Tweet
Ingesloten een 2-tal log reports: Malwarebytes en Combofix.
Deze zijn gemaakt nadat er handmatig een zeer groot aantal besmettingen is verwijderd.
Wat mij betreft: de categorie ernstige besmettingen.
Dat aantal was in de orde van ca. 53000 besmettingen.
Deze aantallen zijn opgespoord door Microsoft Securiy Essentials, liep daarbij vast;
Deze aantalen zijn op opgespoord door MalwareBytes, liep daarbij vast;
Combofix deed het bij deze aantallen ook niet lekker. Het programma kwam tot een regulier einde.
Vervolgens heb ik de mappen Quarantaine van Malware Bytes opgezocht en deze handmatig leeggemaakt (ca. 53.000 items instappen van maximaal 5.000 items) en Qoobex van Combofix opgezocht en deze handmatig leeggemaakt (eveneens ca. 53.000 items).
Daarna het systeem opnieuw opgestart en in deze volgorde gedraaid:
Combofix en vervolgens Malwarebytes (volledige scan);
De logfiles tonen nog enkele problemen,
Logfile Malwarebytes:
Malwarebytes Anti-Malware 1.75.0.1300
Databaseversie: v2013.07.10.02
Windows Vista Service Pack 1 x86 NTFS
Internet Explorer 7.0.6001.18000
Melanie :: PC_VAN_MELANIE [administrator]
10-7-2013 20:15:13
mbam-log-2013-07-10 (20-15-13).txt
Scan type: Snelle scan
Ingeschakelde scan opties: Geheugen | Opstartitems | Register | Bestanden en mappen | Heuristiek/Extra | Heuristiek/Shuriken | PUP | PUM
Uitgeschakelde scan opties: P2P
Objecten gescand: 215966
Verstreken tijd: 7 minuut/minuten, 40 seconde(n)
Geheugenprocessen gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)
Geheugenmodulen gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)
Registersleutels gedetecteerd: 9
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{f34c9277-6577-4dff-b2d7-7d58092f272f} (PUP.Datamngr) -> Geen actie ondernomen.
HKCR\AppID\{80EF304A-B1C4-425C-8535-95AB6F1EEFB8} (Trojan.BHO) -> Succesvol in quarantaine geplaatst en verwijderd.
HKCR\Typelib\{E0F01490-DCF3-4357-95AA-169A8C2B2190} (Trojan.BHO) -> Succesvol in quarantaine geplaatst en verwijderd.
HKCR\Interface\{17E44256-51E0-4D46-A0C8-44E80AB4BA5B} (Trojan.BHO) -> Succesvol in quarantaine geplaatst en verwijderd.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> Succesvol in quarantaine geplaatst en verwijderd.
HKCR\AppID\BHO_MyJavaCore.DLL (Trojan.BHO) -> Succesvol in quarantaine geplaatst en verwijderd.
HKCU\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Succesvol in quarantaine geplaatst en verwijderd.
HKCU\SOFTWARE\Microsoft\fias4051 (Malware.Trace) -> Succesvol in quarantaine geplaatst en verwijderd.
HKCU\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Succesvol in quarantaine geplaatst en verwijderd.
Registerwaarden gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)
Registerdata gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)
Mappen gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)
Bestanden gedetecteerd: 7
C:\Users\Melanie\Desktop\installer_itunes_8_1_1_10_(32_bits)_Nederlands_Dutch.exe (PUP.SmsPay.pns) -> Geen actie ondernomen.
C:\ProgramData\wigimogo\wigimogo.exe (Trojan.Downloader) -> Succesvol in quarantaine geplaatst en verwijderd.
C:\ProgramData\yofolufe\yofolufe.exe (Trojan.Downloader) -> Succesvol in quarantaine geplaatst en verwijderd.
C:\ProgramData\yujodiju\yujodiju.exe (Trojan.Downloader) -> Succesvol in quarantaine geplaatst en verwijderd.
