          2013-06-11 23:42:58 61440 ----a-w- C:\Windows\SysWow64\iesetup.dll
          2013-06-11 23:42:58 109056 ----a-w- C:\Windows\SysWow64\iesysprep.dll
          2013-06-11 23:25:16 3958784 ----a-w- C:\Windows\System32\jscript9.dll
          2013-06-11 23:25:13 67072 ----a-w- C:\Windows\System32\iesetup.dll
          2013-06-11 23:25:13 136704 ----a-w- C:\Windows\System32\iesysprep.dll
          2013-06-11 22:51:45 71680 ----a-w- C:\Windows\SysWow64\RegisterIEPKEYs.exe
          2013-06-11 22:50:58 89600 ----a-w- C:\Windows\System32\RegisterIEPKEYs.exe
          2013-06-07 03:22:18 2706432 ----a-w- C:\Windows\System32\mshtml.tlb
          2013-06-07 02:37:52 2706432 ----a-w- C:\Windows\SysWow64\mshtml.tlb
          2013-06-05 03:34:27 3153920 ----a-w- C:\Windows\System32\win32k.sys
          2013-06-04 06:00:13 624128 ----a-w- C:\Windows\System32\qedit.dll
          2013-06-04 04:53:07 509440 ----a-w- C:\Windows\SysWow64\qedit.dll
          2013-05-13 05:51:01 184320 ----a-w- C:\Windows\System32\cryptsvc.dll
          2013-05-13 05:51:00 1464320 ----a-w- C:\Windows\System32\crypt32.dll
          2013-05-13 05:51:00 139776 ----a-w- C:\Windows\System32\cryptnet.dll
          2013-05-13 05:50:40 52224 ----a-w- C:\Windows\System32\certenc.dll
          2013-05-13 04:45:55 140288 ----a-w- C:\Windows\SysWow64\cryptsvc.dll
          2013-05-13 04:45:55 1160192 ----a-w- C:\Windows\SysWow64\crypt32.dll
          2013-05-13 04:45:55 103936 ----a-w- C:\Windows\SysWow64\cryptnet.dll
          2013-05-13 03:43:55 1192448 ----a-w- C:\Windows\System32\certutil.exe
          2013-05-13 03:08:10 903168 ----a-w- C:\Windows\SysWow64\certutil.exe
          2013-05-13 03:08:06 43008 ----a-w- C:\Windows\SysWow64\certenc.dll
          2013-05-10 05:49:27 30720 ----a-w- C:\Windows\System32\cryptdlg.dll
          2013-05-10 03:20:54 24576 ----a-w- C:\Windows\SysWow64\cryptdlg.dll
          2013-05-08 06:39:01 1910632 ----a-w- C:\Windows\System32\drivers\tcpip.sys
          2013-05-06 06:03:49 1887744 ----a-w- C:\Windows\System32\WMVDECOD.DLL
          2013-05-06 04:56:35 1620480 ----a-w- C:\Windows\SysWow64\WMVDECOD.DLL
          2013-05-02 00:06:08 278800 ------w- C:\Windows\System32\MpSigStub.exe
          2013-04-26 05:51:36 751104 ----a-w- C:\Windows\System32\win32spl.dll
          2013-04-26 04:55:21 492544 ----a-w- C:\Windows\SysWow64\win32spl.dll
          2013-04-25 23:30:32 1505280 ----a-w- C:\Windows\SysWow64\d3d11.dll
          2013-04-17 07:02:06 1230336 ----a-w- C:\Windows\SysWow64\WindowsCodecs.dll
          2013-04-17 06:24:46 1424384 ----a-w- C:\Windows\System32\WindowsCodecs.dll
          .
          ============= FINISH: 17:16:15,65 ===============
          • Citaat

          Comment

          • #6
            Prima, update je Malwarebytes (MBAM) en doe een nieuwe scan, verwijder alles wat wordt gevonden en start dan opnieuw op.

            Vertel even hoe het nu gaat aub.

