Gesloten
1
Ook ik ben slachtoffer van het KLPD virus zegmaar. Ik ben al sinds vanacht/vanochtend bezig dit te verwijderen. Tot op heden zonder succes!

Bij deze mijn Malware en DDS logs.

Malware Bytes:

Code: Selecteer alles

Malwarebytes Anti-Malware (Trial) 1.60.1.1000
www.malwarebytes.org

Database version: v2012.03.27.02

Windows 7 Service Pack 1 x64 NTFS (Safe Mode/Networking)
Internet Explorer 9.0.8112.16421
ABerger :: ENZYME [administrator]

Protection: Disabled

27-3-2012 13:32:44
mbam-log-2012-03-27 (13-32-44).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM
Scan options disabled: P2P
Objects scanned: 206157
Time elapsed: 2 minute(s), 26 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)
DDS:

Code: Selecteer alles

.
DDS (Ver_2011-08-26.01) - NTFSAMD64 NETWORK
Internet Explorer: 9.0.8112.16421
Run by ABerger at 13:37:24 on 2012-03-27
Microsoft Windows 7 Enterprise   6.1.7601.1.1252.31.1033.18.6143.5165 [GMT 2:00]
.
AV: avast! Antivirus *Enabled/Updated* {2B2D1395-420B-D5C9-657E-930FE358FC3C}
AV: F-Secure  Internet Security for Windows 9.16 *Enabled/Updated* {15414183-282E-D62C-CA37-EF24860A2F17}
SP: avast! Antivirus *Enabled/Updated* {904CF271-6431-DA47-5FCE-A87D98DFB681}
SP: F-Secure  Internet Security for Windows 9.16 *Enabled/Updated* {AE20A067-0E14-D9A2-F087-D456FD8D65AA}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
FW: F-Secure  Internet Security for Windows 9.16 *Enabled* {2D7AC0A6-6241-D774-E168-461178D9686C}
.
============== Running Processes ===============
.
C:\Windows\system32\wininit.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe -k DcomLaunch
C:\Windows\system32\svchost.exe -k RPCSS
C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
C:\Windows\system32\svchost.exe -k netsvcs
C:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted
C:\Windows\system32\svchost.exe -k LocalService
C:\Windows\system32\svchost.exe -k NetworkService
C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
C:\Windows\system32\svchost.exe -k NetworkServiceNetworkRestricted
C:\Windows\Explorer.EXE
C:\Windows\system32\ctfmon.exe
C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbam.exe
C:\Windows\System32\svchost.exe -k secsvcs
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\notepad.exe
C:\Windows\SysWOW64\cmd.exe
C:\Windows\system32\conhost.exe
C:\Windows\SysWOW64\cscript.exe
C:\Windows\system32\wbem\wmiprvse.exe
.
============== Pseudo HJT Report ===============
.
mWinlogon: Userinit=userinit.exe,
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
BHO: ExplorerBHO Class: {449d0d6e-2412-4e61-b68f-1cb625cd9e52} - C:\Program Files\Classic Shell\ClassicExplorer32.dll
BHO: Groove GFS Browser Helper: {72853161-30c5-4d22-b7f9-0bbc1d38a37e} - C:\PROGRA~2\MICROS~1\Office14\GROOVEEX.DLL
BHO: avast! WebRep: {8e5e2654-ad2d-48bf-ac2d-d17f00898d06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
BHO: Office Document Cache Handler: {b4f3a835-0e21-4959-ba22-42b3008e02ff} - C:\PROGRA~2\MICROS~1\Office14\URLREDIR.DLL
BHO: Browsing Protection Class: {c6867eb7-8350-4856-877f-93cf8ae3dc9c} - C:\Program Files (x86)\F-Secure\NRS\iescript\baselitmus.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
BHO: ClassicIE9BHO Class: {ea801577-e6ad-4bd5-8f71-4be0154331a4} - C:\Program Files\Classic Shell\ClassicIE9DLL_32.dll
TB: Classic Explorer Bar: {553891b7-a0d5-4526-be18-d3ce461d6310} - C:\Program Files\Classic Shell\ClassicExplorer32.dll
TB: Browsing Protection Toolbar: {265eee8e-3228-44d3-aea5-f7fdf5860049} - C:\Program Files (x86)\F-Secure\NRS\iescript\baselitmus.dll
TB: avast! WebRep: {8e5e2654-ad2d-48bf-ac2d-d17f00898d06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
uRun: [Steam] "C:\Program Files (x86)\Steam\Steam.exe" -silent
uRun: [EA Core] "C:\Program Files (x86)\Electronic Arts\EADM\Core.exe" -silent
uRun: [DAEMON Tools Lite] "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun
mRun: [AsioReg] REGSVR32 /S CTASIO.DLL
mRun: [CTHelper] CTHELPER.EXE
mRun: [CTxfiHlp] CTXFIHLP.EXE
mRun: [WinampAgent] "C:\Program Files (x86)\Winamp\winampa.exe"
mRun: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
mRun: [F-Secure Manager] "C:\Program Files (x86)\F-Secure\Common\FSM32.EXE" /splash
mRun: [F-Secure TNB] "C:\Program Files (x86)\F-Secure\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
mRun: [Malwarebytes' Anti-Malware] "C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
mRun: [Trend Micro RUBotted V2.0 Beta] C:\Program Files (x86)\Trend Micro\RUBotted\RUBottedGUI.exe
mRun: [avast] "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
dRunOnce: [SetDefaultMIDI] MIDIDEF.EXE /s:'Creative SoundFont Synthesizer' /w:'SB Audigy'
StartupFolder: C:\Users\ABerger\AppData\Roaming\MICROS~1\Windows\STARTM~1\Programs\Startup\PLEXRA~1.LNK - C:\Program Files (x86)\Plextor\PlexUTILITIES\PlexRadar.exe
mPolicies-explorer: NoActiveDesktop = 1 (0x1)
mPolicies-system: ConsentPromptBehaviorAdmin = 5 (0x5)
mPolicies-system: ConsentPromptBehaviorUser = 3 (0x3)
mPolicies-system: EnableUIADesktopToggle = 0 (0x0)
IE: E&xport to Microsoft Excel - C:\PROGRA~1\MICROS~1\Office14\EXCEL.EXE/3000
IE: Se&nd to OneNote - C:\PROGRA~1\MICROS~1\Office14\ONBttnIE.dll/105
IE: {56753E59-AF1D-4FBA-9E15-31557124ADA2} - C:\Program Files\Classic Shell\ClassicIE9_32.exe
IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIE.dll
IE: {64964764-1101-4bbd-8891-B56B1A53B9B3} - {553891B7-A0D5-4526-BE18-D3CE461D6310} - C:\Program Files\Classic Shell\ClassicExplorer32.dll
IE: {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - {FFFDC614-B694-4AE6-AB38-5D6374584B52} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
LSP: C:\Program Files (x86)\F-Secure\FSPS\program\FSLSP.DLL
TCP: DhcpNameServer = 192.168.0.1
TCP: Interfaces\{A7B1EB5D-0FDE-4CAE-832F-229089F79CDA} : DhcpNameServer = 192.168.0.1
Filter: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files (x86)\Common Files\microsoft shared\OFFICE14\MSOXMLMF.DLL
SEH: Groove GFS Stub Execution Hook: {b5a7f190-dda6-4420-b3ba-52453494e6cd} - C:\PROGRA~2\MICROS~1\Office14\GROOVEEX.DLL
BHO-X64: Adobe PDF Link Helper: {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
BHO-X64:     AcroIEHelperStub - No File
BHO-X64: ExplorerBHO Class: {449D0D6E-2412-4E61-B68F-1CB625CD9E52} - C:\Program Files\Classic Shell\ClassicExplorer32.dll
