Gesloten
1
Pc getroffen door UKash virus.

Hierbij de gevraagde logjes.

Alvast bedankt!
1) Malwarebytes
Malwarebytes Anti-Malware 1.62.0.1300
http://www.malwarebytes.org" onclick="window.open(this.href);return false;

Databaseversie: v2012.07.03.05

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Administrator :: PC248 [administrator]

7/08/2012 16:12:36
mbam-log-2012-08-07 (16-12-36).txt

Scantype: Snelle scan
Ingeschakelde scanopties: Geheugen | Opstartitems | Register | Bestanden en mappen | Heuristiek/Extra | Heuristiek/Shuriken | PUP | PUM
Uitgeschakelde scanopties: P2P
Objecten gescand: 329663
Verstreken tijd: 14 minuut/minuten, 17 seconde(n)

Geheugenprocessen gedetecteerd: 2
C:\WINDOWS\system32\system\Mssvc.exe (Backdoor.ServUDaemon) -> 588 -> Zal worden verwijderd tijdens het herstarten.
C:\WINDOWS\system32\system\ms-java.exe (Backdoor.IRCBot) -> 1932 -> Zal worden verwijderd tijdens het herstarten.

Geheugenmodulen gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)

Registersleutels gedetecteerd: 2
HKLM\SYSTEM\CurrentControlSet\Services\Ms-java (Backdoor.IRCBot) -> Succesvol in quarantaine geplaatst en verwijderd.
HKLM\System\CurrentControlSet\Enum\Root\LEGACY_MS-JAVA (Backdoor.IRCBot) -> Succesvol in quarantaine geplaatst en verwijderd.

Registerwaarden gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)

Registerdata gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)

Mappen gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)

Bestanden gedetecteerd: 9
C:\WINDOWS\system32\system\firewall.bat (Trojan.OnlineGames) -> Succesvol in quarantaine geplaatst en verwijderd.
C:\WINDOWS\system32\system\giohack.bat (Trojan.OnlineGames) -> Succesvol in quarantaine geplaatst en verwijderd.
C:\WINDOWS\system32\system\kill.bat (Trojan.OnlineGames) -> Succesvol in quarantaine geplaatst en verwijderd.
C:\WINDOWS\system32\system\REC.bat (Trojan.OnlineGames) -> Succesvol in quarantaine geplaatst en verwijderd.
C:\WINDOWS\system32\system\run.bat (Trojan.OnlineGames) -> Succesvol in quarantaine geplaatst en verwijderd.
C:\Documents and Settings\sc1521\0.5727536907340294.exe (Trojan.Agent.Gen) -> Succesvol in quarantaine geplaatst en verwijderd.
C:\WINDOWS\system32\system\Mssvc.exe (Backdoor.ServUDaemon) -> Zal worden verwijderd tijdens het herstarten.
C:\WINDOWS\system32\system\convertxdccfile.exe (Backdoor.Iroffer) -> Succesvol in quarantaine geplaatst en verwijderd.
C:\WINDOWS\system32\system\ms-java.exe (Backdoor.IRCBot) -> Zal worden verwijderd tijdens het herstarten.

(einde)

2) Emsisoft Emergency Kit
Emsisoft Emergency Kit - Versie 2.0
Laatste Update: N/A

Scaninstellingen:

Scantype: Diepe scan
Objecten: Rootkits, Geheugen, Sporen, C:\
Scan archieven: Aan
ADS Scan: Aan

Scan gestart: 8/08/2012 8:13:25

C:\System Volume Information\_restore{2FF6B188-2E29-4077-A784-C8AFB9034EDC}\RP403\A0095342.exe Ontdekt: Riskware.RiskTool.Win32.HideExec!E2
C:\System Volume Information\_restore{2FF6B188-2E29-4077-A784-C8AFB9034EDC}\RP403\A0095345.exe Ontdekt: Trojan.Win32.Weelsof.AMN!E1
C:\System Volume Information\_restore{2FF6B188-2E29-4077-A784-C8AFB9034EDC}\RP403\A0095341.exe Ontdekt: Trojan.Hidewindows.C!E2
C:\System Volume Information\_restore{2FF6B188-2E29-4077-A784-C8AFB9034EDC}\RP403\A0095346.exe Ontdekt: Trojan.Win32.Weelsof.AMN!E1
C:\System Volume Information\_restore{2FF6B188-2E29-4077-A784-C8AFB9034EDC}\RP403\A0095347.exe Ontdekt: Trojan.Win32.Weelsof.AMN!E1
C:\System Volume Information\_restore{2FF6B188-2E29-4077-A784-C8AFB9034EDC}\RP403\A0095340.exe Ontdekt: Riskware.Client-IRC.Win32.mIRC!E2
C:\System Volume Information\_restore{2FF6B188-2E29-4077-A784-C8AFB9034EDC}\RP403\A0095350.PIF Ontdekt: Trojan.XdcBot.F!E2
C:\System Volume Information\_restore{2FF6B188-2E29-4077-A784-C8AFB9034EDC}\RP403\A0095339.dll Ontdekt: Backdoor.IRC.Flood!E2
C:\System Volume Information\_restore{2FF6B188-2E29-4077-A784-C8AFB9034EDC}\RP403\A0095349.ini Ontdekt: Backdoor.IRC.Zapchast!E2
C:\System Volume Information\_restore{2FF6B188-2E29-4077-A784-C8AFB9034EDC}\RP403\A0095351.reg Ontdekt: VBS.Small!E2
C:\System Volume Information\_restore{2FF6B188-2E29-4077-A784-C8AFB9034EDC}\RP403\A0095348.dll Ontdekt: Backdoor.IRC.Lambot.G!E2
C:\System Volume Information\_restore{2FF6B188-2E29-4077-A784-C8AFB9034EDC}\RP403\A0095352.exe Ontdekt: Riskware.NetTool.Win32.PsKill!E2