            Windows 10 opstarten in Veilige Modus
            • Citaat

            Comment

            • #7
              ESET geeft geen melding meer van het virus. In Taakbeheer bij Processen is "svchosth.exe" niet meer te zien. Dat was een aantal stappen geleden al zo. De nieuwe MBAM scan vond nog wel 5 bedreigingen, die zijn verwijderd of gerepareerd. Je vraagt er niet om maar ik post het hieronder voor de zekerheid toch nog even. Ik vind "Stolen.data" best eng klinken eerlijk gezegd.

              Malwarebytes Anti-Malware 1.75.0.1300
              Malwarebytes Cyber Security for Home & Business | Anti-Malware
              https://www.malwarebytes.org
              Protect your home and business PCs, Macs, iOS and Android devices from malware, viruses & cyber threats with our comprehensive cyber security solutions. Free trials available.


              Databaseversie: v2013.07.14.06

              Windows 7 Service Pack 1 x64 NTFS
              Internet Explorer 10.0.9200.16635
              Gebruiker :: RONALD [administrator]

              14-7-2013 20:16:20
              mbam-log-2013-07-14 (20-16-20).txt

              Scan type: Snelle scan
              Ingeschakelde scan opties: Geheugen | Opstartitems | Register | Bestanden en mappen | Heuristiek/Extra | Heuristiek/Shuriken | PUP | PUM
              Uitgeschakelde scan opties: P2P
              Objecten gescand: 215181
              Verstreken tijd: 2 minuut/minuten, 45 seconde(n)

              Geheugenprocessen gedetecteerd: 0
              (Geen kwaadaardige objecten gedetecteerd)

              Geheugenmodulen gedetecteerd: 0
              (Geen kwaadaardige objecten gedetecteerd)

              Registersleutels gedetecteerd: 0
              (Geen kwaadaardige objecten gedetecteerd)

              Registerwaarden gedetecteerd: 0
              (Geen kwaadaardige objecten gedetecteerd)

              Registerdata gedetecteerd: 2
              HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Slecht: (1) Goed: (0) -> Succesvol in quarantaine geplaatst en gerepareerd.
              HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Slecht: (1) Goed: (0) -> Succesvol in quarantaine geplaatst en gerepareerd.

              Mappen gedetecteerd: 1
              C:\Users\Gebruiker\AppData\Roaming\dclogs (Stolen.Data) -> Succesvol in quarantaine geplaatst en verwijderd.

              Bestanden gedetecteerd: 2
              C:\Users\Gebruiker\AppData\Roaming\dclogs\2013-07-12-6.dc (Stolen.Data) -> Succesvol in quarantaine geplaatst en verwijderd.
              C:\Users\Gebruiker\AppData\Roaming\dclogs\2013-07-13-7.dc (Stolen.Data) -> Succesvol in quarantaine geplaatst en verwijderd.

              (einde)
              • Citaat

              Comment

              • #8
                Voor de zekerheid deze scanner nog aub.

                Download de Emsisoft Emergency Kit naar het bureaublad.
                Klik hier voor de complete / uitgebreide handleiding van de Emsisoft Emergency Kit.
                • Dubbelklik op "EmsisoftEmergencyKit.exe", wanneer u een melding krijgt van het gebruikersaccountbeheer staat u dit toe.
                • Klik vervolgens op de knop "Accept & Extract" en de bestanden worden nu automatisch uitgepakt naar de systeemschijf "C:\EEK".
                • Wanneer het uitpakken gereed is wordt er een snelkoppeling op het bureaublad aangemaakt en zal de Emsisoft Emergency Kit vanzelf openen.
                • Klik nu op de optie "Emergency Kit Scanner" en wanneer u de melding "Wilt u nu updaten?" krijgt klikt u op "Ja".
                • Wanneer de update gereed is klikt u in het linker menu op de optie "Computer Scannen".
                • Kies vervolgens de optie "Diep", deze scan kan geruime tijd in beslag nemen en gebruik bij voorkeur de computer niet voor andere bezigheden tijdens de scan.
                • Wanneer de scan gereed is zorg dat alle items staan aangevinkt en klik op de knop "Quarantaine".
                • Klik vervolgens op de knop "Rapport bekijken" en plaats de inhoud van dit bestand in uw volgende bericht. (Het logbestand is teven terug te vinden op de systeemschijf (C:\EEK\Run\Reports) met de naam a2scan_130711-154142.txt