BHO-X64: Groove GFS Browser Helper: {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~2\MICROS~1\Office14\GROOVEEX.DLL
BHO-X64: avast! WebRep: {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
BHO-X64: Office Document Cache Handler: {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~2\MICROS~1\Office14\URLREDIR.DLL
BHO-X64:     URLRedirectionBHO - No File
BHO-X64: Browsing Protection Class: {C6867EB7-8350-4856-877F-93CF8AE3DC9C} - C:\Program Files (x86)\F-Secure\NRS\iescript\baselitmus.dll
BHO-X64:     LitmusBHO - No File
BHO-X64: Java(tm) Plug-In 2 SSV Helper: {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
BHO-X64: ClassicIE9BHO Class: {EA801577-E6AD-4BD5-8F71-4BE0154331A4} - C:\Program Files\Classic Shell\ClassicIE9DLL_32.dll
TB-X64: Classic Explorer Bar: {553891B7-A0D5-4526-BE18-D3CE461D6310} - C:\Program Files\Classic Shell\ClassicExplorer32.dll
TB-X64: Browsing Protection Toolbar: {265EEE8E-3228-44D3-AEA5-F7FDF5860049} - C:\Program Files (x86)\F-Secure\NRS\iescript\baselitmus.dll
TB-X64: avast! WebRep: {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
mRun-x64: [AsioReg] REGSVR32 /S CTASIO.DLL
mRun-x64: [CTHelper] CTHELPER.EXE
mRun-x64: [CTxfiHlp] CTXFIHLP.EXE
mRun-x64: [WinampAgent] "C:\Program Files (x86)\Winamp\winampa.exe"
mRun-x64: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
mRun-x64: [F-Secure Manager] "C:\Program Files (x86)\F-Secure\Common\FSM32.EXE" /splash
mRun-x64: [F-Secure TNB] "C:\Program Files (x86)\F-Secure\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
mRun-x64: [Malwarebytes' Anti-Malware] "C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
mRun-x64: [Trend Micro RUBotted V2.0 Beta] C:\Program Files (x86)\Trend Micro\RUBotted\RUBottedGUI.exe
mRun-x64: [avast] "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
IE-X64: {56753E59-AF1D-4FBA-9E15-31557124ADA2} - C:\Program Files\Classic Shell\ClassicIE9_32.exe
SEH-X64: Groove GFS Stub Execution Hook: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\PROGRA~2\MICROS~1\Office14\GROOVEEX.DLL
.
================= FIREFOX ===================
.
FF - ProfilePath - C:\Users\ABerger\AppData\Roaming\Mozilla\Firefox\Profiles\ecacxtfg.default\
FF - prefs.js: browser.startup.homepage - www.google.nl
FF - plugin: C:\PROGRA~2\MICROS~1\Office14\NPAUTHZ.DLL
FF - plugin: C:\PROGRA~2\MICROS~1\Office14\NPSPWRAP.DLL
FF - plugin: C:\Program Files (x86)\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll
FF - plugin: C:\Program Files (x86)\Google\Update\1.3.21.111\npGoogleUpdate3.dll
FF - plugin: C:\Program Files (x86)\Microsoft Silverlight\4.1.10111.0\npctrlui.dll
FF - plugin: C:\Program Files (x86)\Mozilla Firefox\plugins\npwachk.dll
FF - plugin: C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dv.dll
FF - plugin: C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll
FF - plugin: C:\ProgramData\id Software\QuakeLive\npquakezero.dll
FF - plugin: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32.dll
.
============= SERVICES / DRIVERS ===============
.
S1 aswKbd;aswKbd;C:\Windows\system32\drivers\aswKbd.sys --> C:\Windows\system32\drivers\aswKbd.sys [?]
S1 aswSnx;aswSnx;C:\Windows\system32\drivers\aswSnx.sys --> C:\Windows\system32\drivers\aswSnx.sys [?]
S1 aswSP;aswSP;C:\Windows\system32\drivers\aswSP.sys --> C:\Windows\system32\drivers\aswSP.sys [?]
S1 F-Secure HIPS;F-Secure HIPS Driver;C:\Program Files (x86)\F-Secure\HIPS\drivers\fshs.sys [2012-3-27 60040]
S1 FSES;F-Secure Email Scanning Driver;C:\Windows\system32\drivers\fses.sys --> C:\Windows\system32\drivers\fses.sys [?]
S1 FSFW;F-Secure Firewall Driver;C:\Windows\system32\drivers\fsdfw.sys --> C:\Windows\system32\drivers\fsdfw.sys [?]
S1 fsvista;F-Secure Vista Support Driver;C:\Program Files (x86)\F-Secure\Anti-Virus\minifilter\fsvista.sys [2012-3-27 15016]
S2 AdobeARMservice;Adobe Acrobat Update Service;C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe [2011-6-6 64952]
S2 aswFsBlk;aswFsBlk;C:\Windows\system32\drivers\aswFsBlk.sys --> C:\Windows\system32\drivers\aswFsBlk.sys [?]
S2 aswMonFlt;aswMonFlt;\??\C:\Windows\system32\drivers\aswMonFlt.sys --> C:\Windows\system32\drivers\aswMonFlt.sys [?]
S2 avast! Antivirus;avast! Antivirus;C:\Program Files\AVAST Software\Avast\AvastSvc.exe [2012-3-27 44768]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384]
S2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-3-18 138576]
S2 cpuz135;cpuz135;\??\C:\Windows\system32\drivers\cpuz135_x64.sys --> C:\Windows\system32\drivers\cpuz135_x64.sys [?]
S2 F-Secure Gatekeeper Handler Starter;FSGKHS;C:\Program Files (x86)\F-Secure\Anti-Virus\fsgk32st.exe [2012-3-27 221864]
S2 gdipp_svc_32;gdipp Service (32 bit);C:\Program Files (x86)\gdipp\gdipp_svc_32.exe [2010-4-23 171520]
S2 gdipp_svc_64;gdipp Service (64 bit);C:\Program Files (x86)\gdipp\gdipp_svc_64.exe [2010-4-23 196608]
S2 gupdate;Google Update-service (gupdate);C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2011-8-23 136176]
S2 MBAMService;MBAMService;C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe [2012-3-27 652360]
S2 nvUpdatusService;NVIDIA Update Service Daemon;C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe [2011-8-20 2253120]
S2 RUBotSrv;Trend Micro RUBotted Service;C:\Program Files (x86)\Trend Micro\RUBotted\RUBotSrv.exe [2012-3-27 439632]
S2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [2011-10-15 381248]
S3 CT20XUT.SYS;CT20XUT.SYS;C:\Windows\system32\drivers\CT20XUT.SYS --> C:\Windows\system32\drivers\CT20XUT.SYS [?]
S3 CT20XUT;CT20XUT;C:\Windows\system32\drivers\CT20XUT.SYS --> C:\Windows\system32\drivers\CT20XUT.SYS [?]
S3 CTEXFIFX.SYS;CTEXFIFX.SYS;C:\Windows\system32\drivers\CTEXFIFX.SYS --> C:\Windows\system32\drivers\CTEXFIFX.SYS [?]
S3 CTEXFIFX;CTEXFIFX;C:\Windows\system32\drivers\CTEXFIFX.SYS --> C:\Windows\system32\drivers\CTEXFIFX.SYS [?]
S3 CTHWIUT.SYS;CTHWIUT.SYS;C:\Windows\system32\drivers\CTHWIUT.SYS --> C:\Windows\system32\drivers\CTHWIUT.SYS [?]
S3 CTHWIUT;CTHWIUT;C:\Windows\system32\drivers\CTHWIUT.SYS --> C:\Windows\system32\drivers\CTHWIUT.SYS [?]
S3 dmvsc;dmvsc;C:\Windows\system32\drivers\dmvsc.sys --> C:\Windows\system32\drivers\dmvsc.sys [?]
S3 F-Secure Gatekeeper;F-Secure Gatekeeper;C:\Program Files (x86)\F-Secure\Anti-Virus\minifilter\fsgk.sys [2012-3-27 198808]
S3 FSORSPClient;F-Secure ORSP Client;C:\Program Files (x86)\F-Secure\ORSP Client\fsorsp.exe [2012-3-27 61088]