C:\ProgramData\pegojehe\pegojehe.exe (Trojan.Downloader) -> Succesvol in quarantaine geplaatst en verwijderd.
C:\ProgramData\Microsoft\Media Index\svchos.exe (Trojan.FakeAlert) -> Succesvol in quarantaine geplaatst en verwijderd.
C:\ProgramData\Microsoft\Media Index\t.id (Malware.Trace) -> Succesvol in quarantaine geplaatst en verwijderd.
(einde)
Logfile Combofix
ComboFix 13-07-13.01 - Melanie 13-07-2013 18:26:58.4.2 - x86
Microsoft® Windows Vista™ Home Premium 6.0.6001.1.1252.31.1043.18.3070.1434 [GMT 2:00]
Gestart vanuit: c:\users\Melanie\Desktop\ComboFix.exe
AV: Microsoft Security Essentials *Enabled/Updated* {3F839487-C7A2-C958-E30C-E2825BA31FB5}
SP: Microsoft Security Essentials *Enabled/Updated* {84E27563-E198-C6D6-D9BC-D9F020245508}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((( Andere Verwijderingen )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
Besmet exemplaar van c:\windows\system32\userinit.exe werd aangetroffen en gedesinfecteerd
Hersteld exemplaar van - c:\windows\erdnt\cache\userinit.exe
.
.
(((((((((((((((((((( Bestanden Gemaakt van 2013-06-13 to 2013-07-13 ))))))))))))))))))))))))))))))
.
.
2013-07-13 16:36 . 2013-07-13 16:36 60872 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{B1F73C8F-B953-4A27-9C6B-4126B2FC0270}\offreg.dll
2013-07-13 16:35 . 2013-07-13 16:35 -------- d-----w- c:\users\Default\AppData\Local\temp
2013-07-13 07:05 . 2013-06-17 00:10 7068072 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{B1F73C8F-B953-4A27-9C6B-4126B2FC0270}\mpengine.dll
2013-07-11 07:49 . 2013-06-19 03:02 724464 ------w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\NISBackup\gapaengine.dll
2013-07-11 07:49 . 2013-06-19 03:02 724464 ------w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{F244DAB5-ECEC-4823-B772-094A29C99612}\gapaengine.dll
2013-07-11 07:47 . 2013-06-17 00:10 7068072 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2013-07-11 07:06 . 2013-07-11 07:07 -------- d-----w- c:\program files\Microsoft Security Client
2013-07-10 18:41 . 2013-07-10 18:41 692104 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2013-07-10 18:33 . 2013-07-10 18:33 -------- d-----w- c:\program files\CCleaner
2013-07-10 07:35 . 2013-07-10 07:35 -------- d-----w- c:\users\Melanie\AppData\Roaming\Malwarebytes
2013-07-10 07:35 . 2013-07-10 07:35 -------- d-----w- c:\programdata\Malwarebytes
2013-07-10 07:35 . 2013-04-04 12:50 22856 ----a-w- c:\windows\system32\drivers\mbam.sys
2013-07-10 07:35 . 2013-07-10 07:35 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2013-06-20 11:29 . 2013-06-20 11:29 -------- d-----w- C:\found.001
.
.
.
((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-07-10 18:41 . 2011-06-07 12:04 71048 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2013-06-12 04:18 . 2013-07-10 22:54 7068072 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{CC001500-7A41-4989-9017-81754FCCBB55}\mpengine.dll
2013-05-09 08:58 . 2011-07-17 21:17 229648 ----a-w- c:\windows\system32\aswBoot.exe
2013-05-02 15:28 . 2009-10-02 19:56 238872 ------w- c:\windows\system32\MpSigStub.exe
.
.