                Windows 10 opstarten in Veilige Modus
                • Citaat

                Comment

                • #9
                  Emsisoft scan results

                  Emsisoft Emergency Kit - Versie 4.0
                  Laatste Update: 16-7-2013 9:07:06
                  Gebruikersaccount: RONALD\Gebruiker

                  Scaninstellingen:

                  Scanmodus: Diepe scan
                  Objecten: Rootkits, Geheugen, Sporen, C:\, D:\, F:\, H:\

                  Detecteer riskware: Uit
                  Scan archieven: Aan
                  ADS Scan: Aan
                  Bestandsextensiefilter: Uit
                  Geavanceerde cache: Aan
                  Directe schijftoegang: Uit

                  Scan gestart: 16-7-2013 9:09:26
                  F:\- Software -\TuneUp Utilities.2012.v12.0.2110.9\keygen.rar -> keygen.exe Ontdekt: Worm.Generic.358067 (B)
                  F:\- Software -\TuneUp Utilities.2012.v12.0.2110.9\keygen\keygen.exe Ontdekt: Worm.Generic.358067 (B)

                  Gescand 455815
                  Gevonden 2

                  Scan geëindigd: 16-7-2013 10:32:03
                  Scantijd: 1:22:37

                  F:\- Software -\TuneUp Utilities.2012.v12.0.2110.9\keygen.rar In quarantaine geplaatst Worm.Generic.358067 (B)
                  F:\- Software -\TuneUp Utilities.2012.v12.0.2110.9\keygen\keygen.exe In quarantaine geplaatst Worm.Generic.358067 (B)

                  In quarantaine geplaatst 2

                  Opmerking: TuneUp Utilities is op mijn pc gezet door een kennis, een ICT'er, om mijn pc snel en schoon te houden. Ik heb het zelf eerlijk gezegd nog nooit gelanceerd. Mijn vraag: is "keygen.exe" hierboven de vermelde worm óf hoort "keygen.exe" bij het programma TuneUp Utilities en had de worm het (legitieme?) "keygen.exe" nu juist besmet? In ieder geval zal het programma na de verwijdering ervan niet meer werken, vermoed ik. Nogmaals ik heb het nooit gebruikt en zal het dus ook niet missen.
                  • Citaat

                  Comment

                  • #10
                    Lijkt me toch een illegale download in gebruik genomen met een keygen voor de activatie.
                    Het is verstandig om die te verwijderen.

                    Windows 10 opstarten in Veilige Modus
                    • Citaat

                    Comment

                    • #11
                      Ik heb TuneUp verwijderd. Er was geen uninstall file, ik heb de hele map naar de Prullenbak verplaatst en die geleegd. Is mijn pc nu weer veilig?
                      • Citaat

                      Comment

                      • #12
                        Doe nog deze stap:

                        Download "Delfix by Xplode"

                        Start de tool middels dubbelklik.
                        Zet nu vinkjes voor de volgende items:
                        • Activate UAC
                        • Remove disinfection tools
                        • Create registry backup
                        • Purge System Restore
                        • Reset system settings

                        Klik nu op "Run" en wacht geduldig tot de tool gereed is.


                        Om herbesmetting te vermijden, kan je deze tips eens nalezen:
                        Hoe voorkom ik een nieuwe infectie?
                        --

                        Windows 10 opstarten in Veilige Modus
                        • Citaat

                        Comment

                        • #13
                          Gedaan. Is nu alles ok?
                          • Citaat

                          Comment

                          • #14
                            Ja hoor.

                            Windows 10 opstarten in Veilige Modus
                            • Citaat

                            Comment

                            • #15
                              Fijn! Heel erg bedankt voor je tijd.
                              • Citaat

                              Comment

                              Vorige template Volgende
                              Sorry, you are not authorized to view this page
                              Working...
                              X