S3 gupdatem;Google Update-service (gupdatem);C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2011-8-23 136176]
S3 MBAMProtector;MBAMProtector;\??\C:\Windows\system32\drivers\mbam.sys --> C:\Windows\system32\drivers\mbam.sys [?]
S3 Microsoft SharePoint Workspace Audit Service;Microsoft SharePoint Workspace Audit Service;C:\Program Files\Microsoft Office\Office14\GROOVE.EXE [2011-6-12 51740536]
S3 ose64;Office 64 Source Engine;C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2010-1-9 174440]
S3 osppsvc;Office Software Protection Platform;C:\Program Files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-1-9 4925184]
S3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;C:\Windows\system32\drivers\rdpvideominiport.sys --> C:\Windows\system32\drivers\rdpvideominiport.sys [?]
S3 StorSvc;Storage Service;C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted [2009-7-14 20992]
S3 Synth3dVsc;Microsoft Virtual 3D Video Transport Driver;C:\Windows\system32\drivers\Synth3dVsc.sys --> C:\Windows\system32\drivers\Synth3dVsc.sys [?]
S3 terminpt;Microsoft Remote Desktop Input Driver;C:\Windows\system32\drivers\terminpt.sys --> C:\Windows\system32\drivers\terminpt.sys [?]
S3 TsUsbFlt;TsUsbFlt;C:\Windows\system32\drivers\tsusbflt.sys --> C:\Windows\system32\drivers\tsusbflt.sys [?]
S3 TsUsbGD;Remote Desktop Generic USB Device;C:\Windows\system32\drivers\TsUsbGD.sys --> C:\Windows\system32\drivers\TsUsbGD.sys [?]
S3 tsusbhub;Remote Deskotop USB Hub;C:\Windows\system32\drivers\tsusbhub.sys --> C:\Windows\system32\drivers\tsusbhub.sys [?]
S3 WatAdminSvc;Windows Activation Technologies Service;C:\Windows\system32\Wat\WatAdminSvc.exe --> C:\Windows\system32\Wat\WatAdminSvc.exe [?]
.
=============== Created Last 30 ================
.
2012-03-27 10:44:48	--------	d-----w-	C:\ProgramData\Trend Micro
2012-03-27 10:43:29	53080	----a-w-	C:\Windows\System32\drivers\aswRdr2.sys
2012-03-27 10:43:27	28504	----a-w-	C:\Windows\System32\drivers\aswKbd.sys
2012-03-27 10:43:24	819032	----a-w-	C:\Windows\System32\drivers\aswSnx.sys
2012-03-27 10:43:20	69976	----a-w-	C:\Windows\System32\drivers\aswMonFlt.sys
2012-03-27 10:42:27	41184	----a-w-	C:\Windows\avastSS.scr
2012-03-27 10:42:11	--------	d-----w-	C:\ProgramData\AVAST Software
2012-03-27 10:42:11	--------	d-----w-	C:\Program Files\AVAST Software
2012-03-27 10:34:25	--------	d-----w-	C:\Program Files (x86)\WinPcap
2012-03-27 10:28:49	200976	----a-w-	C:\Windows\SysWow64\drivers\tmcomm.sys
2012-03-27 10:17:46	388096	----a-r-	C:\Users\ABerger\AppData\Roaming\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2012-03-27 10:17:46	--------	d-----w-	C:\Program Files (x86)\Trend Micro
2012-03-27 10:00:56	42672	----a-w-	C:\Windows\SysWow64\drivers\fsbts.sys
2012-03-27 09:47:42	23152	----a-w-	C:\Windows\System32\drivers\mbam.sys
2012-03-27 09:47:42	--------	d-----w-	C:\Program Files (x86)\Malwarebytes' Anti-Malware
2012-03-27 09:30:22	46664	----a-w-	C:\Windows\System32\drivers\fses.sys
2012-03-27 09:30:08	93288	----a-w-	C:\Windows\System32\drivers\fsdfw.sys
2012-03-27 09:30:08	574632	----a-w-	C:\Windows\SysWow64\msvcp50.dll
2012-03-27 09:29:24	--------	d-----w-	C:\Program Files (x86)\F-Secure
2012-03-27 09:27:29	--------	d-----w-	C:\ProgramData\fssg
2012-03-27 09:27:05	--------	d-----w-	C:\ProgramData\f-secure
2012-03-27 09:12:26	--------	d-----w-	C:\Users\ABerger\AppData\Roaming\Malwarebytes
2012-03-27 09:12:12	--------	d-----w-	C:\ProgramData\Malwarebytes
2012-03-27 09:09:36	--------	d-----w-	C:\TDSSKiller_Quarantine
2012-03-27 09:05:02	--------	d-----w-	C:\Program Files\HitmanPro
2012-03-27 09:04:53	--------	d-----w-	C:\ProgramData\HitmanPro
2012-03-27 09:01:57	--------	d-----w-	C:\Program Files\CCleaner
2012-03-27 02:06:50	148480	----a-w-	C:\Users\ABerger\AppData\Roaming\0.4601862953547571.exe
2012-03-22 18:00:33	--------	d-----w-	C:\ProgramData\VST3 Presets
2012-03-22 17:53:13	--------	d-----w-	C:\Program Files (x86)\Common Files\Steinberg
2012-03-22 17:39:47	--------	d-----w-	C:\Windows\System32\appmgmt
2012-03-16 21:40:21	8643640	----a-w-	C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{A3CEFCB4-B0B8-4563-ABA2-DC0FC13367E5}\mpengine.dll
2012-03-14 09:25:58	5559152	----a-w-	C:\Windows\System32\ntoskrnl.exe
2012-03-14 09:25:58	3968368	----a-w-	C:\Windows\SysWow64\ntkrnlpa.exe
2012-03-14 09:25:57	3913584	----a-w-	C:\Windows\SysWow64\ntoskrnl.exe
2012-03-14 09:23:19	592824	----a-w-	C:\Program Files (x86)\Mozilla Firefox\gkmedias.dll
2012-03-14 09:23:19	44472	----a-w-	C:\Program Files (x86)\Mozilla Firefox\mozglue.dll
2012-03-14 09:20:50	3145728	----a-w-	C:\Windows\System32\win32k.sys
2012-03-14 09:20:49	1544192	----a-w-	C:\Windows\System32\DWrite.dll
2012-03-14 09:20:49	1077248	----a-w-	C:\Windows\SysWow64\DWrite.dll
2012-03-14 09:20:32	9216	----a-w-	C:\Windows\System32\rdrmemptylst.exe
2012-03-14 09:20:32	77312	----a-w-	C:\Windows\System32\rdpwsx.dll
2012-03-14 09:20:32	149504	----a-w-	C:\Windows\System32\rdpcorekmts.dll
2012-03-14 09:20:27	826880	----a-w-	C:\Windows\SysWow64\rdpcore.dll
2012-03-14 09:20:27	23552	----a-w-	C:\Windows\System32\drivers\tdtcp.sys
2012-03-14 09:20:27	210944	----a-w-	C:\Windows\System32\drivers\rdpwd.sys
2012-03-14 09:20:27	1112064	----a-w-	C:\Windows\System32\rdpcorets.dll
2012-03-14 09:20:27	1031680	----a-w-	C:\Windows\System32\rdpcore.dll
2012-03-11 22:05:38	--------	d-----w-	C:\Users\ABerger\AppData\Local\MPlayer
2012-03-11 22:05:06	637848	----a-w-	C:\Windows\SysWow64\npdeployJava1.dll
2012-02-28 19:15:33	1177600	----a-w-	C:\Windows\SysWow64\SYNSOEMU.DLL
2012-02-28 19:15:27	--------	d-----w-	C:\Program Files (x86)\Common Files\VST3
2012-02-28 17:34:42	--------	d-----w-	C:\ProgramData\Steinberg
2012-02-28 17:31:22	--------	d-----w-	C:\Users\ABerger\AppData\Roaming\Steinberg
2012-02-28 17:31:22	--------	d-----w-	C:\Program Files (x86)\Steinberg
.
==================== Find3M  ====================
.
2012-03-11 22:05:00	567184	----a-w-	C:\Windows\SysWow64\deployJava1.dll
2012-02-23 08:18:36	279656	------w-	C:\Windows\System32\MpSigStub.exe
2012-01-04 10:44:20	509952	----a-w-	C:\Windows\System32\ntshrui.dll
2012-01-04 08:58:41	442880	----a-w-	C:\Windows\SysWow64\ntshrui.dll
2011-12-30 06:26:08	515584	----a-w-	C:\Windows\System32\timedate.cpl
2011-12-30 05:27:56	478720	----a-w-	C:\Windows\SysWow64\timedate.cpl
.
============= FINISH: 13:37:47,73 ===============