((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-21 1233920]
"TomTomHOME.exe"="c:\program files\TomTom HOME 2\TomTomHOMERunner.exe" [2010-06-24 247144]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2013-04-19 18678376]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="RtHDVCpl.exe" [2008-07-03 6266880]
"Skytel"="Skytel.exe" [2008-06-25 1826816]
"SynTPStart"="c:\program files\Synaptics\SynTP\SynTPStart.exe" [2007-08-31 102400]
"LaunchAp"="c:\program files\Launch Manager\LaunchAp.exe" [2007-09-01 32768]
"HotkeyApp"="c:\program files\Launch Manager\HotkeyApp.exe" [2007-09-06 188416]
"LMgrOSD"="c:\program files\Launch Manager\OSD.exe" [2006-12-26 180224]
"Wbutton"="c:\program files\Launch Manager\Wbutton.exe" [2007-09-07 86016]
"UCam_Menu"="c:\program files\HomeCinema\YouCam\MUITransfer\MUIStartMenu.exe" [2007-09-13 222504]
"OmniPass"="c:\program files\Softex\OmniPass\scureapp.exe" [2007-11-02 2564096]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-07-11 13543968]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-07-11 92704]
"MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2013-01-27 947152]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\SEARCH~1\Datamngr\datamngr.dll c:\progra~1\SEARCH~1\Datamngr\IEBHO.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux1"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
2005-06-06 21:46 57344 ----a-w- c:\program files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DATAMNGR]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IAAnotif]
2007-10-03 13:44 178712 ----a-w- c:\program files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IndexSearch]
2007-10-11 17:01 46368 ----a-w- c:\program files\ScanSoft\PaperPort\IndexSearch.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2011-06-07 15:51 421160 ----a-w- c:\program files\iTunes\iTunesHelper.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KiesHelper]
2011-06-24 13:54 941968 ----a-w- c:\program files\Samsung\Kies\KiesHelper.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KiesPDLR]
2011-06-24 13:54 20880 ----a-w- c:\program files\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KiesTrayAgent]
2011-06-24 13:54 3373968 ----a-w- c:\program files\Samsung\Kies\KiesTrayAgent.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
2001-06-08 13:29 147456 ------w- c:\windows\System32\NeroCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PaperPort PTD]
2007-10-11 17:03 29984 ----a-w- c:\program files\ScanSoft\PaperPort\pptd40nt.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PLFSetL]
2007-07-05 10:35 94208 ----a-w- c:\windows\PLFSetL.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PPort11reminder]
2007-08-31 07:01 328992 ----a-w- c:\program files\ScanSoft\PaperPort\Ereg\Ereg.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PWRISOVM.EXE]
2011-06-15 06:19 307200 ----a-w- c:\program files\PowerISO\PWRISOVM.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-11-29 15:38 421888 ----a-w- c:\program files\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSBkgdUpdate]
2006-10-25 07:03 210472 ----a-w- c:\program files\Common Files\ScanSoft Shared\SSBkgdUpdate\SSBkgdUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
2009-01-14 15:20 39408 ----a-w- c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\toolbar_eula_launcher]
2007-02-09 13:54 16896 ----a-w- c:\program files\GoogleEULA\EULALauncher.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Defender]
2008-01-21 02:23 1008184 ----a-w- c:\program files\Windows Defender\MSASCui.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
2013-06-22 15:34 1165776 ----a-w- c:\program files\Google\Chrome\Application\27.0.1453.116\Installer\chrmstp.exe
.
Inhoud van de 'Gedeelde Taken' map
.
2013-07-13 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2013-07-10 18:41]
.
2013-07-13 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-05-01 18:12]
.
2013-07-13 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-05-01 18:12]
.
.
------- Bijkomende Scan -------
.
uStart Page = hxxp://www.google.nl/
uInternet Settings,ProxyOverride = *.local
IE: Add to Video Converter... - c:\program files\Media Player Utilities 5.22\AVIConverter\grab.html
IE: E&xporteren naar Microsoft Excel - c:\progra~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.2.254
DPF: {34DC6011-88B5-4EA9-BA7A-DC7B4F4437FE} - hxxp://foto.hema.nl/ips-opdata/layout/hema/objects/jordan.cab
.
- - - - ORPHANS VERWIJDERD - - - -
.