Gescand 553748
Gevonden 12

Scan geëindigd: 8/08/2012 10:26:16
Scantijd: 2:12:51

C:\System Volume Information\_restore{2FF6B188-2E29-4077-A784-C8AFB9034EDC}\RP403\A0095352.exe Verwijderd Riskware.NetTool.Win32.PsKill!E2
C:\System Volume Information\_restore{2FF6B188-2E29-4077-A784-C8AFB9034EDC}\RP403\A0095348.dll Verwijderd Backdoor.IRC.Lambot.G!E2
C:\System Volume Information\_restore{2FF6B188-2E29-4077-A784-C8AFB9034EDC}\RP403\A0095351.reg Verwijderd VBS.Small!E2
C:\System Volume Information\_restore{2FF6B188-2E29-4077-A784-C8AFB9034EDC}\RP403\A0095349.ini Verwijderd Backdoor.IRC.Zapchast!E2
C:\System Volume Information\_restore{2FF6B188-2E29-4077-A784-C8AFB9034EDC}\RP403\A0095339.dll Verwijderd Backdoor.IRC.Flood!E2
C:\System Volume Information\_restore{2FF6B188-2E29-4077-A784-C8AFB9034EDC}\RP403\A0095350.PIF Verwijderd Trojan.XdcBot.F!E2
C:\System Volume Information\_restore{2FF6B188-2E29-4077-A784-C8AFB9034EDC}\RP403\A0095340.exe Verwijderd Riskware.Client-IRC.Win32.mIRC!E2
C:\System Volume Information\_restore{2FF6B188-2E29-4077-A784-C8AFB9034EDC}\RP403\A0095341.exe Verwijderd Trojan.Hidewindows.C!E2
C:\System Volume Information\_restore{2FF6B188-2E29-4077-A784-C8AFB9034EDC}\RP403\A0095345.exe Verwijderd Trojan.Win32.Weelsof.AMN!E1
C:\System Volume Information\_restore{2FF6B188-2E29-4077-A784-C8AFB9034EDC}\RP403\A0095346.exe Verwijderd Trojan.Win32.Weelsof.AMN!E1
C:\System Volume Information\_restore{2FF6B188-2E29-4077-A784-C8AFB9034EDC}\RP403\A0095347.exe Verwijderd Trojan.Win32.Weelsof.AMN!E1
C:\System Volume Information\_restore{2FF6B188-2E29-4077-A784-C8AFB9034EDC}\RP403\A0095342.exe Verwijderd Riskware.RiskTool.Win32.HideExec!E2

