Bundespolizei virus

xa4esq · 22 mrt 2012

Dag,
Mijn vrouw zit ook met dat Bundespolizei virus opgescheept.
Ik heb het stappenplan uitgevoerd.
Hieronder vindt u de HiJack log.
Vriendelijk bedankt indien iemand me verder kan helpen.

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 10:49:25, on 22/03/2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17055)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Hotmail, Messenger, nieuws en entertainment vind je op MSN.nl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Hotmail, Messenger, nieuws en entertainment vind je op MSN.nl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O4 - HKLM\..\Run: [DrvLsnr] C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [avast] "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: OpenOffice.org 3.0 .lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://tky09.celartem.com/en/download/data/djvu_autoinstall/DjVuControl_en_US.cab
O22 - SharedTaskScheduler: Preloader van browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Cache-daemon voor onderdeelcategorieën - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\AVAST Software\Avast\AvastSvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 4255 bytes

swake · 22 mrt 2012

Welkom xa4esq bij Pctuts, en we zullen jou van de Bundespolizei verlossen.
Ik zie dat je de computer nog kan opstarten in veilige modus met netwerkmogelijkheden, wil je daarom deze stappen uitvoeren.
In het HijackThis log zie ik niets verdachts, maar zie wel dat er bepaalde software niet Up to date is, die beveiligingslekken bevatten. Waarschijnlijk is via die lekken het virus op de computer binnengeslopen.

1.

Download DDS naar je bureaublad via deze locaties.
DDS Bleeping Computer
DDS Bleeping Computer

DDS is een diagnose tooltje dat gebruik maakt van scripts. Schakel daarom eerst je beveiligingssoftware uit vooraleer DDS te gebruiken.
Dubbelklik op DDS om het tooltje te starten.
Hierna zal DDS twee logfiles openen :
- DDS.txt
- Attach.txt

Er zal gevraagd worden om de logjes op te slaan. Wanneer de logjes niet worden opgeslagen worden ze niet automatisch bewaard. Sla de logjes ergens op een locatie van je harde schijf op waar je ze snel terugvind, of sla ze eventueel op het bureaublad op.

2.

Download hier of hier MalwareBytes Anti-Malware naar je bureaublad.

Dubbelklik op mbam-setup.exe om het programma te installeren.
Zorg ervoor dat na installatie deze opties aangevinkt zijn:
Update MalwareBytes' Anti-Malware
Start MalwareBytes' Anti-Malware
Klik daarna op Voltooien.

Als er een een update gevonden wordt, zal deze gedownload en geïnstalleerd worden.

Als er gevraagd word of je de "Evaluatie wil starten" mag je deze weigeren, en kun je later nog inschakelen wanneer je hier gebruik wilt van maken.
Zodra het programma gestart is, klik op het tabblad "Instellingen".
Vink hier aan: "Sluit Internet Explorer tijdens verwijdering van malware".
Klik dan op het tabblad "Scanner", kies hier voor "Volledige scan".
Klik vervolgens op "Scannen" om de scan te starten.
Het scannen kan een tijdje duren, dus wees geduldig.
Wanneer de scan klaar is, klik op OK,en daarna "Bekijk Resultaten" om de resultaten te zien.
Zorg ervoor dat daar alles aangevinkt is, en klik dan op: "Verwijder geselecteerde".
Na het verwijderen zal een log openen .Wanneer gevraagd word om de computer opnieuw op te starten, sta je dit toe.

Het log wordt automatisch bewaard door MalwareBytes' Anti-Malware en kun je terugvinden door op de "Logbestanden" tab te klikken .

Als het dan lukt om de computer normaal op te starten, voeg dan bij een nieuw antwoord.