MSConfigStartUp-uTorrent - c:\program files\uTorrent\uTorrent.exe
.
.
.
**************************************************************************
scannen van verborgen processen ...
.
scannen van verborgen autostart items ...
.
scannen van verborgen bestanden ...
.
Scan succesvol afgerond
verborgen bestanden:
.
**************************************************************************
.
--------------------- VERGRENDELDE REGISTER SLEUTELS ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- DLLs Geladen Onder Lopende Processen ---------------------
.
- - - - - - - > 'Explorer.exe'(2464)
c:\program files\Softex\OmniPass\SCUREDLL.dll
.
------------------------ Andere Aktieve Processen ------------------------
.
c:\windows\system32\nvvsvc.exe
c:\program files\Softex\OmniPass\OmniServ.exe
c:\program files\Microsoft Security Client\MsMpEng.exe
c:\windows\system32\rundll32.exe
c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
c:\program files\Common Files\Nero\Nero BackItUp 4\NBService.exe
c:\program files\CyberLink\Shared Files\RichVideo.exe
c:\program files\TomTom HOME 2\TomTomHOMEService.exe
c:\windows\system32\WUDFHost.exe
c:\program files\Microsoft Security Client\NisSrv.exe
c:\windows\system32\conime.exe
c:\windows\RtHDVCpl.exe
c:\program files\Softex\OmniPass\opvapp.exe
c:\windows\ehome\ehmsas.exe
c:\program files\Launch Manager\WisLMSvc.exe
.
**************************************************************************
.
Voltooingstijd: 2013-07-13 18:42:54 - machine werd herstart
ComboFix-quarantined-files.txt 2013-07-13 16:42
.
Pre-Run: 136.881.315.840 bytes beschikbaar
Post-Run: 137.052.528.640 bytes beschikbaar
.
- - End Of File - - F67717DFB9D592B6576B817B08A88ADF
5C616939100B85E558DA92B899A0FC36
Graag jullie deskundige reactie
groetjes
Gerard Roelands
Deze zijn gemaakt nadat er handmatig een zeer groot aantal besmettingen is verwijderd.
Wat mij betreft: de categorie ernstige besmettingen.
Dat aantal was in de orde van ca. 53000 besmettingen.
Deze aantallen zijn opgespoord door Microsoft Securiy Essentials, liep daarbij vast;
Deze aantalen zijn op opgespoord door MalwareBytes, liep daarbij vast;
Combofix deed het bij deze aantallen ook niet lekker. Het programma kwam tot een regulier einde.
Vervolgens heb ik de mappen Quarantaine van Malware Bytes opgezocht en deze handmatig leeggemaakt (ca. 53.000 items instappen van maximaal 5.000 items) en Qoobex van Combofix opgezocht en deze handmatig leeggemaakt (eveneens ca. 53.000 items).
Daarna het systeem opnieuw opgestart en in deze volgorde gedraaid:
Combofix en vervolgens Malwarebytes (volledige scan);
De logfiles tonen nog enkele problemen,
Logfile Malwarebytes:
Malwarebytes Anti-Malware 1.75.0.1300
Databaseversie: v2013.07.10.02
Windows Vista Service Pack 1 x86 NTFS
Internet Explorer 7.0.6001.18000
Melanie :: PC_VAN_MELANIE [administrator]
10-7-2013 20:15:13
mbam-log-2013-07-10 (20-15-13).txt
Scan type: Snelle scan
Ingeschakelde scan opties: Geheugen | Opstartitems | Register | Bestanden en mappen | Heuristiek/Extra | Heuristiek/Shuriken | PUP | PUM
Uitgeschakelde scan opties: P2P
Objecten gescand: 215966
Verstreken tijd: 7 minuut/minuten, 40 seconde(n)
Geheugenprocessen gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)
Geheugenmodulen gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)
Registersleutels gedetecteerd: 9
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{f34c9277-6577-4dff-b2d7-7d58092f272f} (PUP.Datamngr) -> Geen actie ondernomen.
HKCR\AppID\{80EF304A-B1C4-425C-8535-95AB6F1EEFB8} (Trojan.BHO) -> Succesvol in quarantaine geplaatst en verwijderd.
HKCR\Typelib\{E0F01490-DCF3-4357-95AA-169A8C2B2190} (Trojan.BHO) -> Succesvol in quarantaine geplaatst en verwijderd.
HKCR\Interface\{17E44256-51E0-4D46-A0C8-44E80AB4BA5B} (Trojan.BHO) -> Succesvol in quarantaine geplaatst en verwijderd.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> Succesvol in quarantaine geplaatst en verwijderd.
HKCR\AppID\BHO_MyJavaCore.DLL (Trojan.BHO) -> Succesvol in quarantaine geplaatst en verwijderd.
HKCU\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Succesvol in quarantaine geplaatst en verwijderd.
HKCU\SOFTWARE\Microsoft\fias4051 (Malware.Trace) -> Succesvol in quarantaine geplaatst en verwijderd.
HKCU\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Succesvol in quarantaine geplaatst en verwijderd.
Registerwaarden gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)
Registerdata gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)
Mappen gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)
Bestanden gedetecteerd: 7
C:\Users\Melanie\Desktop\installer_itunes_8_1_1_10_(32_bits)_Nederlands_Dutch.exe (PUP.SmsPay.pns) -> Geen actie ondernomen.
C:\ProgramData\wigimogo\wigimogo.exe (Trojan.Downloader) -> Succesvol in quarantaine geplaatst en verwijderd.
C:\ProgramData\yofolufe\yofolufe.exe (Trojan.Downloader) -> Succesvol in quarantaine geplaatst en verwijderd.
C:\ProgramData\yujodiju\yujodiju.exe (Trojan.Downloader) -> Succesvol in quarantaine geplaatst en verwijderd.
C:\ProgramData\pegojehe\pegojehe.exe (Trojan.Downloader) -> Succesvol in quarantaine geplaatst en verwijderd.
C:\ProgramData\Microsoft\Media Index\svchos.exe (Trojan.FakeAlert) -> Succesvol in quarantaine geplaatst en verwijderd.
C:\ProgramData\Microsoft\Media Index\t.id (Malware.Trace) -> Succesvol in quarantaine geplaatst en verwijderd.
(einde)
Logfile Combofix
ComboFix 13-07-13.01 - Melanie 13-07-2013 18:26:58.4.2 - x86
Microsoft® Windows Vista™ Home Premium 6.0.6001.1.1252.31.1043.18.3070.1434 [GMT 2:00]
Gestart vanuit: c:\users\Melanie\Desktop\ComboFix.exe
AV: Microsoft Security Essentials *Enabled/Updated* {3F839487-C7A2-C958-E30C-E2825BA31FB5}
SP: Microsoft Security Essentials *Enabled/Updated* {84E27563-E198-C6D6-D9BC-D9F020245508}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((( Andere Verwijderingen )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
Besmet exemplaar van c:\windows\system32\userinit.exe werd aangetroffen en gedesinfecteerd
Hersteld exemplaar van - c:\windows\erdnt\cache\userinit.exe
.
.
(((((((((((((((((((( Bestanden Gemaakt van 2013-06-13 to 2013-07-13 ))))))))))))))))))))))))))))))
.
.
2013-07-13 16:36 . 2013-07-13 16:36 60872 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{B1F73C8F-B953-4A27-9C6B-4126B2FC0270}\offreg.dll
2013-07-13 16:35 . 2013-07-13 16:35 -------- d-----w- c:\users\Default\AppData\Local\temp
2013-07-13 07:05 . 2013-06-17 00:10 7068072 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{B1F73C8F-B953-4A27-9C6B-4126B2FC0270}\mpengine.dll
2013-07-11 07:49 . 2013-06-19 03:02 724464 ------w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\NISBackup\gapaengine.dll
2013-07-11 07:49 . 2013-06-19 03:02 724464 ------w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{F244DAB5-ECEC-4823-B772-094A29C99612}\gapaengine.dll
2013-07-11 07:47 . 2013-06-17 00:10 7068072 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2013-07-11 07:06 . 2013-07-11 07:07 -------- d-----w- c:\program files\Microsoft Security Client
2013-07-10 18:41 . 2013-07-10 18:41 692104 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2013-07-10 18:33 . 2013-07-10 18:33 -------- d-----w- c:\program files\CCleaner
2013-07-10 07:35 . 2013-07-10 07:35 -------- d-----w- c:\users\Melanie\AppData\Roaming\Malwarebytes
2013-07-10 07:35 . 2013-07-10 07:35 -------- d-----w- c:\programdata\Malwarebytes
2013-07-10 07:35 . 2013-04-04 12:50 22856 ----a-w- c:\windows\system32\drivers\mbam.sys
2013-07-10 07:35 . 2013-07-10 07:35 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2013-06-20 11:29 . 2013-06-20 11:29 -------- d-----w- C:\found.001
.
.
.
((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-07-10 18:41 . 2011-06-07 12:04 71048 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2013-06-12 04:18 . 2013-07-10 22:54 7068072 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{CC001500-7A41-4989-9017-81754FCCBB55}\mpengine.dll
2013-05-09 08:58 . 2011-07-17 21:17 229648 ----a-w- c:\windows\system32\aswBoot.exe
2013-05-02 15:28 . 2009-10-02 19:56 238872 ------w- c:\windows\system32\MpSigStub.exe
.
.
((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-21 1233920]
"TomTomHOME.exe"="c:\program files\TomTom HOME 2\TomTomHOMERunner.exe" [2010-06-24 247144]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2013-04-19 18678376]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="RtHDVCpl.exe" [2008-07-03 6266880]
"Skytel"="Skytel.exe" [2008-06-25 1826816]
"SynTPStart"="c:\program files\Synaptics\SynTP\SynTPStart.exe" [2007-08-31 102400]
"LaunchAp"="c:\program files\Launch Manager\LaunchAp.exe" [2007-09-01 32768]
"HotkeyApp"="c:\program files\Launch Manager\HotkeyApp.exe" [2007-09-06 188416]
"LMgrOSD"="c:\program files\Launch Manager\OSD.exe" [2006-12-26 180224]
"Wbutton"="c:\program files\Launch Manager\Wbutton.exe" [2007-09-07 86016]
"UCam_Menu"="c:\program files\HomeCinema\YouCam\MUITransfer\MUIStartMenu.exe" [2007-09-13 222504]
"OmniPass"="c:\program files\Softex\OmniPass\scureapp.exe" [2007-11-02 2564096]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-07-11 13543968]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-07-11 92704]
"MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2013-01-27 947152]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\SEARCH~1\Datamngr\datamngr.dll c:\progra~1\SEARCH~1\Datamngr\IEBHO.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux1"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
2005-06-06 21:46 57344 ----a-w- c:\program files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DATAMNGR]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IAAnotif]
2007-10-03 13:44 178712 ----a-w- c:\program files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IndexSearch]
2007-10-11 17:01 46368 ----a-w- c:\program files\ScanSoft\PaperPort\IndexSearch.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2011-06-07 15:51 421160 ----a-w- c:\program files\iTunes\iTunesHelper.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KiesHelper]
2011-06-24 13:54 941968 ----a-w- c:\program files\Samsung\Kies\KiesHelper.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KiesPDLR]
2011-06-24 13:54 20880 ----a-w- c:\program files\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KiesTrayAgent]
2011-06-24 13:54 3373968 ----a-w- c:\program files\Samsung\Kies\KiesTrayAgent.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
2001-06-08 13:29 147456 ------w- c:\windows\System32\NeroCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PaperPort PTD]
2007-10-11 17:03 29984 ----a-w- c:\program files\ScanSoft\PaperPort\pptd40nt.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PLFSetL]
2007-07-05 10:35 94208 ----a-w- c:\windows\PLFSetL.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PPort11reminder]
2007-08-31 07:01 328992 ----a-w- c:\program files\ScanSoft\PaperPort\Ereg\Ereg.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PWRISOVM.EXE]
2011-06-15 06:19 307200 ----a-w- c:\program files\PowerISO\PWRISOVM.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-11-29 15:38 421888 ----a-w- c:\program files\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSBkgdUpdate]
2006-10-25 07:03 210472 ----a-w- c:\program files\Common Files\ScanSoft Shared\SSBkgdUpdate\SSBkgdUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
2009-01-14 15:20 39408 ----a-w- c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\toolbar_eula_launcher]
2007-02-09 13:54 16896 ----a-w- c:\program files\GoogleEULA\EULALauncher.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Defender]
2008-01-21 02:23 1008184 ----a-w- c:\program files\Windows Defender\MSASCui.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
2013-06-22 15:34 1165776 ----a-w- c:\program files\Google\Chrome\Application\27.0.1453.116\Installer\chrmstp.exe
.
