Mededeling

**Filthy rich** · 30-07-13, 17:59

Code:

HitmanPro 3.7.6.201
www.hitmanpro.com

   Computer name . . . . : RUUD-PC
   Windows . . . . . . . : 6.1.1.7601.X64/4
   User name . . . . . . : Ruud-PC\Ruud
   UAC . . . . . . . . . : Disabled
   License . . . . . . . : Free

   Scan date . . . . . . : 2013-07-30 18:43:38
   Scan mode . . . . . . : Normal
   Scan duration . . . . : 9m 49s
   Disk access mode  . . : Direct disk access (SRB)
   Cloud . . . . . . . . : Internet
   Reboot  . . . . . . . : No

   Threats . . . . . . . : 32
   Traces  . . . . . . . : 269

   Objects scanned . . . : 1.974.292
   Files scanned . . . . : 91.289
   Remnants scanned  . . : 545.633 files / 1.337.370 keys

Malware _____________________________________________________________________

   C:\Users\Ruud\Downloads\Setup.exe
      Size . . . . . . . : 231.608 bytes
      Age  . . . . . . . : 41.9 days (2013-06-18 20:26:26)
      Entropy  . . . . . : 7.9
      SHA-256  . . . . . : 7B1F3CE5C53B75E54170A52B2B7AF641424CBA9DDF7653D63223DBC6D8D53105
      RSA Key Size . . . : 2048
      Authenticode . . . : Valid
    > G Data . . . . . . : Gen:Variant.Adware.Hotbar.1
    > HitmanPro  . . . . : not-a-virus:HEUR:WebToolbar.Win32.Zango.heur
      Fuzzy  . . . . . . : 107.0

   C:\Windows\SysWOW64\FlashPlayerUpdateService.exe
      Size . . . . . . . : 163.328 bytes
      Age  . . . . . . . : 40.1 days (2013-06-20 17:05:14)
      Entropy  . . . . . : 6.4
      SHA-256  . . . . . : B2CAD8322DB85F67DB6EA074D00C2ED56CE1FA92952D07B70BAAC249FA18236D
      Product  . . . . . : Adobe® Flash® Player Update Service
      Publisher  . . . . : Adobe Systems Incorporated
      Description  . . . : Adobe® Flash® Player Update Service 11.6 r602
      Version  . . . . . : 11,6,602,180
      Copyright  . . . . : Copyright © 1996 Adobe Systems Incorporated
    > HitmanPro  . . . . : Trojan-Downloader.Win32.MultiDL.c
      Fuzzy  . . . . . . : 102.0

   C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
      Size . . . . . . . : 163.328 bytes
      Age  . . . . . . . : 337.1 days (2012-08-27 15:45:03)
      Entropy  . . . . . : 6.4
      SHA-256  . . . . . : B2CAD8322DB85F67DB6EA074D00C2ED56CE1FA92952D07B70BAAC249FA18236D
      Product  . . . . . : Adobe® Flash® Player Update Service
      Publisher  . . . . : Adobe Systems Incorporated
      Description  . . . : Adobe® Flash® Player Update Service 11.6 r602
      Version  . . . . . : 11,6,602,180
      Copyright  . . . . : Copyright © 1996 Adobe Systems Incorporated
      Service  . . . . . : AdobeFlashPlayerUpdateSvc
      Parent Name  . . . : C:\Windows\system32\services.exe
      Running processes  : 1968
    > HitmanPro  . . . . : Trojan-Downloader.Win32.MultiDL.c
      Fuzzy  . . . . . . : 107.0
      Startup
         C:\Windows\Tasks\Adobe Flash Player Updater.job
         HKLM\SYSTEM\CurrentControlSet\Services\AdobeFlashPlayerUpdateSvc\


Suspicious files ____________________________________________________________

   C:\Users\Ruud\AppData\Local\PunkBuster\FC3\pb\pbcl.dll
      Size . . . . . . . : 953.886 bytes
      Age  . . . . . . . : 204.0 days (2013-01-07 19:51:55)
      Entropy  . . . . . : 7.6
      SHA-256  . . . . . : 6D5E2CD4A7A43EB00B600BA783AD3BEE6B817C030A40600D40367173A6ECEB13
      Fuzzy  . . . . . . : 29.0
         The .reloc (relocation) section in this program contains code. This is an indication of malware infection.
         Entropy (or randomness) indicates the program is encrypted, compressed or obfuscated. This is not typical for most programs.
         Authors name is missing in version info. This is not common to most programs.
         Version control is missing. This file is probably created by an individual. This is not typical for most programs.
         Program contains PE structure anomalies. This is not typical for most programs.