Ondanks dat er niks is gevonden, krijg ik nog wel vrolijk het popup scherm zodra ik Windows normaal opstart.

Alvast bedankt voor uw reactie,
2
Hoi en welkom op het forum,

Download ComboFix van één van deze locaties:

Link 1
Link 2

* BELANGRIJK !!! Sla ComboFix.exe op je Bureaublad op, maar start deze nog niet.


Note: Dit script is speciaal bedoeld voor deze PC, gebruik dit dan ook niet op andere PC's met een gelijkwaardig probleem.
Open Kladblok.
Kopieer en plak het volgende (vetgedrukte, blauwe tekst) in een leeg venster:


Dirlook::
C:\ProgramData\fssg

File::
C:\Users\ABerger\AppData\Roaming\0.4601862953547571.exe


Sla dit op op je Bureaublad als CFScript.txt


Sleep CFScript.txt in ComboFix.exe zoals getoond in onderstaand voorbeeld:
Afbeelding Dit zal ComboFix laten starten.
Start opnieuw op als daarom gevraagd wordt, en post de inhoud van de Combofix.txt in je volgende antwoord.
Member of UNITE Unified Network of Instructors and Trained Eliminators (Unite Against Malware)
3
Zou trouwens mijn Attach log verwijderd of hidden gemaakt kunnen worden?
Aangezien er ook werdt aangegeven post dit alleen als er naar gevraagd wordt.

Alvast bedankt,

Hierbij mijn ComboFIX log.