DDS log
Mbam MalwareBytes log
Een nieuw aangemaakt HijackThis log

xa4esq · 23 mrt 2012

Dank u wel voor uw snelle reactie, Swake.
Ik heb de DDS en Malwarebytes gerund en na heropstarten was alles in orde.
Dat had ik als onderdeel van het stappenplan ook al gedaan, maar toen was het virus er nog.
Hieronder de laatste logs van DDS, Mbam en Hijack.
Vriendelijke groeten,
Xa4

DDS (Ver_2011-08-26.01) - NTFSx86 NETWORK
Internet Explorer: 7.0.5730.13
Run by Administrator at 19:53:06 on 2012-03-22
Microsoft Windows XP Professional 5.1.2600.3.1252.31.1043.18.503.339 [GMT 1:00]
.
AV: avast! Antivirus *Enabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
============== Running Processes ===============
.
C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe
C:\WINDOWS\system32\svchost.exe -k netsvcs
svchost.exe
svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\ctfmon.exe
.
============== Pseudo HJT Report ===============
.
uStart Page = hxxp://www.google.be/
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: avast! WebRep: {8e5e2654-ad2d-48bf-ac2d-d17f00898d06} - c:\program files\avast software\avast\aswWebRepIE.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\java\jre6\bin\jp2ssv.dll
BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\program files\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
TB: avast! WebRep: {8e5e2654-ad2d-48bf-ac2d-d17f00898d06} - c:\program files\avast software\avast\aswWebRepIE.dll
uRun: [MSMSGS] "c:\program files\messenger\msmsgs.exe" /background
uRun: [ctfmon.exe] c:\windows\system32\ctfmon.exe
mRun: [DrvLsnr] c:\program files\analog devices\soundmax\DrvLsnr.exe
mRun: [IgfxTray] c:\windows\system32\igfxtray.exe
mRun: [HotKeysCmds] c:\windows\system32\hkcmd.exe
mRun: [NeroFilterCheck] c:\windows\system32\NeroCheck.exe
mRun: [SunJavaUpdateSched] "c:\program files\common files\java\java update\jusched.exe"
mRun: [<NO NAME>]
mRun: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
mRun: [Adobe Reader Speed Launcher] "c:\program files\adobe\reader 9.0\reader\Reader_sl.exe"
mRun: [Adobe ARM] "c:\program files\common files\adobe\arm\1.0\AdobeARM.exe"
mRun: [avast] "c:\program files\avast software\avast\avastUI.exe" /nogui
StartupFolder: c:\docume~1\admini~1\menust~1\progra~1\opstar~1\openof~1.lnk - c:\program files\openoffice.org 3\program\quickstart.exe
IE: E&xporteren naar Microsoft Excel - c:\progra~1\micros~2\office11\EXCEL.EXE/3000
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\program files\messenger\msmsgs.exe
DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} - hxxp://tky09.celartem.com/en/download/data/djvu_autoinstall/DjVuControl_en_US.cab
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - hxxp://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab
DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
TCP: DhcpNameServer = 192.168.0.1
TCP: Interfaces\{AC001099-1724-4910-A9B6-9EA6BEC5AB8E} : DhcpNameServer = 192.168.0.1
Notify: igfxcui - igfxsrvc.dll
SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll
.
============= SERVICES / DRIVERS ===============
.
S1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [2012-3-20 612184]
S1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [2012-3-20 337880]
S2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2012-3-20 20696]
S2 avast! Antivirus;avast! Antivirus;c:\program files\avast software\avast\AvastSvc.exe [2012-3-20 44768]
S2 wcaak;Installer Center;c:\windows\system32\svchost.exe -k netsvcs [2004-8-4 14336]
.
=============== Created Last 30 ================
.
2012-03-22 09:45:53 388608 ----a-w- C:\HijackThis.exe
2012-03-22 08:58:28 -------- d-----w- c:\documents and settings\administrator\application data\Malwarebytes
2012-03-22 08:58:21 -------- d-----w- c:\documents and settings\all users.windows\application data\Malwarebytes
2012-03-22 08:58:20 20464 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-03-22 08:58:20 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2012-03-22 08:57:15 9502424 ----a-w- C:\mbam--setup-1.60.1.1000.exe
2012-03-22 08:53:18 607260 ------r- C:\dds.com
2012-03-22 08:51:26 121207639 ----a-w- C:\kapersky-setup_9.0.0.722_22.03.2012_06-25.exe
2012-03-22 08:45:07 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-03-22 08:40:17 74761776 ----a-w- C:\avast_free_antivirus_setup.exe
2012-03-20 19:24:39 612184 ----a-w- c:\windows\system32\drivers\aswSnx.sys
2012-03-20 19:24:06 41184 ----a-w- c:\windows\avastSS.scr
2012-03-20 19:23:31 -------- d-----w- c:\program files\AVAST Software
2012-03-20 19:23:31 -------- d-----w- c:\documents and settings\all users.windows\application data\AVAST Software
2012-03-20 08:23:38 -------- d-----w- c:\documents and settings\administrator\application data\tajpfnpopqcjz
2012-03-13 08:02:23 -------- d-----w- c:\documents and settings\administrator\application data\MediaWmplay
2012-03-06 09:04:30 -------- d-----w- c:\documents and settings\administrator\application data\kodak
.
==================== Find3M ====================
.
.
============= FINISH: 19:53:48,48 ===============