Verwijderd 12



3) DDS.
DDS (Ver_2011-08-26.01) - NTFSx86
Internet Explorer: 8.0.6001.18702
Run by Administrator at 10:27:00 on 2012-08-08
Microsoft Windows XP Professional 5.1.2600.3.1252.32.1043.18.1910.995 [GMT 2:00]
.
AV: Symantec Endpoint Protection *Enabled/Updated* {FB06448E-52B8-493A-90F3-E43226D3305C}
.
============== Running Processes ===============
.
C:\Program Files\Fingerprint Sensor\AtService.exe
C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe
C:\WINDOWS\System32\svchost.exe -k netsvcs
C:\WINDOWS\system32\svchost.exe -k WudfServiceGroup
C:\Program Files\Symantec\Symantec Endpoint Protection\Smc.exe
C:\Program Files\Intel\WiFi\bin\S24EvMon.exe
svchost.exe
svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\spoolsv.exe
c:\drivers\audio\r260702\payload\wdm\stacsv.exe
svchost.exe
C:\Program Files\Broadcom\MgmtAgent\BrcmMgmtAgent.exe
C:\Program Files\Intel\WiFi\bin\EvtEng.exe
C:\Program Files\STMicroelectronics\AccelerometerP11\InstallFilterService.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe
C:\Program Files\Symantec\Symantec Endpoint Protection\Rtvscan.exe
C:\Program Files\Wave Systems Corp\Trusted Drive Manager\TdmService.exe
C:\Program Files\TightVNC\tvnserver.exe
C:\Program Files\Intel\WiFi\bin\WLKeeper.exe
c:\Program Files\Dell\Dell ControlPoint\DCPButtonSvc.exe
c:\Program Files\Dell\Dell ControlPoint\System Manager\DCPSysMgrSvc.exe
c:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Symantec\Symantec Endpoint Protection\SmcGui.exe
C:\Program Files\Citrix\ICA Client\concentr.exe
C:\Program Files\Citrix\ICA Client\wfcrun32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\Dell\Dell ControlPoint\System Manager\DCPSysMgr.exe
C:\Program Files\Wave Systems Corp\Trusted Drive Manager\TdmNotify.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\WINDOWS\system32\igfxext.exe
C:\WINDOWS\system32\igfxsrvc.exe
c:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\WINDOWS\system32\wuauclt.exe
E:\4 Emsisoft\start.exe
E:\4 Emsisoft\Run\a2emergencykit.exe
.
============== Pseudo HJT Report ===============
.
uStart Page = hxxp://www1.euro.dell.com/content/default.aspx?c=be&l=nl&s=gen" onclick="window.open(this.href);return false;
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: Groove GFS Browser Helper: {72853161-30c5-4d22-b7f9-0bbc1d38a37e} - c:\progra~1\micros~2\office14\GROOVEEX.DLL
BHO: Office Document Cache Handler: {b4f3a835-0e21-4959-ba22-42b3008e02ff} - c:\progra~1\micros~2\office14\URLREDIR.DLL
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\java\jre6\bin\jp2ssv.dll
BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\program files\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
uRun: [ctfmon.exe] c:\windows\system32\ctfmon.exe
mRun: [ConnectionCenter] "c:\program files\citrix\ica client\concentr.exe" /startup
mRun: [BCSSync] "c:\program files\microsoft office\office14\BCSSync.exe" /DelayServices
dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
StartupFolder: c:\docume~1\alluse~1\menust~1\progra~1\opstar~1\blueto~1.lnk - c:\program files\widcomm\bluetooth software\BTTray.exe
StartupFolder: c:\docume~1\alluse~1\menust~1\progra~1\opstar~1\dellco~1.lnk - c:\program files\dell\dell controlpoint\system manager\DCPSysMgr.exe
StartupFolder: c:\docume~1\alluse~1\menust~1\progra~1\opstar~1\tdmnot~1.lnk - c:\program files\wave systems corp\trusted drive manager\TdmNotify.exe
StartupFolder: c:\docume~1\alluse~1\menust~1\progra~1\opstar~1\winzip~1.lnk - c:\program files\winzip\WZQKPICK.EXE
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xporteren naar Microsoft Excel - c:\progra~1\micros~2\office12\EXCEL.EXE/3000
IE: Send to &Bluetooth Device... - c:\program files\widcomm\bluetooth software\btsendto_ie_ctx.htm
IE: Send To Bluetooth - c:\program files\widcomm\bluetooth software\btsendto_ie.htm
IE: {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\program files\widcomm\bluetooth software\btsendto_ie.htm
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\program files\messenger\msmsgs.exe
DPF: {166B1BCA-3F9C-11CF-8075-444553540000} - hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab" onclick="window.open(this.href);return false;
DPF: {640373B0-6978-4FA5-A9FC-420ECBBC61C7} - file://srvfile/GiS_Documenten$/Projecten/Lopende/A11F06/Div_Bestanden/Tekla/FASE%203/PublicWeb/dll/zkitlib.dll" onclick="window.open(this.href);return false;
DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1280903390496" onclick="window.open(this.href);return false;
DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} - hxxp://www.update.microsoft.com/microsoftupdat ... 1425018421" onclick="window.open(this.href);return false;
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab" onclick="window.open(this.href);return false;
DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab" onclick="window.open(this.href);return false;
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab" onclick="window.open(this.href);return false;
DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" onclick="window.open(this.href);return false;
Filter: application/x-ica - {CFB6322E-CC85-4d1b-82C7-893888A236BC} - c:\program files\citrix\ica client\IcaMimeFilter.dll
Filter: ica - {CFB6322E-CC85-4d1b-82C7-893888A236BC} - c:\program files\citrix\ica client\IcaMimeFilter.dll
Filter: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - c:\program files\common files\microsoft shared\office14\MSOXMLMF.DLL