Code: Selecteer alles

ComboFix 12-03-27.01 - ABerger 27-03-2012  14:04:00.1.4 - x64
Microsoft Windows 7 Enterprise   6.1.7601.1.1252.31.1033.18.6143.4220 [GMT 2:00]
Gestart vanuit: c:\users\ABerger\Desktop\ComboFix.exe
gebruikte Opdracht switches :: c:\users\ABerger\Desktop\CFScript.txt
AV: avast! Antivirus *Disabled/Updated* {2B2D1395-420B-D5C9-657E-930FE358FC3C}
AV: F-Secure  Internet Security for Windows 9.16 *Disabled/Updated* {15414183-282E-D62C-CA37-EF24860A2F17}
FW: F-Secure  Internet Security for Windows 9.16 *Disabled* {2D7AC0A6-6241-D774-E168-461178D9686C}
SP: avast! Antivirus *Disabled/Updated* {904CF271-6431-DA47-5FCE-A87D98DFB681}
SP: F-Secure  Internet Security for Windows 9.16 *Disabled/Updated* {AE20A067-0E14-D9A2-F087-D456FD8D65AA}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
FILE ::
"c:\users\ABerger\AppData\Roaming\0.4601862953547571.exe"
.
.
((((((((((((((((((((((((((((((((((   Andere Verwijderingen   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\install.exe
c:\users\ABerger\AppData\Roaming\0.4601862953547571.exe
F:\install.exe
F:\nc.exe
.
.
((((((((((((((((((((   Bestanden Gemaakt van 2012-02-27 to 2012-03-27  ))))))))))))))))))))))))))))))
.
.
2012-03-27 10:44 . 2012-03-27 10:44	--------	d-----w-	c:\programdata\Trend Micro
2012-03-27 10:43 . 2012-03-06 23:04	337240	----a-w-	c:\windows\system32\drivers\aswSP.sys
2012-03-27 10:43 . 2012-03-06 23:01	24408	----a-w-	c:\windows\system32\drivers\aswFsBlk.sys
2012-03-27 10:43 . 2012-03-06 23:02	53080	----a-w-	c:\windows\system32\drivers\aswRdr2.sys
2012-03-27 10:43 . 2012-03-06 23:01	59224	----a-w-	c:\windows\system32\drivers\aswTdi.sys
2012-03-27 10:43 . 2012-03-06 23:02	28504	----a-w-	c:\windows\system32\drivers\aswKbd.sys
2012-03-27 10:43 . 2012-03-06 23:04	819032	----a-w-	c:\windows\system32\drivers\aswSnx.sys
2012-03-27 10:43 . 2012-03-06 23:01	69976	----a-w-	c:\windows\system32\drivers\aswMonFlt.sys
2012-03-27 10:43 . 2012-03-06 23:15	258520	----a-w-	c:\windows\system32\aswBoot.exe
2012-03-27 10:42 . 2012-03-06 23:15	41184	----a-w-	c:\windows\avastSS.scr
2012-03-27 10:42 . 2012-03-06 23:15	201352	----a-w-	c:\windows\SysWow64\aswBoot.exe
2012-03-27 10:42 . 2012-03-27 10:42	--------	d-----w-	c:\programdata\AVAST Software
2012-03-27 10:42 . 2012-03-27 10:42	--------	d-----w-	c:\program files\AVAST Software
2012-03-27 10:34 . 2012-03-27 10:34	--------	d-----w-	c:\program files (x86)\WinPcap
2012-03-27 10:28 . 2011-06-21 04:09	200976	----a-w-	c:\windows\SysWow64\drivers\tmcomm.sys
2012-03-27 10:17 . 2012-03-27 10:33	--------	d-----w-	c:\program files (x86)\Trend Micro
2012-03-27 10:17 . 2012-03-27 10:17	388096	----a-r-	c:\users\ABerger\AppData\Roaming\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2012-03-27 10:00 . 2012-03-27 10:00	42672	----a-w-	c:\windows\SysWow64\drivers\fsbts.sys
2012-03-27 09:47 . 2012-03-27 09:47	--------	d-----w-	c:\program files (x86)\Malwarebytes' Anti-Malware
2012-03-27 09:47 . 2011-12-10 13:24	23152	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-03-27 09:30 . 2011-08-16 16:06	46664	----a-w-	c:\windows\system32\drivers\fses.sys
2012-03-27 09:30 . 2012-03-27 09:54	93288	----a-w-	c:\windows\system32\drivers\fsdfw.sys
2012-03-16 21:40 . 2012-02-08 07:13	8643640	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{A3CEFCB4-B0B8-4563-ABA2-DC0FC13367E5}\mpengine.dll
2012-03-14 09:25 . 2011-11-19 15:20	5559152	----a-w-	c:\windows\system32\ntoskrnl.exe
2012-03-14 09:25 . 2011-11-19 14:50	3968368	----a-w-	c:\windows\SysWow64\ntkrnlpa.exe
2012-03-14 09:25 . 2011-11-19 14:50	3913584	----a-w-	c:\windows\SysWow64\ntoskrnl.exe
2012-03-14 09:23 . 2012-03-14 09:23	592824	----a-w-	c:\program files (x86)\Mozilla Firefox\gkmedias.dll
2012-03-14 09:23 . 2012-03-14 09:23	44472	----a-w-	c:\program files (x86)\Mozilla Firefox\mozglue.dll
2012-03-14 09:20 . 2012-02-03 04:34	3145728	----a-w-	c:\windows\system32\win32k.sys
2012-03-14 09:20 . 2012-02-10 06:36	1544192	----a-w-	c:\windows\system32\DWrite.dll
2012-03-14 09:20 . 2012-02-10 05:38	1077248	----a-w-	c:\windows\SysWow64\DWrite.dll
2012-03-14 09:20 . 2012-01-25 06:38	77312	----a-w-	c:\windows\system32\rdpwsx.dll
2012-03-14 09:20 . 2012-01-25 06:38	149504	----a-w-	c:\windows\system32\rdpcorekmts.dll
2012-03-14 09:20 . 2012-01-25 06:33	9216	----a-w-	c:\windows\system32\rdrmemptylst.exe
2012-03-14 09:20 . 2012-02-17 06:38	1112064	----a-w-	c:\windows\system32\rdpcorets.dll
2012-03-14 09:20 . 2012-02-17 06:38	1031680	----a-w-	c:\windows\system32\rdpcore.dll
2012-03-14 09:20 . 2012-02-17 05:34	826880	----a-w-	c:\windows\SysWow64\rdpcore.dll
2012-03-14 09:20 . 2012-02-17 04:58	210944	----a-w-	c:\windows\system32\drivers\rdpwd.sys
2012-03-14 09:20 . 2012-02-17 04:57	23552	----a-w-	c:\windows\system32\drivers\tdtcp.sys
2012-03-11 22:05 . 2012-03-11 22:05	--------	d-----w-	c:\users\ABerger\AppData\Local\MPlayer
2012-03-11 22:05 . 2012-03-11 22:05	637848	----a-w-	c:\windows\SysWow64\npdeployJava1.dll
2012-02-28 19:15 . 2009-10-11 20:58	1177600	----a-w-	c:\windows\SysWow64\SYNSOEMU.DLL
2012-02-28 19:15 . 2012-02-28 19:15	--------	d-----w-	c:\program files (x86)\Common Files\VST3
2012-02-28 17:34 . 2012-02-28 17:34	--------	d-----w-	c:\programdata\Steinberg
2012-02-28 17:31 . 2012-03-22 17:47	--------	d-----w-	c:\program files (x86)\Steinberg
2012-02-28 17:31 . 2012-02-28 19:17	--------	d-----w-	c:\users\ABerger\AppData\Roaming\Steinberg
.
.
.
(((((((((((((((((((((((((((((((((((((((   Find3M Rapport   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-03-11 22:05 . 2011-08-24 20:20	567184	----a-w-	c:\windows\SysWow64\deployJava1.dll
2012-02-23 08:18 . 2010-11-21 03:27	279656	------w-	c:\windows\system32\MpSigStub.exe
2012-01-04 10:44 . 2012-02-16 16:27	509952	----a-w-	c:\windows\system32\ntshrui.dll
2012-01-04 08:58 . 2012-02-16 16:27	442880	----a-w-	c:\windows\SysWow64\ntshrui.dll
2011-12-30 06:26 . 2012-02-16 16:27	515584	----a-w-	c:\windows\system32\timedate.cpl
2011-12-30 05:27 . 2012-02-16 16:27	478720	----a-w-	c:\windows\SysWow64\timedate.cpl
.
.
((((((((((((((((((((((((((((((((((((((((((((   Look   )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
---- Directory of c:\programdata\fssg ----
.
2012-03-27 09:28 . 2012-03-27 09:28	48777	----a-w-	c:\programdata\fssg\1984.3604.log
2012-03-27 09:27 . 2012-03-27 09:27	15945	----a-w-	c:\programdata\fssg\3884.2344.log
2012-03-27 09:27 . 2012-03-27 09:27	51667	----a-w-	c:\programdata\fssg\2296.2252.log
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[7] 2011-02-26 . 3B69712041F3D63605529BD66DC00C48 . 2871808 . . [6.1.7601.21669] .. c:\windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7601.21669_none_b0333b22a99da332\explorer.exe
[-] 2011-02-25 . 10F5707366C265623BC50782DD21B2BB . 2388992 . . [6.1.7600.16385] .. c:\windows\explorer.exe
[7] 2011-02-25 . 332FEAB1435662FC6C672E25BEB37BE3 . 2871808 . . [6.1.7601.17567] .. c:\windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7601.17567_none_afa79dc39081d0ba\explorer.exe
[7] 2010-11-21 . AC4C51EB24AA95B77F705AB159189E24 . 2872320 . . [6.1.7601.17514] .. c:\windows\winsxs\amd64_microsoft-windows-explorer_31bf3856ad364e35_6.1.7601.17514_none_afdaac81905bf900\explorer.exe
.
(((((((((((((((((((((((((((((((((((((   Reg Opstartpunten   )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\Wow6432Node\~\Browser Helper Objects\{EA801577-E6AD-4BD5-8F71-4BE0154331A4}]
2011-08-19 21:13	287232	----a-w-	c:\program files\Classic Shell\ClassicIE9DLL_32.dll
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\ShareOverlay]
@="{594D4122-1F87-41E2-96C7-825FB4796516}"
[HKEY_CLASSES_ROOT\CLSID\{594D4122-1F87-41E2-96C7-825FB4796516}]
2011-08-19 21:13	505344	----a-w-	c:\program files\Classic Shell\ClassicExplorer32.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Steam"="c:\program files (x86)\Steam\Steam.exe" [2011-08-26 1242448]
"DAEMON Tools Lite"="c:\program files (x86)\DAEMON Tools Lite\DTLite.exe" [2011-11-10 3514176]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"AsioReg"="CTASIO.DLL" [2006-12-12 80896]
"CTHelper"="CTHELPER.EXE" [2006-12-12 19456]
"CTxfiHlp"="CTXFIHLP.EXE" [2006-12-12 20480]