   C:\Users\Ruud\AppData\Local\PunkBuster\FC3\pb\pbcls.dll
      Size . . . . . . . : 953.886 bytes
      Age  . . . . . . . : 204.0 days (2013-01-07 19:51:55)
      Entropy  . . . . . : 7.6
      SHA-256  . . . . . : 6D5E2CD4A7A43EB00B600BA783AD3BEE6B817C030A40600D40367173A6ECEB13
      Fuzzy  . . . . . . : 29.0
         The .reloc (relocation) section in this program contains code. This is an indication of malware infection.
         Entropy (or randomness) indicates the program is encrypted, compressed or obfuscated. This is not typical for most programs.
         Authors name is missing in version info. This is not common to most programs.
         Version control is missing. This file is probably created by an individual. This is not typical for most programs.
         Program contains PE structure anomalies. This is not typical for most programs.

   C:\Users\Ruud\AppData\Local\PunkBuster\FC3\pb\PnkBstrK.sys
      Size . . . . . . . : 138.032 bytes
      Age  . . . . . . . : 204.0 days (2013-01-07 19:52:15)
      Entropy  . . . . . : 7.8
      SHA-256  . . . . . : ABAF3FACF01E10E4C685F79C3B9E5D2118B3CF8629C4277EBE035B2A10474148
      RSA Key Size . . . : 2048
      Authenticode . . . : Valid
      Fuzzy  . . . . . . : 22.0
         The .reloc (relocation) section in this program contains code. This is an indication of malware infection.
         Entropy (or randomness) indicates the program is encrypted, compressed or obfuscated. This is not typical for most programs.
         Authors name is missing in version info. This is not common to most programs.
         Version control is missing. This file is probably created by an individual. This is not typical for most programs.
         Program contains PE structure anomalies. This is not typical for most programs.
         The file is a device driver. Device drivers run as trusted (highly privileged) code.
         Program is code signed with a valid Authenticode certificate.

   C:\Users\Ruud\Desktop\Afstuderen\Stick 1\BBESTEK\3.05\AOT\BBestek.305\Export\WINNT\system32\WSpell.ocx
      Size . . . . . . . : 119.344 bytes
      Age  . . . . . . . : 68.4 days (2013-05-23 08:47:44)
      Entropy  . . . . . : 6.2
      SHA-256  . . . . . : 5D893132C0D82A7F8C4467C674E1922C2E61F6F6D4DFFB2372742FD6990C1B11
      Product  . . . . . : WSpell ActiveX Spelling Checker Control
      Publisher  . . . . : Wintertree Software Inc.
      Description  . . . : WSpell ActiveX Spelling Checker Control
      Version  . . . . . : 5.5.0.0
      Copyright  . . . . : Copyright (C) 1998 Wintertree Software Inc.
      RSA Key Size . . . : 512
      Authenticode . . . : Invalid
      Fuzzy  . . . . . . : 41.0
         Program is code signed with a weak certificate. This is common to malware.
         Program is altered or corrupted since it was code signed by its author. This is typical for malware and pirated software.

   C:\Users\Ruud\Desktop\Afstuderen\Stick 1\BBESTEK\3.05\WSpell.ocx
      Size . . . . . . . : 119.344 bytes
      Age  . . . . . . . : 68.4 days (2013-05-23 08:47:37)
      Entropy  . . . . . : 6.2
      SHA-256  . . . . . : 5D893132C0D82A7F8C4467C674E1922C2E61F6F6D4DFFB2372742FD6990C1B11
      Product  . . . . . : WSpell ActiveX Spelling Checker Control
      Publisher  . . . . : Wintertree Software Inc.
      Description  . . . : WSpell ActiveX Spelling Checker Control
      Version  . . . . . : 5.5.0.0
      Copyright  . . . . : Copyright (C) 1998 Wintertree Software Inc.
      RSA Key Size . . . : 512
      Authenticode . . . : Invalid
      Fuzzy  . . . . . . : 41.0
         Program is code signed with a weak certificate. This is common to malware.
         Program is altered or corrupted since it was code signed by its author. This is typical for malware and pirated software.