Malwarebytes Anti-Malware 1.60.1.1000
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Databaseversie: v2012.03.22.04

Windows XP Service Pack 3 x86 NTFS (Veilige modus/netwerkmogelijkheden)
Internet Explorer 7.0.5730.13
Administrator :: ROLAND [administrator]

22/03/2012 19:58:21
mbam-log-2012-03-22 (19-58-21).txt

Scantype: Volledige scan
Ingeschakelde scanopties: Geheugen | Opstartitems | Register | Bestanden en mappen | Heuristiek/Extra | Heuristiek/Shuriken | PUP | PUM
Uitgeschakelde scanopties: P2P
Objecten gescand: 298346
Verstreken tijd: 37 minuut/minuten, 12 seconde

Geheugenprocessen gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)

Geheugenmodulen gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)

Registersleutels gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)

Registerwaarden gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)

Registerdata gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)

Mappen gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)

Bestanden gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)

(einde)

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 9:41:32, on 23/03/2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17055)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AVAST Software\Avast\AvastSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\Microsoft

Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start

Page = Google
R1 - HKLM\Software\Microsoft\Internet

Explorer\Main,Default_Page_URL =

Hotmail, Messenger, nieuws en entertainment vind je op MSN.nl
R1 - HKLM\Software\Microsoft\Internet

Explorer\Main,Default_Search_URL =

Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search

Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page

= Hotmail, Messenger, nieuws en entertainment vind je op MSN.nl
R0 - HKCU\Software\Microsoft\Internet

Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: AcroIEHelperStub -

{18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program

Files\Common

Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: avast! WebRep -

{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program

Files\AVAST Software\Avast\aswWebRepIE.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper -

{DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program

Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl -

{E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program

Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: avast! WebRep -

{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program

Files\AVAST Software\Avast\aswWebRepIE.dll
O4 - HKLM\..\Run: [DrvLsnr] C:\Program Files\Analog

Devices\SoundMAX\DrvLsnr.exe
O4 - HKLM\..\Run: [IgfxTray]

C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds]

C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [NeroFilterCheck]

C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program

Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck]

%systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program

Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common

Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [avast] "C:\Program Files\AVAST

Software\Avast\avastUI.exe" /nogui
O4 - HKCU\..\Run: [MSMSGS] "C:\Program

Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe]

C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: OpenOffice.org 3.0 .lnk = C:\Program

Files\OpenOffice.org 3\program\quickstart.exe
O8 - Extra context menu item: E&xporteren naar Microsoft Excel

- res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) -

{e2e2dd38-d088-4134-82b7-f2ba38496583} -

C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 -

{e2e2dd38-d088-4134-82b7-f2ba38496583} -

C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger -

{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program

Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -

{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program

Files\Messenger\msmsgs.exe
O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A}

(DjVuCtl Class) -

http://tky09.celartem.com/en/download/data/djvu_autoinstall/

DjVuControl_en_US.cab
O22 - SharedTaskScheduler: Preloader van browseui -

{438755C2-A8BA-11D1-B96B-00A0C90312E1} -

C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Cache-daemon voor

onderdeelcategorieën -

{8C7461EF-2B13-11d2-BE35-3078302C2030} -

C:\WINDOWS\system32\browseui.dll
O23 - Service: avast! Antivirus - AVAST Software - C:\Program

Files\AVAST Software\Avast\AvastSvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) -

Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent

Service (default)) - Analog Devices, Inc. - C:\Program

Files\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 4917 bytes

swake · 23 mrt 2012

Dat had ik als onderdeel van het stappenplan ook al gedaan, maar toen was het virus er nog.

Dag Xa4

Wil je in een volgend antwoord eens het logbestand plaatsen van Mbam MalwareBytes van
de vorige scan om eens te kijken wat er gevonden en verwijdert werd.

Start hijackThis en kies voor Do a system scan only en vink na de scan volgend item aan.

O4 - HKLM\..\Run: [KernelFaultCheck]%systemroot%\system32\dumprep 0 -k

Klik op Fix checked om het item te fixen.
Sluit hijackthis
Je gebruikt nog een verouderde Java versie die beveiligingslekken bevat. Het is via die lekken dat het
Bundespolizei virus op je computer raakt.
Verwijder daarom Java uit je softwarelijst Download en installeer hier Java(TM) 6 Update 31

Ik zie in de logjes dat je systeem hersteld is van een ernstige fout.
Wil je in de logboeken eens gaan kijken of hiervan iets terug te vinden is.
Hoe de logboeken raadplegen , kun je hier lezen.

Plaats in een nieuw antwoord nog eens een nieuw aangemaakt HijackThis log + het vorige log van Mbam MalwareBytes waarin te
te vinden is wat gevonden en verwijdert werd.
Alvast een leuk en zonnig weekend gewenst.

xa4esq · 24 mrt 2012

Dag Swake,
Bedankt voor al de moeite.
'k Heb uw laatste aanwijzingen gevolgd en hieronder staan de resultaten.
Nu toch een beetje van het mooie weer profiteren en in de tuin werken.
Vriendelijke groeten.

1. log van eerste Mbam scan :
Malwarebytes Anti-Malware 1.60.1.1000
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Databaseversie: v2012.03.22.02

Windows XP Service Pack 3 x86 NTFS (Veilige modus/netwerkmogelijkheden)
Internet Explorer 7.0.5730.13
Administrator :: ROLAND [administrator]

22/03/2012 10:01:32
mbam-log-2012-03-22 (10-01-32).txt

Scantype: Volledige scan
Ingeschakelde scanopties: Geheugen | Opstartitems | Register | Bestanden en mappen | Heuristiek/Extra | Heuristiek/Shuriken | PUP | PUM
Uitgeschakelde scanopties: P2P
Objecten gescand: 298189
Verstreken tijd: 36 minuut/minuten, 8 seconde

Geheugenprocessen gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)

Geheugenmodulen gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)

Registersleutels gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)

Registerwaarden gedetecteerd: 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|6076 (Trojan.Downloader) -> Data: C:\DOCUME~1\ALLUSE~1.WIN\LOCALS~1\Temp\msdubmn.com -> Zal worden verwijderd tijdens het herstarten.

Registerdata gedetecteerd: 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL|CheckedValue (PUM.Hijack.System.Hidden) -> Slecht: (0) Goed: (1) -> Succesvol in quarantaine geplaatst en gerepareerd.

Mappen gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)

Bestanden gedetecteerd: 2
C:\System Volume Information\_restore{E90D351F-60CF-4BBB-898C-D9846A6DF904}\RP1100\A0036660.dll (Worm.Downadup) -> Succesvol in quarantaine geplaatst en verwijderd.
C:\Documents and Settings\All Users.WINDOWS\Local Settings\Temp\msdubmn.com (Trojan.Downloader) -> Succesvol in quarantaine geplaatst en verwijderd.

(einde)

2. O4 - HKLM\..\Run: [KernelFaultCheck]%systemroot%\system32\dumprep 0 -k
is gefixed in HiJackThis

3. Java ge-updated via link

4. logjes bekeken. Er staan meldingen in vanaf 2 januari 2012.
- toepassingen: 22 & 21 maart : een aantal foutmeldingen bij "Application error"'s en "MsInstaller"
17/07/2010 tot 20 maart : heel veel "crypt32" fouten
- systeem : "SideBySide" en vooral "DCOM" fouten, een paar keer "System Control Manager" fouten
- bij Beveiliging en Internet Explorer staat niks

5. tot slot nog een HiJackThis scam waarvan log hieronder.
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 9:40:25, on 24/03/2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17055)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AVAST Software\Avast\AvastSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O4 - HKLM\..\Run: [DrvLsnr] C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [avast] "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: OpenOffice.org 3.0 .lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://tky09.celartem.com/en/download/data/djvu_autoinstall/DjVuControl_en_US.cab
O22 - SharedTaskScheduler: Preloader van browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Cache-daemon voor onderdeelcategorieën - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\AVAST Software\Avast\AvastSvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 4949 bytes

swake · 24 mrt 2012

Downlod hier of
hier ComboFix naar je bureaublad. Zeer belangrijk omdat ComboFix vanop het bureaublad moet uitgevoerd worden !!!

Lees hier hoe ComboFix te gebruiken.

Bij het gebruik van ComboFix schakel eerst je antivirus en antispyware software tijdelijk uit, daar deze conflicten kunnen veroorzaken
bij het gebruik van ComboFix.
Het kan gebeuren dat de computer meerdere malen opnieuw zal opstarten, dit is normaal.
Dubbelklik op Combofix.exe om de tool te starten.
ComboFix zal controleren of dat de Microsoft Windows Recovery Console reeds is geïnstalleerd.

Let op: Als de Microsoft Windows Recovery Console al is geïnstalleerd, dan krijg je de volgende schermen niet te zien en zal ComboFix automatisch verder gaan met het scannen naar malware.

Volg de meldingen die op het beeldscherm kunnen verschijnen, om ComboFix de Microsoft Windows Recovery Console te laten downloaden en installeren.
Als er een melding verschijnt ComboFix heeft de Microsoft Windows Recovery Console succesvol heeft geïnstalleerd, klik op Ja om verder te scannen naar malware.
Tijdens het gebruik van ComboFix mag er niets uitgevoerd worden met de computer. Ga ook nergens klikken met de muisknoppen, daar dit ComboFix kan laten vastlopen.

Noot !!! Als er een error verschijnt met de melding Illegal operation attempted on a registery key that has been marked for deletion. herstart dan de computer.

Als ComboFix klaar is , zal het het een logbestand maken. Voeg de inhoud van dit logbestand (te vinden als C:\ComboFix.txt) in een nieuw antwoord , alsook een nieuw aangemaakt HijackThis log.

xa4esq · 26 mrt 2012

Dag Swake,
Hieronder het logbestand van Combofix en daarna nog eentje van HiJackThis.
Zo te zien is alles nu wel in orde.
Hartelijk bedankt en groeten,
Xa4

ComboFix 12-03-26.01 - Administrator 26/03/2012 14:05:12.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.31.1043.18.503.193 [GMT 2:00]
Gestart vanuit: c:\documents and settings\Administrator\Bureaublad\ComboFix.exe
.
.
(((((((((((((((((((((((((((((((((( Andere Verwijderingen )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\Administrator\Menu Start\Programma's\Opstarten\OpenOffice.org 3.0 .lnk
c:\windows\system32\dllcache\dlimport.exe
c:\windows\system32\msssc.dll
.
.
(((((((((((((((((((( Bestanden Gemaakt van 2012-02-26 to 2012-03-26 ))))))))))))))))))))))))))))))
.
.
2012-03-26 07:04 . 2012-03-26 07:04 -------- d-----w- C:\avast! sandbox
2012-03-24 08:01 . 2012-03-24 08:01 -------- d-----w- C:\backups
2012-03-22 09:45 . 2012-03-22 09:45 388608 ----a-w- C:\HijackThis.exe
2012-03-22 08:58 . 2012-03-22 08:58 -------- d-----w- c:\documents and settings\Administrator\Application Data\Malwarebytes
2012-03-22 08:58 . 2012-03-22 08:58 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\Malwarebytes
2012-03-22 08:58 . 2012-03-24 07:58 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2012-03-22 08:58 . 2011-12-10 14:24 20464 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-03-22 08:57 . 2012-03-22 08:57 9502424 ----a-w- C:\mbam--setup-1.60.1.1000.exe
2012-03-22 08:53 . 2012-03-22 08:53 607260 ------r- C:\dds.com
2012-03-22 08:51 . 2012-03-22 08:51 121207639 ----a-w- C:\kapersky-setup_9.0.0.722_22.03.2012_06-25.exe
2012-03-22 08:45 . 2012-03-22 08:45 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-03-22 08:40 . 2012-03-22 08:40 74761776 ----a-w- C:\avast_free_antivirus_setup.exe
2012-03-20 19:23 . 2012-03-26 07:46 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\AVAST Software
2012-03-20 19:23 . 2012-03-20 19:23 -------- d-----w- c:\program files\AVAST Software
2012-03-20 08:23 . 2012-03-20 08:23 -------- d-----w- c:\documents and settings\Administrator\Application Data\tajpfnpopqcjz
2012-03-13 08:02 . 2012-03-13 10:12 -------- d-----w- c:\documents and settings\Administrator\Application Data\MediaWmplay
2012-03-06 09:04 . 2012-03-06 09:04 -------- d-----w- c:\documents and settings\Administrator\Application Data\kodak
.
.
.
((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-03-25 09:18 . 2012-03-25 09:18 23913606 ----a-w- C:\PureKnts.zip
2012-03-24 08:05 . 2008-12-09 18:03 73728 ----a-w- c:\windows\system32\javacpl.cpl
2012-03-24 08:05 . 2010-07-27 17:49 472808 ----a-w- c:\windows\system32\deployJava1.dll
.
.
((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DrvLsnr"="c:\program files\Analog Devices\SoundMAX\DrvLsnr.exe" [2003-05-08 69632]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2005-06-21 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2005-06-21 126976]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-01-03 37296]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2012-01-18 254696]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Rosetta Stone\\Rosetta Stone Version 3\\support\\bin\\win\\RosettaStoneLtdServices.exe"=
"c:\\Program Files\\Rosetta Stone\\Rosetta Stone Version 3\\RosettaStoneVersion3.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"7802:TCP"= 7802:TCP:sbbwdpn
.
S2 wcaak;Installer Center;c:\windows\system32\svchost.exe -k netsvcs [4/08/2004 1:03 14336]
.
--- Andere Services/Drivers In Geheugen ---
.
*Deregistered* - avast! Antivirus
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
wcaak
.
Inhoud van de 'Gedeelde Taken' map
.
2010-11-08 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2009-04-28 20:18]
.
.
------- Bijkomende Scan -------
.
uStart Page = hxxp://www.google.be/
IE: E&xporteren naar Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.0.1
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2012-03-26 14:27
Windows 5.1.2600 Service Pack 3 NTFS
.
scannen van verborgen processen ...
.
scannen van verborgen autostart items ...
.
scannen van verborgen bestanden ...
.
Scan succesvol afgerond
verborgen bestanden: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\wcaak]
"ServiceDll"="c:\windows\system32\dpncyd.dll"
.
Voltooingstijd: 2012-03-26 14:30:23
ComboFix-quarantined-files.txt 2012-03-26 12:30
.
Pre-Run: 14.829.400.064 bytes beschikbaar
Post-Run: 15.583.797.248 bytes beschikbaar
.
WindowsXP-KB310994-SP2-Pro-BootDisk-NLD.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - A86863F091A90EDBFA0DF5042D7BD2ED

************

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 15:50:54, on 26/03/2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17055)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\explorer.exe
C:\HijackThis.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Hotmail, Messenger, nieuws en entertainment vind je op MSN.nl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Hotmail, Messenger, nieuws en entertainment vind je op MSN.nl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [DrvLsnr] C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://tky09.celartem.com/en/download/data/djvu_autoinstall/DjVuControl_en_US.cab
O22 - SharedTaskScheduler: Preloader van browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Cache-daemon voor onderdeelcategorieën - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 4274 bytes

xa4esq · 26 mrt 2012

Dag Swake,
Hieronder het logbestand van Combofix en daarna nog eentje van HiJackThis.
Zo te zien is alles nu wel in orde.
Hartelijk bedankt en groeten,
Xa4

ComboFix 12-03-26.01 - Administrator 26/03/2012 14:05:12.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.31.1043.18.503.193 [GMT 2:00]
Gestart vanuit: c:\documents and settings\Administrator\Bureaublad\ComboFix.exe
.
.
(((((((((((((((((((((((((((((((((( Andere Verwijderingen )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\Administrator\Menu Start\Programma's\Opstarten\OpenOffice.org 3.0 .lnk
c:\windows\system32\dllcache\dlimport.exe
c:\windows\system32\msssc.dll
.
.
(((((((((((((((((((( Bestanden Gemaakt van 2012-02-26 to 2012-03-26 ))))))))))))))))))))))))))))))
.
.
2012-03-26 07:04 . 2012-03-26 07:04 -------- d-----w- C:\avast! sandbox
2012-03-24 08:01 . 2012-03-24 08:01 -------- d-----w- C:\backups
2012-03-22 09:45 . 2012-03-22 09:45 388608 ----a-w- C:\HijackThis.exe
2012-03-22 08:58 . 2012-03-22 08:58 -------- d-----w- c:\documents and settings\Administrator\Application Data\Malwarebytes
2012-03-22 08:58 . 2012-03-22 08:58 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\Malwarebytes
2012-03-22 08:58 . 2012-03-24 07:58 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2012-03-22 08:58 . 2011-12-10 14:24 20464 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-03-22 08:57 . 2012-03-22 08:57 9502424 ----a-w- C:\mbam--setup-1.60.1.1000.exe
2012-03-22 08:53 . 2012-03-22 08:53 607260 ------r- C:\dds.com
2012-03-22 08:51 . 2012-03-22 08:51 121207639 ----a-w- C:\kapersky-setup_9.0.0.722_22.03.2012_06-25.exe
2012-03-22 08:45 . 2012-03-22 08:45 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-03-22 08:40 . 2012-03-22 08:40 74761776 ----a-w- C:\avast_free_antivirus_setup.exe
2012-03-20 19:23 . 2012-03-26 07:46 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\AVAST Software
2012-03-20 19:23 . 2012-03-20 19:23 -------- d-----w- c:\program files\AVAST Software
2012-03-20 08:23 . 2012-03-20 08:23 -------- d-----w- c:\documents and settings\Administrator\Application Data\tajpfnpopqcjz
2012-03-13 08:02 . 2012-03-13 10:12 -------- d-----w- c:\documents and settings\Administrator\Application Data\MediaWmplay
2012-03-06 09:04 . 2012-03-06 09:04 -------- d-----w- c:\documents and settings\Administrator\Application Data\kodak
.
.
.
((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-03-25 09:18 . 2012-03-25 09:18 23913606 ----a-w- C:\PureKnts.zip
2012-03-24 08:05 . 2008-12-09 18:03 73728 ----a-w- c:\windows\system32\javacpl.cpl
2012-03-24 08:05 . 2010-07-27 17:49 472808 ----a-w- c:\windows\system32\deployJava1.dll
.
.
((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DrvLsnr"="c:\program files\Analog Devices\SoundMAX\DrvLsnr.exe" [2003-05-08 69632]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2005-06-21 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2005-06-21 126976]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-01-03 37296]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2012-01-18 254696]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Rosetta Stone\\Rosetta Stone Version 3\\support\\bin\\win\\RosettaStoneLtdServices.exe"=
"c:\\Program Files\\Rosetta Stone\\Rosetta Stone Version 3\\RosettaStoneVersion3.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"7802:TCP"= 7802:TCP:sbbwdpn
.
S2 wcaak;Installer Center;c:\windows\system32\svchost.exe -k netsvcs [4/08/2004 1:03 14336]
.
--- Andere Services/Drivers In Geheugen ---
.
*Deregistered* - avast! Antivirus
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
wcaak
.
Inhoud van de 'Gedeelde Taken' map
.
2010-11-08 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2009-04-28 20:18]
.
.
------- Bijkomende Scan -------
.
uStart Page = hxxp://www.google.be/
IE: E&xporteren naar Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.0.1
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2012-03-26 14:27
Windows 5.1.2600 Service Pack 3 NTFS
.
scannen van verborgen processen ...
.
scannen van verborgen autostart items ...
.
scannen van verborgen bestanden ...
.
Scan succesvol afgerond
verborgen bestanden: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\wcaak]
"ServiceDll"="c:\windows\system32\dpncyd.dll"
.
Voltooingstijd: 2012-03-26 14:30:23
ComboFix-quarantined-files.txt 2012-03-26 12:30
.
Pre-Run: 14.829.400.064 bytes beschikbaar
Post-Run: 15.583.797.248 bytes beschikbaar
.
WindowsXP-KB310994-SP2-Pro-BootDisk-NLD.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - A86863F091A90EDBFA0DF5042D7BD2ED

************

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 15:50:54, on 26/03/2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17055)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\explorer.exe
C:\HijackThis.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Hotmail, Messenger, nieuws en entertainment vind je op MSN.nl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Hotmail, Messenger, nieuws en entertainment vind je op MSN.nl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [DrvLsnr] C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://tky09.celartem.com/en/download/data/djvu_autoinstall/DjVuControl_en_US.cab
O22 - SharedTaskScheduler: Preloader van browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Cache-daemon voor onderdeelcategorieën - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 4274 bytes

swake · 26 mrt 2012

De computer was ook besmet met een wormpje.
Je mag nu volgende verwijderen van de computer.
DDS en bijhorende logbestanden.
Combofix
combofix verwijder je op deze manier.
Ga naar start > uitvoeren en type daar combofix /uninstall
Vergeet niet de spatie tussen combofix en /uninstall
Je gebruikt ook nog een verouderde versie van Internet Explorer. Download en installeer hier Internet Explorer 8
Om een nieuwe besmetting te voorkomen, lees http://www.pctuts.be/f306/preventietips-te-nemen-na-infectie-40981/hier nog wat nuttige tips.

Bundespolizei virus

xa4esq

swake

Niet meer actief

xa4esq

swake

Niet meer actief

xa4esq

swake

Niet meer actief

xa4esq

xa4esq

swake

Niet meer actief