Notify: igfxcui - igfxdev.dll
SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll
SEH: Groove GFS Stub Execution Hook: {b5a7f190-dda6-4420-b3ba-52453494e6cd} - c:\progra~1\micros~2\office14\GROOVEEX.DLL
LSA: Authentication Packages = msv1_0 wvauth
Hosts: 192.50.1.39 SRVBACK
Hosts: 192.50.1.45 SRVALTEZ
Hosts: 192.50.1.46 SRVTS1
Hosts: 192.50.1.47 SRVEXCH
Hosts: 192.50.1.48 SRVFILE
.
Note: multiple HOSTS entries found. Please refer to Attach.txt
.
============= SERVICES / DRIVERS ===============
.
R0 stdflt;Disk Filter Driver for Accelerometer;c:\windows\system32\drivers\stdfltn.sys [2010-7-7 17072]
R1 A2DDA;A2 Direct Disk Access Support Driver;e:\4 emsisoft\run\a2ddax86.sys [2012-8-7 17904]
R1 ctxusbm;Citrix USB Monitor Driver;c:\windows\system32\drivers\ctxusbm.sys [2009-10-5 65584]
R2 ATService;AuthenTec Fingerprint Service;c:\program files\fingerprint sensor\AtService.exe [2010-5-10 1803584]
R2 BrcmMgmtAgent;Broadcom Management Agent;c:\program files\broadcom\mgmtagent\BrcmMgmtAgent.exe [2009-11-5 114688]
R2 buttonsvc32;Dell ControlPoint Button Service;c:\program files\dell\dell controlpoint\DCPButtonSvc.exe [2009-11-21 278304]
R2 ccEvtMgr;Symantec Event Manager;c:\program files\common files\symantec shared\ccSvcHst.exe [2011-1-31 108392]
R2 ccSetMgr;Symantec Settings Manager;c:\program files\common files\symantec shared\ccSvcHst.exe [2011-1-31 108392]
R2 dcpsysmgrsvc;Dell ControlPoint System Manager;c:\program files\dell\dell controlpoint\system manager\DCPSysMgrSvc.exe [2009-12-10 376608]
R2 InstallFilterService;FF Install Filter Service;c:\program files\stmicroelectronics\accelerometerp11\InstallFilterService.exe [2010-7-7 60928]
R2 risdpcie;risdpcie;c:\windows\system32\drivers\risdpe86.sys [2010-7-7 59904]
R2 Symantec AntiVirus;Symantec Endpoint Protection;c:\program files\symantec\symantec endpoint protection\Rtvscan.exe [2011-1-31 1839776]
R2 tvnserver;TightVNC Server;c:\program files\tightvnc\tvnserver.exe [2010-7-8 815704]
R3 Acceler;Accelerometer Service;c:\windows\system32\drivers\Accelern.sys [2010-7-7 42672]
R3 AESTAud;AE Audio Service;c:\windows\system32\drivers\AESTAud.sys [2010-7-7 113664]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files\common files\symantec shared\eengine\EraserUtilRebootDrv.sys [2012-5-31 106656]
R3 Impcd;Impcd;c:\windows\system32\drivers\Impcd.sys [2010-7-7 132480]
R3 IntcDAud;Intel(R) Display Audio;c:\windows\system32\drivers\IntcDAud.sys [2010-7-7 235520]
R3 NAVENG;NAVENG;c:\progra~1\common~1\symant~1\virusd~1\20120805.009\NAVENG.SYS [2012-8-6 87928]
R3 NAVEX15;NAVEX15;c:\progra~1\common~1\symant~1\virusd~1\20120805.009\NAVEX15.SYS [2012-8-6 1589752]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\microsoft.net\framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384]
S3 COH_Mon;COH_Mon;c:\windows\system32\drivers\COH_Mon.sys [2010-3-25 23888]
S3 Microsoft SharePoint Workspace Audit Service;Microsoft SharePoint Workspace Audit Service;c:\program files\microsoft office\office14\GROOVE.EXE [2011-6-12 31125880]
S3 osppsvc;Office Software Protection Platform;c:\program files\common files\microsoft shared\officesoftwareprotectionplatform\OSPPSVC.EXE [2010-1-9 4640000]
S3 WinRM;Windows Remote Management (WS-Management);c:\windows\system32\svchost.exe -k WINRM [2008-5-8 14336]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\microsoft.net\framework\v4.0.30319\wpf\WPFFontCache_v0400.exe [2010-3-18 753504]
.
=============== Created Last 30 ================
.
2012-08-07 15:45:23 -------- d---a-w- C:\Kaspersky Rescue Disk 10.0
2012-08-07 14:52:30 -------- d-----w- c:\documents and settings\administrator.altez\application data\ICAClient
2012-08-07 14:52:29 -------- d-----w- c:\documents and settings\administrator.altez\local settings\application data\Citrix
2012-08-07 14:39:35 -------- d-----w- c:\documents and settings\administrator.altez\application data\EurekaLog
2012-08-07 14:11:37 -------- d-----w- c:\documents and settings\administrator.altez\application data\Malwarebytes
2012-08-07 14:11:24 -------- d-----w- c:\documents and settings\all users\application data\Malwarebytes
2012-08-07 14:11:23 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-08-07 14:11:23 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2012-08-07 14:10:54 -------- d-sh--w- c:\documents and settings\administrator.altez\IETldCache
2012-08-01 09:41:09 -------- d-----w- c:\documents and settings\all users\application data\gmxwviwhynenynl
.
==================== Find3M ====================
.
2012-06-02 13:19:44 18456 ----a-w- c:\windows\system32\wuaueng.dll.mui
2012-06-02 13:19:38 219160 ----a-w- c:\windows\system32\wuaucpl.cpl
2012-06-02 13:19:30 15896 ----a-w- c:\windows\system32\wuapi.dll.mui
2012-06-02 13:19:24 15896 ----a-w- c:\windows\system32\wuaucpl.cpl.mui
2012-06-02 13:19:18 24088 ----a-w- c:\windows\system32\wucltui.dll.mui
2012-05-31 13:22:05 602624 ----a-w- c:\windows\system32\crypt32.dll
2012-05-16 15:09:47 916992 ----a-w- c:\windows\system32\wininet.dll
2012-05-15 13:55:08 1872256 ----a-w- c:\windows\system32\win32k.sys
2012-05-11 14:44:13 43520 ------w- c:\windows\system32\licmgr10.dll
2012-05-11 14:44:13 1469440 ------w- c:\windows\system32\inetcpl.cpl
2012-05-11 11:39:29 385024 ------w- c:\windows\system32\html.iec
.
============= FINISH: 10:28:01,31 ===============
2
Hoi en welkom op het forum,

Download zoek.exe naar het bureaublad.
"zoek.exe" gebruiken:
  • Sluit nu eerst alle nog openstaande programmavensters!
  • Schakel je antivirus- en antispywareprogramma's uit, mogelijk kunnen ze conflicteren met zoek.exe
    (hier of hier) kan je lezen hoe je dat doet.
    • Windows 2000 en Windows XP: start de tool middels dubbelklik op "zoek.exe".
    • Windows Vista en Windows 7: start de tool middels rechtsklik op "zoek.exe" en dan kiezen voor Als Administrator uitvoeren.
  • Vervolgens zal er na een tijdje een venster geopend worden.
  • Met je muis selecteer je nu de volgende keuze "Combined fix"(rechts onderaan)
  • Kopieer nu onderstaande code en plak die in het grote invulvenster:

    Note: Dit script is speciaal bedoeld voor deze PC, gebruik dit dan ook niet op andere PC's met een gelijkwaardig probleem.

    Code: Selecteer alles

    resethosts;
    c:\documents and settings\all users\application data\gmxwviwhynenynl;f
    startupall;
    filesrcm;
    
  • Klik nu op de knop "Run script".
  • Wacht nu geduldig af tot er een logje opent(dit kan na een herstart zijn)
  • Mocht na de herstart geen logje verschijnen, start zoek.exe dan opnieuw, de log verschijnt dan alsnog.
  • Post nu de inhoud van het geopende logje in het volgende bericht.
Member of UNITE Unified Network of Instructors and Trained Eliminators (Unite Against Malware)
3
Bedankt voor je super snel antwoord.

Hier het resultaat van 'Zoek.exe'


Zoek.exe Version 3.0.0.3 Updated 06-August-2012
Tool run by Administrator on wo 08/08/2012 at 11:08:03,90.
Microsoft Windows XP Professional 5.1.2600 Service Pack 3 x86
Running from: C:\DOCUME~1\ADMINI~1.ALT\LOCALS~1\Temp\zoek.exe

==== Suspicious Entries Found ======================

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"5900:TCP"="5900:TCP:*:Enabled:VNC"
"3389:TCP"="3389:TCP:*:Enabled:@xpsp2res.dll,-22009"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"5985:TCP"="5985:TCP:*:Disabled:Windows Remote Management "
"80:TCP"="80:TCP:*:Disabled:Windows Remote Management - compatibiliteitsmodus (HTTP-In) "
"3389:TCP"="3389:TCP:*:Enabled:@xpsp2res.dll,-22009"

==== Reset Hosts File ======================

# Copyright (c) 1993-2006 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

127.0.0.1 localhost

==== Deleting Files \ Folders ======================

"c:\documents and settings\all users\application data\gmxwviwhynenynl\be-flag.png" deleted
"c:\documents and settings\all users\application data\gmxwviwhynenynl\be-image.png" deleted
"c:\documents and settings\all users\application data\gmxwviwhynenynl\btn-green.png" deleted
"c:\documents and settings\all users\application data\gmxwviwhynenynl\corners-btn.png" deleted
"c:\documents and settings\all users\application data\gmxwviwhynenynl\corners1.png" deleted
"c:\documents and settings\all users\application data\gmxwviwhynenynl\corners2.png" deleted
"c:\documents and settings\all users\application data\gmxwviwhynenynl\corners3.png" deleted
"c:\documents and settings\all users\application data\gmxwviwhynenynl\corners4.png" deleted
"c:\documents and settings\all users\application data\gmxwviwhynenynl\ie6-7.css" deleted
"c:\documents and settings\all users\application data\gmxwviwhynenynl\jquery.main.js" deleted
"c:\documents and settings\all users\application data\gmxwviwhynenynl\main.html" deleted
"c:\documents and settings\all users\application data\gmxwviwhynenynl\McAfee.png" deleted
"c:\documents and settings\all users\application data\gmxwviwhynenynl\pays-be.png" deleted
"c:\documents and settings\all users\application data\gmxwviwhynenynl\steps-be.png" deleted
"c:\documents and settings\all users\application data\gmxwviwhynenynl\steps-en.png" deleted
"c:\documents and settings\all users\application data\gmxwviwhynenynl\steps-nl.png" deleted
"c:\documents and settings\all users\application data\gmxwviwhynenynl\style.css" deleted
"c:\documents and settings\all users\application data\gmxwviwhynenynl\tabs.png" deleted
"c:\documents and settings\all users\application data\gmxwviwhynenynl" deleted

==== Files Recently Created / Modified ======================

====== C:\WINDOWS ====
====== C:\DOCUME~1\ADMINI~1.ALT\LOCALS~1\Temp ====
====== C:\WINDOWS\system32 =====
====== C:\WINDOWS\system32\drivers =====
2012-08-07 14:11:23 6DFE7F2E8E8A337263AA5C92A215F161 22344 ----a-w- C:\WINDOWS\System32\drivers\mbam.sys
====== C:\WINDOWS\Tasks ======
====== C:\WINDOWS\Temp ======
======= C:\Program Files =====
======= C: =====
====== C:\Documents and Settings\Administrator.ALTEZ\Application Data ======
2012-08-07 14:52:30 -------- d-----w- C:\Documents and Settings\Administrator.ALTEZ\Application Data\ICAClient
2012-08-07 14:52:29 -------- d-----w- C:\Documents and Settings\Administrator.ALTEZ\Local Settings\Application Data\Citrix
2012-08-07 13:57:23 88CF0FF92A4A9FA7BD9B7513B2E9E22B 62 --sha-w- C:\Documents and Settings\Altez.ALTEZ\Application Data\desktop.ini
2012-08-07 13:57:21 D41D8CD98F00B204E9800998ECF8427E 0 ----a-w- C:\Documents and Settings\Altez.ALTEZ\Local Settings\Application Data\WavXMapDrive.bat
2012-08-07 13:57:21 25878B0EA8FA2AC1850CCBF73D0E65C5 12720 ----a-w- C:\Documents and Settings\Altez.ALTEZ\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2012-08-07 13:57:21 002EA50CD3BCF6FAA0BBB9EB7BBEBE12 136 ----a-w- C:\Documents and Settings\Altez.ALTEZ\Local Settings\Application Data\fusioncache.dat
2012-08-07 13:57:21 -------- d-----w- C:\Documents and Settings\Altez.ALTEZ\Application Data\Intel
2012-08-07 13:57:21 -------- d-----w- C:\Documents and Settings\Altez.ALTEZ\Application Data\InstallShield
2012-08-07 13:57:21 -------- d-----w- C:\Documents and Settings\Altez.ALTEZ\Application Data\Identities
2012-08-07 13:57:21 -------- d-----w- C:\Documents and Settings\Altez.ALTEZ\Application Data\Broadcom
2012-08-07 13:57:20 -------- d-s---w- C:\Documents and Settings\Altez.ALTEZ\Application Data\Microsoft
2012-08-07 13:57:20 -------- d-----w- C:\Documents and Settings\Altez.ALTEZ\Local Settings\Application Data\Microsoft Help
2012-08-07 13:57:20 -------- d-----w- C:\Documents and Settings\Altez.ALTEZ\Local Settings\Application Data\Microsoft
2012-08-07 13:57:20 -------- d-----w- C:\Documents and Settings\Altez.ALTEZ\Local Settings\Application Data\Identities
2012-08-07 13:57:20 -------- d-----w- C:\Documents and Settings\Altez.ALTEZ\Local Settings\Application Data\Downloaded Installations
2012-08-07 13:57:20 -------- d-----w- C:\Documents and Settings\Altez.ALTEZ\Local Settings\Application Data\ApplicationHistory
2012-08-07 13:57:20 -------- d-----w- C:\Documents and Settings\Altez.ALTEZ\Application Data\Windows Desktop Search
2012-08-07 13:57:20 -------- d-----w- C:\Documents and Settings\Altez.ALTEZ\Application Data\Wave Systems Corp
2012-08-07 13:57:20 -------- d-----w- C:\Documents and Settings\Altez.ALTEZ\Application Data\Sun
2012-08-01 09:41:04 EFA3407911002C3000CC0F905610AB1C 51 ----a-w- C:\Documents and Settings\All Users\Application Data\jetnonumqenotkt
====== C:\Documents and Settings\Administrator.ALTEZ ======
2012-08-07 14:10:54 -------- d-sh--w- C:\Documents and Settings\Administrator.ALTEZ\IETldCache
2012-08-07 14:05:13 -------- d-sh--w- C:\Documents and Settings\Altez.ALTEZ\IETldCache
2012-08-07 13:57:20 7D19A444F835CF627FB65127A25778A7 188 --sha-w- C:\Documents and Settings\Altez.ALTEZ\ntuser.ini
2012-08-07 13:57:20 -------- d-sh--w- C:\Documents and Settings\Altez.ALTEZ\Cookies
2012-08-07 13:57:20 -------- d--h--w- C:\Documents and Settings\Altez.ALTEZ\Sjablonen
2012-08-07 13:57:20 -------- d--h--w- C:\Documents and Settings\Altez.ALTEZ\Netwerkprinteromgeving
2012-08-07 13:57:20 -------- d--h--w- C:\Documents and Settings\Altez.ALTEZ\NetHood
2012-08-07 13:57:20 -------- d--h--w- C:\Documents and Settings\Altez.ALTEZ\Local Settings
2012-08-07 13:57:20 -------- d--h--r- C:\Documents and Settings\Altez.ALTEZ\SendTo
2012-08-07 13:57:20 -------- d--h--r- C:\Documents and Settings\Altez.ALTEZ\Onlangs geopend
2012-08-07 13:57:20 -------- d--h--r- C:\Documents and Settings\Altez.ALTEZ\Application Data
2012-08-07 13:57:20 -------- d-----w- C:\Documents and Settings\Altez.ALTEZ\Bureaublad
2012-08-07 13:57:20 -------- d-----w- C:\Documents and Settings\Altez.ALTEZ\Bluetooth Software
2012-08-07 13:57:20 -------- d-----r- C:\Documents and Settings\Altez.ALTEZ\Mijn documenten
2012-08-07 13:57:20 -------- d-----r- C:\Documents and Settings\Altez.ALTEZ\Menu Start
2012-08-07 13:57:20 -------- d-----r- C:\Documents and Settings\Altez.ALTEZ\Favorieten

====== C: exe-files ==
2012-08-07 14:09:05 B3F52C1F402613B110EE66F5A3604063 10652120 ----a-w- C:\temp\mbam-setup-1.62.0.1300.exe
2012-08-07 13:57:22 EDC823D629264138424352BA95C689FB 365322 ----a-r- C:\Documents and Settings\Altez.ALTEZ\Application Data\Microsoft\Installer\{AF7E4468-E364-4991-BC2A-6E8293E1055B}\ARPPRODUCTICON.exe
2012-08-07 13:57:22 81BA9703C53CA14207DC4EF7E2687F05 405504 ----a-r- C:\Documents and Settings\Altez.ALTEZ\Application Data\Microsoft\Installer\{0003C1E0-E0E7-49BB-A0F6-4AE6D2B09202}\ARPPRODUCTICON.exe
=== C: other files ==
2012-08-07 14:11:23 6DFE7F2E8E8A337263AA5C92A215F161 22344 ----a-w- C:\WINDOWS\system32\drivers\mbam.sys
2012-08-07 13:57:21 D41D8CD98F00B204E9800998ECF8427E 0 ----a-w- C:\Documents and Settings\Altez.ALTEZ\Local Settings\Application Data\WavXMapDrive.bat

==== Startup Registry Enabled ======================

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE"

[HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE"

[HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE"

[HKEY_USERS\S-1-5-21-2117852432-950301649-481973907-500\Software\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe"

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ConnectionCenter"="C:\Program Files\Citrix\ICA Client\concentr.exe /startup"
"BCSSync"="C:\Program Files\Microsoft Office\Office14\BCSSync.exe /DelayServices"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe"

==== Startup Folders ======================

2010-07-07 10:57:43 631 ----a-w- C:\Documents and Settings\All Users\Menu Start\Programma's\Opstarten\Bluetooth.lnk
2010-07-07 10:51:54 2012 ----a-w- C:\Documents and Settings\All Users\Menu Start\Programma's\Opstarten\Dell ControlPoint System Manager.lnk
2010-07-07 10:56:21 1974 ----a-w- C:\Documents and Settings\All Users\Menu Start\Programma's\Opstarten\TdmNotify.lnk
2010-08-04 08:59:44 1520 ----a-w- C:\Documents and Settings\All Users\Menu Start\Programma's\Opstarten\WinZip Quick Pick.lnk
2012-04-19 07:48:22 2565 ----a-w- C:\Documents and Settings\sc1521\Menu Start\Programma's\Opstarten\Microsoft Outlook 2010.lnk
4
Hoi,

Start Zoek.exe nogmaals.
"zoek.exe" gebruiken:
  • Sluit nu eerst alle nog openstaande programmavensters!
  • Schakel je antivirus- en antispywareprogramma's uit, mogelijk kunnen ze conflicteren met zoek.exe
    (hier of hier) kan je lezen hoe je dat doet.
    • Windows 2000 en Windows XP: start de tool middels dubbelklik op "zoek.exe".
    • Windows Vista en Windows 7: start de tool middels rechtsklik op "zoek.exe" en dan kiezen voor Als Administrator uitvoeren.
  • Vervolgens zal er na een tijdje een venster geopend worden.
  • Met je muis selecteer je nu de volgende keuze "Combined fix"(rechts onderaan)
  • Kopieer nu onderstaande code en plak die in het grote invulvenster:

    Note: Dit script is speciaal bedoeld voor deze PC, gebruik dit dan ook niet op andere PC's met een gelijkwaardig probleem.

    Code: Selecteer alles

    C:\Documents and Settings\All Users\Application Data\jetnonumqenotkt;f
    
  • Klik nu op de knop "Run script".
  • Wacht nu geduldig af tot er een logje opent(dit kan na een herstart zijn)
  • Mocht na de herstart geen logje verschijnen, start zoek.exe dan opnieuw, de log verschijnt dan alsnog.
  • Post nu de inhoud van het geopende logje in het volgende bericht.
Member of UNITE Unified Network of Instructors and Trained Eliminators (Unite Against Malware)
5
Volgende Logbestand Zoek
Zoek.exe Version 3.0.0.3 Updated 06-August-2012
Tool run by Administrator on wo 08/08/2012 at 11:25:45,75.
Microsoft Windows XP Professional 5.1.2600 Service Pack 3 x86
Running from: C:\DOCUME~1\ADMINI~1.ALT\LOCALS~1\Temp\zoek.exe

==== Suspicious Entries Found ======================

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"5900:TCP"="5900:TCP:*:Enabled:VNC"
"3389:TCP"="3389:TCP:*:Enabled:@xpsp2res.dll,-22009"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"5985:TCP"="5985:TCP:*:Disabled:Windows Remote Management "
"80:TCP"="80:TCP:*:Disabled:Windows Remote Management - compatibiliteitsmodus (HTTP-In) "
"3389:TCP"="3389:TCP:*:Enabled:@xpsp2res.dll,-22009"

==== Deleting Files \ Folders ======================

"C:\Documents and Settings\All Users\Application Data\jetnonumqenotkt" deleted
6
Hoi,

Voer nu ter controle nog even een scan uit met de Emsisoft Emergency Kit.

Download de Emsisoft Emergency Kit naar het bureaublad en pak het ZIP bestand uit.
  • Open de map "EmsisoftEmergencyKit" en dubbelklik op "Start.exe"
  • Klik nu op "Emergency Kit Scanner" u krijg nu een melding dat het is aanbevolen om eerst te updaten sta dit toe door te klikken op "Ja" Afbeelding
  • Als de update gereed is en de melding "Update process is succesvol afgerond" verschijnt klikt u op "menu" en dan op "Scan PC"
  • Selecteer de optie "Diep" als deze niet standaard al zo is ingesteld.
  • Klik Nu op de knop "Scan" en doe verder niets op de computer tijdens het scannen, deze scan kan een geruime tijd in beslag nemen dus wacht dit geduldig af.
  • Het venster met de waarschuwing over een verhoogd risico kunt u sluiten als de scan gereed is.
  • Zorg ervoor dat alle gevonden items zijn aangevinkt en druk dan op de knop "verwijder geselecteerde" u zal nu de volgende melding krijgen maar klik hier op "Ja" Afbeelding
  • Als het verwijderen gereed is klikt u op de knop "Rapport bekijken" en selecteert u het tekstbestand van deze scan met de naam zoals: a2scan_110730-111615.txt
  • Plaats de inhoud van dit LOG bestand straks in uw volgende bericht.
  • Herstart nu de computer.
Member of UNITE Unified Network of Instructors and Trained Eliminators (Unite Against Malware)
7
Een paar uur verder, eindelijk het logje van Emsisoft:


Emsisoft Emergency Kit - Versie 2.0
Laatste Update: N/A

Scaninstellingen:

Scantype: Diepe scan
Objecten: Rootkits, Geheugen, Sporen, C:\
Scan archieven: Aan
ADS Scan: Aan

Scan gestart: 8/08/2012 11:34:06


Gescand 553955
Gevonden 0

Scan geëindigd: 8/08/2012 13:51:56
Scantijd: 2:17:50
9
Hey,

Op dit moment lijkt de pc weer normaal te werken!
Ook onder de account van de gebruiker die het voor had.

:dank:
Hartelijk dank voor de snelle hulp!
10
Hoi,

Graag gedaan en mooi dat er geen problemen meer zijn... :good:

De volgende programma's en bijbehorende log bestanden mag je verwijderen. MBAM en de Emsisoft Emergency Kit kan je gewoon blijven gebruiken om periodiek de computer te scannen (wel eerst updaten).
  • Zoek.exe
  • DDS

Aangezien de problemen zijn verholpen adviseer ik u nog wel even het onderstaande uit te voeren.

1.) Systeemherstelpunten verwijderen
Als de computer geïnfecteerd is geweest met een malware infectie is het raadzaam om alle aanwezige systeemherstelpunten te verwijderen, want hier kunnen namelijk besmette herstelpunten tussen zitten.
  • Hoe u de herstelpunten verwijderd leest u hier
  • Hoe u zelf snel een nieuw systeemherstelpunt aan kunt maken leest u hier
2.) Installeren van essentiële updates.
Hoe u uw besturingssysteem en overige software up to date houdt kunt u hier lezen.
Door middel van het programma Secunia PSI wordt u automatisch gewaarschuwd indien er updates voor de geïnstalleerde software beschikbaar is, meer informatie leest u hier

3.) Pas op voor 'Phishing' berichten.
Phishing is een vorm van internet oplichting (fraude), met valse e-mailberichten en websites die er vertrouwd uitzien wordt er getracht 'logingegevens' en andere persoonlijke informatie te achterhalen.
Dit gebeurt vaak op hele slinkse manieren, zoals bijvoorbeeld e-mailberichten waarin u gevraagd wordt uw inloggegevens te verifiëren, in deze gevallen wordt u vaak naar een valse (clone) website gestuurd, zodra u uw gegevens hier hebt ingevoerd zijn deze in de handen van de kwaadwillende met alle gevolgen van dien.
Meer informatie leest u hier

4.) Gebruikersaccounts
Met dit account heeft u dus het volledige beheer van de computer in handen, het is dan ook niet aan te raden om dit account als primair account voor het dagelijkse gebruik in te stellen.
Meer informatie hierover leest u hier

5.) Wachtwoorden wijzigen
De meeste malware maakt een uitgaande verbinding met een Command & Control-server waarbij er vertrouwelijke gegevens zoals bijvoorbeeld inloggegevens worden buitgemaakt, indien uw computer geïnfecteerd is geweest is het dan ook raadzaam om al uw gebruikte wachtwoorden te wijzigen.
Meer informatie hierover leest u hier

6.) Risico's bij het downloaden
Peer to Peer (P2P) netwerken en ook Usenet (nieuwsgroepen) zijn een grote bron op het internet wat betreft het verspreiden van malware, het aanbieden van 'gevaarlijke' software (malware) gebeurt vrijwel anoniem waardoor dit een veel gebruikte methode is voor het verspreiden van malware.
Meer informatie hierover leest u hier

6.) Preventie informatie & het gebruik van beveiligings software.
Om de kans op een her-infectie te minimaliseren kan je naast de gebruikte beveiligingssoftware een aanvullende malwarescanner installeren zoals Emsisoft Anti-Malware of Malwarebytes' Antimalware om de bescherming te optimaliseren.
Hier staat meer informatie hoe u een infectie in de toekomst kunt voorkomen, lees dit eens op uw gemak door.

Groet Maxstar
Member of UNITE Unified Network of Instructors and Trained Eliminators (Unite Against Malware)
11
Omdat het probleem is verholpen wordt dit topic gesloten en verplaatst naar de sectie opgeloste problemen / logs.

Als u dit topic heropent wilt hebben, dan kunt u mij of één van moderators een (PB) privébericht sturen met een link naar dit betreffende topic.

Indien het topic al langere tijd is gesloten kunt u het beste hier een nieuw topic aanmaken, en eventueel verwijzen naar dit topic.


Voor alle andere vragen kunt u in het juiste forum een nieuw onderwerp starten.
Member of UNITE Unified Network of Instructors and Trained Eliminators (Unite Against Malware)
Gesloten

Terug naar “Hulp bij malware problemen, adware, ongewenste software en een trage computer”