   C:\Users\Ruud\Desktop\Autocad & Revit\BBESTEK\3.05\AOT\BBestek.305\Export\WINNT\system32\WSpell.ocx
      Size . . . . . . . : 119.344 bytes
      Age  . . . . . . . : 159.1 days (2013-02-21 16:29:58)
      Entropy  . . . . . : 6.2
      SHA-256  . . . . . : 5D893132C0D82A7F8C4467C674E1922C2E61F6F6D4DFFB2372742FD6990C1B11
      Product  . . . . . : WSpell ActiveX Spelling Checker Control
      Publisher  . . . . : Wintertree Software Inc.
      Description  . . . : WSpell ActiveX Spelling Checker Control
      Version  . . . . . : 5.5.0.0
      Copyright  . . . . : Copyright (C) 1998 Wintertree Software Inc.
      RSA Key Size . . . : 512
      Authenticode . . . : Invalid
      Fuzzy  . . . . . . : 41.0
         Program is code signed with a weak certificate. This is common to malware.
         Program is altered or corrupted since it was code signed by its author. This is typical for malware and pirated software.

   C:\Users\Ruud\Desktop\Autocad & Revit\BBESTEK\3.05\WSpell.ocx
      Size . . . . . . . : 119.344 bytes
      Age  . . . . . . . : 159.1 days (2013-02-21 16:29:53)
      Entropy  . . . . . : 6.2
      SHA-256  . . . . . : 5D893132C0D82A7F8C4467C674E1922C2E61F6F6D4DFFB2372742FD6990C1B11
      Product  . . . . . : WSpell ActiveX Spelling Checker Control
      Publisher  . . . . : Wintertree Software Inc.
      Description  . . . : WSpell ActiveX Spelling Checker Control
      Version  . . . . . : 5.5.0.0
      Copyright  . . . . : Copyright (C) 1998 Wintertree Software Inc.
      RSA Key Size . . . : 512
      Authenticode . . . : Invalid
      Fuzzy  . . . . . . : 41.0
         Program is code signed with a weak certificate. This is common to malware.
         Program is altered or corrupted since it was code signed by its author. This is typical for malware and pirated software.

   C:\Windows\SysWOW64\WSpell.ocx
      Size . . . . . . . : 119.344 bytes
      Age  . . . . . . . : 168.3 days (2013-02-12 10:50:47)
      Entropy  . . . . . : 6.2
      SHA-256  . . . . . : 5D893132C0D82A7F8C4467C674E1922C2E61F6F6D4DFFB2372742FD6990C1B11
      Product  . . . . . : WSpell ActiveX Spelling Checker Control
      Publisher  . . . . : Wintertree Software Inc.
      Description  . . . : WSpell ActiveX Spelling Checker Control
      Version  . . . . . : 5.5.0.0
      Copyright  . . . . : Copyright (C) 1998 Wintertree Software Inc.
      RSA Key Size . . . : 512
      Authenticode . . . : Invalid
      Fuzzy  . . . . . . : 43.0
         Program is code signed with a weak certificate. This is common to malware.
         Program is altered or corrupted since it was code signed by its author. This is typical for malware and pirated software.
         The file is located in a folder that contains core operating system files from Windows. This is not typical for most programs and is only common to system tools, drivers and hacking utilities.


Cookies _____________________________________________________________________

   C:\Users\Ruud\AppData\Local\Google\Chrome\User Data\Default\Cookies:atdmt.com
   C:\Users\Ruud\AppData\Local\Google\Chrome\User Data\Default\Cookies:c1.atdmt.com
   C:\Users\Ruud\AppData\Local\Google\Chrome\User Data\Default\Cookies:doubleclick.net
   C:\Users\Ruud\AppData\Local\Google\Chrome\User Data\Default\Cookies:eas.apm.emediate.eu
   C:\Users\Ruud\AppData\Local\Google\Chrome\User Data\Default\Cookies:microsoftsto.112.2o7.net

ps usc disable ik zelf altijd

**Juisterr** · 30-07-13, 18:33

Download zoek.exe naar het bureaublad.