"WinampAgent"="c:\program files (x86)\Winamp\winampa.exe" [2011-07-11 74752]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-06-06 937920]
"F-Secure Manager"="c:\program files (x86)\F-Secure\Common\FSM32.EXE" [2011-08-16 201384]
"F-Secure TNB"="c:\program files (x86)\F-Secure\FSGUI\TNBUtil.exe" [2011-08-16 1655464]
"Malwarebytes' Anti-Malware"="c:\program files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-01-13 460872]
"Trend Micro RUBotted V2.0 Beta"="c:\program files (x86)\Trend Micro\RUBotted\RUBottedGUI.exe" [2010-12-17 1103184]
"avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2012-03-06 4241512]
.
c:\users\ABerger\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
PlexRadar.lnk - c:\program files (x86)\Plextor\PlexUTILITIES\PlexRadar.exe [2010-7-9 2123264]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"mixer2"=wdmaud.drv
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 gupdate;Google Update-service (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-08-22 136176]
R3 ATICDSDr;ATICDSDr;c:\users\ABerger\AppData\Local\Temp\ATICDSDr.sys [x]
R3 CT20XUT.SYS;CT20XUT.SYS;c:\windows\System32\drivers\CT20XUT.SYS [x]
R3 CT20XUT;CT20XUT;c:\windows\system32\drivers\CT20XUT.SYS [x]
R3 CTEXFIFX.SYS;CTEXFIFX.SYS;c:\windows\System32\drivers\CTEXFIFX.SYS [x]
R3 CTEXFIFX;CTEXFIFX;c:\windows\system32\drivers\CTEXFIFX.SYS [x]
R3 CTHWIUT.SYS;CTHWIUT.SYS;c:\windows\System32\drivers\CTHWIUT.SYS [x]
R3 CTHWIUT;CTHWIUT;c:\windows\system32\drivers\CTHWIUT.SYS [x]
R3 dmvsc;dmvsc;c:\windows\system32\drivers\dmvsc.sys [x]
R3 FSORSPClient;F-Secure ORSP Client;c:\program files (x86)\F-Secure\ORSP Client\fsorsp.exe [2012-03-27 61088]
R3 GPU-Z;GPU-Z;c:\users\ABerger\AppData\Local\Temp\GPU-Z.sys [x]
R3 gupdatem;Google Update-service (gupdatem);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-08-22 136176]
R3 Microsoft SharePoint Workspace Audit Service;Microsoft SharePoint Workspace Audit Service;c:\program files\Microsoft Office\Office14\GROOVE.EXE [2011-06-12 51740536]
R3 ose64;Office 64 Source Engine;c:\program files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2010-01-09 174440]
R3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 4925184]
R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys [x]
R3 Synth3dVsc;Microsoft Virtual 3D Video Transport Driver;c:\windows\system32\drivers\Synth3dVsc.sys [x]
R3 terminpt;Microsoft Remote Desktop Input Driver;c:\windows\system32\drivers\terminpt.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
R3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys [x]
R3 tsusbhub;Remote Deskotop USB Hub;c:\windows\system32\drivers\tsusbhub.sys [x]
R3 VGPU;VGPU;c:\windows\system32\drivers\rdvgkmd.sys [x]
R3 WatAdminSvc;Windows Activation Technologies Service;c:\windows\system32\Wat\WatAdminSvc.exe [x]
S0 sptd;sptd;c:\windows\\SystemRoot\System32\Drivers\sptd.sys [x]
S1 aswKbd;aswKbd; [x]
S1 aswSnx;aswSnx; [x]
S1 aswSP;aswSP; [x]
S1 F-Secure HIPS;F-Secure HIPS Driver;c:\program files (x86)\F-Secure\HIPS\drivers\fshs.sys [2011-08-16 60040]
S1 FSES;F-Secure Email Scanning Driver;c:\windows\system32\drivers\fses.sys [x]
S1 FSFW;F-Secure Firewall Driver;c:\windows\system32\drivers\fsdfw.sys [x]
S1 fsvista;F-Secure Vista Support Driver;c:\program files (x86)\F-Secure\Anti-Virus\minifilter\fsvista.sys [2011-08-16 15016]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe [2011-06-06 64952]
S2 aswFsBlk;aswFsBlk; [x]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [x]
S2 cpuz135;cpuz135;c:\windows\system32\drivers\cpuz135_x64.sys [x]
S2 gdipp_svc_32;gdipp Service (32 bit);c:\program files (x86)\gdipp\gdipp_svc_32.exe [2010-04-23 171520]
S2 gdipp_svc_64;gdipp Service (64 bit);c:\program files (x86)\gdipp\gdipp_svc_64.exe [2010-04-23 196608]
S2 MBAMService;MBAMService;c:\program files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe [2012-01-13 652360]
S2 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [x]
S2 nvUpdatusService;NVIDIA Update Service Daemon;c:\program files (x86)\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe [2011-10-15 2253120]
S2 RUBotSrv;Trend Micro RUBotted Service;c:\program files (x86)\Trend Micro\RUBotted\RUBotSrv.exe [2010-12-17 439632]
S2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [2011-10-14 381248]
S3 F-Secure Gatekeeper;F-Secure Gatekeeper;c:\program files (x86)\F-Secure\Anti-Virus\minifilter\fsgk.sys [2012-03-27 198808]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [x]
.
.
--- Andere Services/Drivers In Geheugen ---
.
*NewlyCreated* - ASWSNX
.
Inhoud van de 'Gedeelde Taken' map
.
2012-03-27 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-08-22 22:44]
.
2012-03-27 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-08-22 22:44]
.
.
--------- x86-64 -----------
.
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EA801577-E6AD-4BD5-8F71-4BE0154331A4}]
2011-08-19 21:14	350208	----a-w-	c:\program files\Classic Shell\ClassicIE9DLL_64.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2012-03-06 23:15	135408	----a-w-	c:\program files\AVAST Software\Avast\ashShA64.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\ShareOverlay]
@="{594D4122-1F87-41E2-96C7-825FB4796516}"
[HKEY_CLASSES_ROOT\CLSID\{594D4122-1F87-41E2-96C7-825FB4796516}]
2011-08-19 21:14	629248	----a-w-	c:\program files\Classic Shell\ClassicExplorer64.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AsioReg"="CTASIO.DLL" [2006-12-12 103936]
"BCSSync"="c:\program files\Microsoft Office\Office14\BCSSync.exe" [2010-03-13 112512]
"Classic Start Menu"="c:\program files\Classic Shell\ClassicStartMenu.exe" [2011-08-19 98304]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x0
.
------- Bijkomende Scan -------
.
uLocal Page = c:\windows\system32\blank.htm
mLocal Page = c:\windows\SysWOW64\blank.htm
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~1\Office14\EXCEL.EXE/3000
IE: Se&nd to OneNote - c:\progra~1\MICROS~1\Office14\ONBttnIE.dll/105
IE: {{56753E59-AF1D-4FBA-9E15-31557124ADA2} - c:\program files\Classic Shell\ClassicIE9_32.exe
LSP: c:\program files (x86)\F-Secure\FSPS\program\FSLSP.DLL
TCP: DhcpNameServer = 192.168.0.1
FF - ProfilePath - c:\users\ABerger\AppData\Roaming\Mozilla\Firefox\Profiles\ecacxtfg.default\
FF - prefs.js: browser.startup.homepage - www.google.nl
.
- - - - ORPHANS VERWIJDERD - - - -
.
Wow6432Node-HKCU-Run-EA Core - c:\program files (x86)\Electronic Arts\EADM\Core.exe
Wow6432Node-HKU-Default-RunOnce-SetDefaultMIDI - MIDIDEF.EXE
HKLM-Run-AsioThk32Reg - %SYSTEMROOT%\SYSWOW64\CTASIO.DLL
.
.
.
--------------------- VERGRENDELDE REGISTER SLEUTELS ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash9f.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.9"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash9f.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash9f.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash9f.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D4304BCF-B8E9-4B35-BEA0-DC5B522670C2}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil9f.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D4304BCF-B8E9-4B35-BEA0-DC5B522670C2}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D4304BCF-B8E9-4B35-BEA0-DC5B522670C2}\LocalServer32]
@="c:\\Windows\\SysWow64\\Macromed\\Flash\\FlashUtil9f.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D4304BCF-B8E9-4B35-BEA0-DC5B522670C2}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{2E4BB6BE-A75F-4DC0-9500-68203655A2C4}]
@Denied: (A 2) (Everyone)
@="IFlashBroker"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{2E4BB6BE-A75F-4DC0-9500-68203655A2C4}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{2E4BB6BE-A75F-4DC0-9500-68203655A2C4}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Voltooingstijd: 2012-03-27  14:09:15
ComboFix-quarantined-files.txt  2012-03-27 12:09
.
Pre-Run: 21.083.856.896 bytes free
Post-Run: 20.635.906.048 bytes free
.
- - End Of File - - DAE906F59BD980EB2475C8DA15C0E707
4
Hoi,
Niorun schreef:Zou trouwens mijn Attach log verwijderd of hidden gemaakt kunnen worden?
Het attach logje heb ik verwijderd.

Je gebruikt twee real-time virusscanners (Avast & F-Secure) verwijder één van de twee virusscanners aangezien deze elkaar in de weg kunnen zitten.
Voer hierna een scan uit met de Emsisoft Emergency Kit.

Download de Emsisoft Emergency Kit naar het bureaublad en pak het ZIP bestand uit.
  • Open de map "EmsisoftEmergencyKit" en dubbelklik op "Start.exe"
  • Klik nu op "Emergency Kit Scanner" u krijg nu een melding dat het is aanbevolen om eerst te updaten sta dit toe door te klikken op "Ja" Afbeelding
  • Als de update gereed is en de melding "Update process is succesvol afgerond" verschijnt klikt u op "menu" en dan op "Scan PC"
  • Selecteer de optie "Diep" als deze niet standaard al zo is ingesteld.
  • Klik Nu op de knop "Scan" en doe verder niets op de computer tijdens het scannen, deze scan kan een geruime tijd in beslag nemen dus wacht dit geduldig af.
  • Het venster met de waarschuwing over een verhoogd risico kunt u sluiten als de scan gereed is.
  • Zorg ervoor dat alle gevonden items zijn aangevinkt en druk dan op de knop "verwijder geselecteerde" u zal nu de volgende melding krijgen maar klik hier op "Ja" Afbeelding
  • Als het verwijderen gereed is klikt u op de knop "Rapport bekijken" en selecteert u het tekstbestand van deze scan met de naam zoals: a2scan_110730-111615.txt
  • Plaats de inhoud van dit LOG bestand straks in uw volgende bericht.
  • Herstart nu de computer.
Member of UNITE Unified Network of Instructors and Trained Eliminators (Unite Against Malware)
5
Waar ik zelf achter ben gekomen is het volgende:

Zodra je PC opstart zie je heel kort je bureaublad. Klik 1 of 2 programma's aan waarvan je zeker weet dat deze snel opstarten.
Zodra het KLPD scherm in beeld komt, geef je CTRL+ALT+DEL en start je taakbeheer, in je taakbeheer kill je vervolgens je explorer.exe process (Hierdoor verdwijnt het KLPD Scherm) en in taakbeheer start je vervolgens een nieuw explorer.exe process. Nu wordt je bureaublad e.d. weer geladen zonder het KLPD gedeelte en kun je verder...

Ik hoop dat dit je helpt.
7
Niorun schreef:heh, hoe komt bovenstaande post ineens hier!?
Dit bericht is verplaatst aangezien het niet toegestaan is om op andere problemen te reageren in deze sectie van het forum, dit is alleen toegestaan door leden die behoren tot de groep Security Helper of de groep Security advisor

Zie ook de onderstaande 'forumregels' die eveneens bovenaan het forum staan vermeld.
Het reageren op infectieproblemen is alleen toegestaan door Security helper(s) & Security advisor(s) en helpers op het gebied van infectieproblemen.
Alle andere leden verzoeken wij vriendelijk om hier niet op andermans problemen te reageren, dit om de topics overzichtelijk te houden.
8
Heb ik helemaal gemist, excuses! Verhaal kwam mij bekend voor. Ik denk zal hem een tip geven! ;-)
9
Niorun schreef:Heb ik helemaal gemist, excuses! Verhaal kwam mij bekend voor. Ik denk zal hem een tip geven! ;-)
Dat kan gebeuren, maar in deze sectie willen we graag alles neutraal houden zodat problemen geheel individueel behandeld worden door één helper.

Tips die op een andere computer wel werken kunnen op een andere computer weer voor desastreuze gevolgen leiden, dit is dan ook de voornaamste reden dat dit soort probleem geheel individueel door één helper en leden van de groepen Security helper(s) & Security advisor(s) behandeld worden.

GEÏNFECTEERDE COMPUTER? WAT MOET U WEL EN NIET DOEN!
10
Het heeft inderdaad even geduurd.

Hierbij m'n log:

Code: Selecteer alles

Emsisoft Emergency Kit - Versie 1.0
Laatste Update: 27-3-2012 14:39:30

Scaninstellingen:

Scantype: Diepe Scan
Objecten: Geheugen, Sporen, Cookies, C:\, D:\, E:\, F:\, J:\
Scan archieven: Aan
Heuristieken: Uit
ADS Scan: Aan

Scan gestart:	27-3-2012 14:40:29

C:\Users\ABerger\AppData\Roaming\Mozilla\Firefox\Profiles\ecacxtfg.default\cookies.sqlite:13 	Ontdekt: Trace.TrackingCookie.doubleclick.net!A2
C:\Users\ABerger\AppData\Roaming\Mozilla\Firefox\Profiles\ecacxtfg.default\cookies.sqlite:21 	Ontdekt: Trace.TrackingCookie.doubleclick.net!A2
C:\Users\ABerger\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\19\5c30bc53-483be33b/a\a.class 	Ontdekt: Exploit.Java.CVE-2011-3544!IK
C:\Users\ABerger\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\19\5c30bc53-483be33b/a\Ner.class 	Ontdekt: Exploit.Java.CVE-2011-3544!IK
C:\Users\ABerger\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\2\68f0e242-131b4888/a\a.class 	Ontdekt: Exploit.Java.CVE-2010!IK
C:\Users\ABerger\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\2\68f0e242-131b4888/a\Ner.class 	Ontdekt: Trojan.Java.Exploit!IK
C:\Users\ABerger\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\38\5a318fa6-37dbe274/a\a.class 	Ontdekt: Exploit.Java.CVE-2010!IK
C:\Users\ABerger\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\38\5a318fa6-37dbe274/a\Ner.class 	Ontdekt: Trojan.Java.Exploit!IK
C:\Users\ABerger\Desktop\rkill.com 	Ontdekt: Backdoor.Win32.Hupigon!IK


Gescand

Bestanden: 	236315
Sporen: 	406617
Cookies: 	17
Processen: 	56

Gevonden

Bestanden: 	7
Sporen: 	0
Cookies: 	2
Processen: 	0
Registersleutels: 	0

Scan Geëindigd:	28-3-2012 1:53:33
Scantijd:	11:13:04

C:\Users\ABerger\Desktop\rkill.com	Verwijderd Backdoor.Win32.Hupigon!IK
C:\Users\ABerger\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\2\68f0e242-131b4888/a\Ner.class	Verwijderd Trojan.Java.Exploit!IK
C:\Users\ABerger\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\38\5a318fa6-37dbe274/a\Ner.class	Verwijderd Trojan.Java.Exploit!IK
C:\Users\ABerger\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\2\68f0e242-131b4888/a\a.class	Verwijderd Exploit.Java.CVE-2010!IK
C:\Users\ABerger\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\38\5a318fa6-37dbe274/a\a.class	Verwijderd Exploit.Java.CVE-2010!IK
C:\Users\ABerger\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\19\5c30bc53-483be33b/a\a.class	Verwijderd Exploit.Java.CVE-2011-3544!IK
C:\Users\ABerger\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\19\5c30bc53-483be33b/a\Ner.class	Verwijderd Exploit.Java.CVE-2011-3544!IK
C:\Users\ABerger\AppData\Roaming\Mozilla\Firefox\Profiles\ecacxtfg.default\cookies.sqlite:13	Verwijderd Trace.TrackingCookie.doubleclick.net!A2
C:\Users\ABerger\AppData\Roaming\Mozilla\Firefox\Profiles\ecacxtfg.default\cookies.sqlite:21	Verwijderd Trace.TrackingCookie.doubleclick.net!A2

Verwijderd

Bestanden: 	7
Sporen: 	0
Cookies: 	2
12
Er zijn zo te zien geen problemen meer, ik heb het KLPD scherm niet meer gezien. :w00t:

Ik zal vanavond of morgen nog eens scannen met m'n eigen scanner, om er zeker van te zijn dat er niks aparts meer mee draait!

Bedankt Maxster! :dank:
13
Hoi,

Graag gedaan en mooi dat de problemen zijn verholpen.. :good:

De volgende programma's en bijbehorende log bestanden mag je verwijderen.
  • DDS
  • Emsisoft Emergency Kit
  • ComboFix via de onderstaande instructies.
Verwijderen ComboFix, kopiëer het onderstaande commando met (Ctrl + C):
Combofix /Uninstall (let op!!! de spatie voor /Uninstall)

Klik Start -> Uitvoeren, en plak (Ctrl + V) het commando, toets vervolgens Ctrl + Shift + Enter. Afbeelding
Aangezien de problemen zijn verholpen adviseer ik u nog wel even het onderstaande uit te voeren.

1.) Systeemherstelpunten verwijderen
Als de computer geïnfecteerd is geweest met een malware infectie is het raadzaam om alle aanwezige systeemherstelpunten te verwijderen, want hier kunnen namelijk besmette herstelpunten tussen zitten.
  • Hoe u de herstelpunten verwijderd leest u hier
  • Hoe u zelf snel een nieuw systeemherstelpunt aan kunt maken leest u hier
2.) Installeren van essentiële updates.
Hoe u uw besturingssysteem en overige software up to date houdt kunt u hier lezen.
Door middel van het programma Secunia PSI wordt u automatisch gewaarschuwd indien er updates voor de geïnstalleerde software beschikbaar is, meer informatie leest u hier

3.) Pas op voor 'Phishing' berichten.
Phishing is een vorm van internet oplichting (fraude), met valse e-mailberichten en websites die er vertrouwd uitzien wordt er getracht 'logingegevens' en andere persoonlijke informatie te achterhalen.
Dit gebeurt vaak op hele slinkse manieren, zoals bijvoorbeeld e-mailberichten waarin u gevraagd wordt uw inloggegevens te verifiëren, in deze gevallen wordt u vaak naar een valse (clone) website gestuurd, zodra u uw gegevens hier hebt ingevoerd zijn deze in de handen van de kwaadwillende met alle gevolgen van dien.
Meer informatie leest u hier

4.) Gebruikersaccounts
Met dit account heeft u dus het volledige beheer van de computer in handen, het is dan ook niet aan te raden om dit account als primair account voor het dagelijkse gebruik in te stellen.
Meer informatie hierover leest u hier

5.) Risico's bij het downloaden
Peer to Peer (P2P) netwerken en ook Usenet (nieuwsgroepen) zijn een grote bron op het internet wat betreft het verspreiden van malware, het aanbieden van 'gevaarlijke' software (malware) gebeurt vrijwel anoniem waardoor dit een veel gebruikte methode is voor het verspreiden van malware.
Meer informatie hierover leest u hier

6.) Preventie informatie & het gebruik van beveiligings software.
Hier en hier staat informatie hoe u een infectie kunt voorkomen, lees dit eens op uw gemak door.

Meer informatie over het gebruik van "beveiligings software" en "valse (nep) software" (rogueware) leest u hier
Member of UNITE Unified Network of Instructors and Trained Eliminators (Unite Against Malware)
14
Prima, laatste post met instructies had niet gehoeven. ;) Toch bedankt!

Topic kan/mag gesloten/verwijderd worden.
15
Omdat het probleem is verholpen wordt dit topic gesloten en verplaatst naar de sectie opgeloste problemen / logs.

Als u dit topic heropent wilt hebben, dan kunt u mij of één van moderators een (PB) privébericht sturen met een link naar dit betreffende topic.

Indien het topic al langere tijd is gesloten kunt u het beste hier een nieuw topic aanmaken, en eventueel verwijzen naar dit topic.


Voor alle andere vragen kunt u in het juiste forum een nieuw onderwerp starten.
Member of UNITE Unified Network of Instructors and Trained Eliminators (Unite Against Malware)
Gesloten

Terug naar “Hulp bij malware problemen, adware, ongewenste software en een trage computer”