Inhoud van de 'Gedeelde Taken' map
.
2013-07-13 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2013-07-10 18:41]
.
2013-07-13 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-05-01 18:12]
.
2013-07-13 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-05-01 18:12]
.
.
------- Bijkomende Scan -------
.
uStart Page = hxxp://www.google.nl/
uInternet Settings,ProxyOverride = *.local
IE: Add to Video Converter... - c:\program files\Media Player Utilities 5.22\AVIConverter\grab.html
IE: E&xporteren naar Microsoft Excel - c:\progra~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.2.254
DPF: {34DC6011-88B5-4EA9-BA7A-DC7B4F4437FE} - hxxp://foto.hema.nl/ips-opdata/layout/hema/objects/jordan.cab
.
- - - - ORPHANS VERWIJDERD - - - -
.
MSConfigStartUp-uTorrent - c:\program files\uTorrent\uTorrent.exe
.
.
.
**************************************************************************
scannen van verborgen processen ...
.
scannen van verborgen autostart items ...
.
scannen van verborgen bestanden ...
.
Scan succesvol afgerond
verborgen bestanden:
.
**************************************************************************
.
--------------------- VERGRENDELDE REGISTER SLEUTELS ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- DLLs Geladen Onder Lopende Processen ---------------------
.
- - - - - - - > 'Explorer.exe'(2464)
c:\program files\Softex\OmniPass\SCUREDLL.dll
.
------------------------ Andere Aktieve Processen ------------------------
.
c:\windows\system32\nvvsvc.exe
c:\program files\Softex\OmniPass\OmniServ.exe
c:\program files\Microsoft Security Client\MsMpEng.exe
c:\windows\system32\rundll32.exe
c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
c:\program files\Common Files\Nero\Nero BackItUp 4\NBService.exe
c:\program files\CyberLink\Shared Files\RichVideo.exe
c:\program files\TomTom HOME 2\TomTomHOMEService.exe
c:\windows\system32\WUDFHost.exe
c:\program files\Microsoft Security Client\NisSrv.exe
c:\windows\system32\conime.exe
c:\windows\RtHDVCpl.exe
c:\program files\Softex\OmniPass\opvapp.exe
c:\windows\ehome\ehmsas.exe
c:\program files\Launch Manager\WisLMSvc.exe
.
**************************************************************************
.
Voltooingstijd: 2013-07-13 18:42:54 - machine werd herstart
ComboFix-quarantined-files.txt 2013-07-13 16:42
.
Pre-Run: 136.881.315.840 bytes beschikbaar
Post-Run: 137.052.528.640 bytes beschikbaar
.
- - End Of File - - F67717DFB9D592B6576B817B08A88ADF
5C616939100B85E558DA92B899A0FC36
Graag jullie deskundige reactie
groetjes
Gerard Roelands
Comment