Schakel je antivirus- en antispywareprogramma's uit, mogelijk kunnen ze conflicteren met zoek.exe
(hier of hier) kan je lezen hoe je de gebruikte beveiligingssoftware kunt uitschakelen.
Dubbelklik op Zoek.exe om de tool te starten.
Windows Vista, 7 en 8 gebruikers dienen de tool als "administrator" uit te voeren door middel van de rechtermuisknop en kiezen voor Als Administrator uitvoeren.
Kopieer nu onderstaande code en plak die in het grote invulvenster:
Note: Dit script is speciaal bedoeld voor deze PC, gebruik dit dan ook niet op andere PC's met een gelijkwaardig probleem.
Code:
```
emptyclsid;
firefoxlook; 
Chromelook; 
autoclean; 
iedefaults;
```
Klik nu op de knop "Run script".
Wacht nu geduldig af tot er een logje opent (dit kan na een herstart zijn als deze benodigd is).
Mocht na de herstart geen logje verschijnen, start zoek.exe dan opnieuw, de log verschijnt dan alsnog.
Post het geopende logje in het volgende bericht als bijlage.

**Filthy rich** · 30-07-13, 20:23

log zoek

Bijgevoegde Bestanden

zoek.txt (1,5 KB, 116 keer bekeken)

**Juisterr** · 30-07-13, 20:31

Een bijzonder kort logje.

Download AdwCleaner by Xplode naar het bureaublad.

Sluit alle openstaande vensters.
Dubbelklik op AdwCleaner om hem te starten.
Klik vervolgens op Verwijderen.
Klik bij AdwCleaner – Informatie op OK
Klik bij AdwCleaner – Herstarten Noodzakelijk op OK

Dat tijdens de actie de snelkoppelingen verdwijnen, is normaal.
Nadat de PC opnieuw is opgestart, opent een logfile.
Post aansluitend de inhoud van dit log in je volgende bericht als bijlage.

**Filthy rich** · 30-07-13, 20:42

Is dat positief of negatief?:P

Deze is ook niet al te lang volgens mij...
Overigens had malware bytes 30 bedreigingen verwijderd.

Bijgevoegde Bestanden

adw.txt (945 Bytes, 87 keer bekeken)

**Juisterr** · 30-07-13, 20:44

Goed hoor, netjes. Volgens mij allemaal goed. Wil je dat logje van Mbam even plaatsen.

**Filthy rich** · 30-07-13, 20:50

Het zijn er 2, een snelle scan en een uitgebreide

Bijgevoegde Bestanden

**Juisterr** · 30-07-13, 20:58

Update mbam en doe een nieuwe uitgebreide scan en verwijder alles wat het vind en start opnieuw op. Vertel dan even hoe het gaat.

**Filthy rich** · 30-07-13, 22:26

lijkt goed te gaan... maar weet niet of dat bestand nu een virus was of niet omdat het van adobe lijkt te komen, maar elders op internet staat dat het een virus is. Maar goed hij lijkt niks meer te vinden.

Bijgevoegde Bestanden

mbam-log-2013-07-30 (22-01-06)333.txt (2,2 KB, 82 keer bekeken)

**Juisterr** · 31-07-13, 09:50

Op het net vind je relevante en niet relevante opmerkingen hierover.
Ik houd het liever op mijn eigen bevindingen.

Computer is volgens mij schoon.

Download Delfix by Xplode naar het bureaublad.

Dubbelklik op Delfix.exe om de tool te starten.
Zet nu vinkjes voor de volgende items:

Activate UAC
Remove disinfection tools
Create registry backup
Purge System Restore
Reset system settings

Klik nu op "Run" en wacht geduldig tot de tool gereed is.
Wanneer de tool gereed is wordt er een logbestand aangemaakt. Dit hoeft u echter niet te plaatsen.

**Filthy rich** · 31-07-13, 12:31

Oke, gedaan. Als dat t laatste was mag de thread wat mij betreft op opgelost.

En wederom bedankt natuurlijk

Mededeling

SYSWOW64 VIRUS? (flash player?)

SYSWOW64 VIRUS? (flash player?)

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment