Ook bij mij heeft de Trojan toegeslagen: KLPD schermen alom.
Kon nog wel in veilige modus opstarten en heb de gepubliceerde handleiding gevolgd. Malwarebytes kwam geen enkel probleem tegen.
Heb hiervoor nog wel een volledige scan door Microsoft Ecuruty Essentials laten uitvoeren die wat problemen tegenkwam en verwijderde, maar na het opstarten is het KLPD-probleem gewoon nog aanwezig.
DDS laten draaien, waarvan de log-files hierbij zitten.
Ben benieuwd naar jullie reactie en bij voorbaat dank !!
Malwarebytes Anti-Malware (-evaluatieversie-) 1.60.1.1000
http://www.malwarebytes.org" onclick="window.open(this.href);return false;
Databaseversie: v2012.03.27.02
Windows 7 Service Pack 1 x86 NTFS (Veilige modus/netwerkmogelijkheden)
Internet Explorer 9.0.8112.16421
Edgar :: EDGAREGGEN-HP [administrator]
Realtime bescherming: Uitgeschakeld
27-3-2012 14:45:53
mbam-log-2012-03-27 (14-45-53).txt
Scantype: Snelle scan
Ingeschakelde scanopties: Geheugen | Opstartitems | Register | Bestanden en mappen | Heuristiek/Extra | Heuristiek/Shuriken | PUP | PUM
Uitgeschakelde scanopties: P2P
Objecten gescand: 254974
Verstreken tijd: 6 minuut/minuten, 12 seconde(n)
Geheugenprocessen gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)
Geheugenmodulen gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)
Registersleutels gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)
Registerwaarden gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)
Registerdata gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)
Mappen gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)
Bestanden gedetecteerd: 0
(Geen kwaadaardige objecten gedetecteerd)
(einde)
.
DDS (Ver_2011-08-26.01) - NTFSx86 NETWORK
Internet Explorer: 9.0.8112.16421
Run by Edgar at 14:59:57 on 2012-03-27
Microsoft Windows 7 Professional 6.1.7601.1.1252.31.1043.18.3543.2709 [GMT 2:00]
.
AV: Microsoft Security Essentials *Enabled/Updated* {108DAC43-C256-20B7-BB05-914135DA5160}
SP: Microsoft Security Essentials *Enabled/Updated* {ABEC4DA7-E46C-2F39-81B5-AA334E5D1BDD}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
============== Running Processes ===============
.
C:\Windows\system32\wininit.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe -k DcomLaunch
C:\Windows\system32\svchost.exe -k RPCSS
c:\Program Files\Microsoft Security Client\Antimalware\MsMpEng.exe
C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
C:\Windows\system32\svchost.exe -k netsvcs
C:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted
C:\Windows\system32\svchost.exe -k LocalService
C:\Windows\system32\svchost.exe -k NetworkService
C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation
C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
C:\Program Files\Hewlett-Packard\HP ProtectTools Security Manager\Bin\DPAgent.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Microsoft Security Client\msseces.exe
C:\Windows\System32\svchost.exe -k swprv
C:\Windows\system32\conhost.exe
C:\Windows\system32\wbem\wmiprvse.exe
.
============== Pseudo HJT Report ===============
.
uStart Page = hxxp://www.google.nl/" onclick="window.open(this.href);return false;
uDefault_Page_URL = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=nl_NL&c=93&bd=all&pf=cmdt" onclick="window.open(this.href);return false;
mDefault_Page_URL = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=nl_NL&c=93&bd=all&pf=cmdt" onclick="window.open(this.href);return false;
mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=nl_NL&c=93&bd=all&pf=cmdt" onclick="window.open(this.href);return false;
uInternet Settings,ProxyOverride = *.local
uURLSearchHooks: H - No File
mWinlogon: Userinit=c:\windows\system32\userinit.exe,c:\program files\hewlett-packard\hp protecttools security manager\bin\DPAgent.exe,
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: File Sanitizer for HP ProtectTools: {3134413b-49b4-425c-98a5-893c1f195601} - c:\program files\hewlett-packard\file sanitizer\IEBHO.dll
BHO: HP ProtectTools Security Manager Extension: {395610ae-c624-4f58-b89e-23733ea00f9a} - c:\program files\hewlett-packard\hp protecttools security manager\bin\DpOtsPluginIe8.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\java\jre6\bin\jp2ssv.dll
uRun: [Sidebar] c:\program files\windows sidebar\sidebar.exe /autoRun
uRun: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "c:\program files\common files\nero\lib\NMBgMonitor.exe"
uRun: [uTorrent] "c:\program files\utorrent\uTorrent.exe" /MINIMIZED
uRun: [MobileDocuments] c:\program files\common files\apple\internet services\ubd.exe
mRun: [RtHDVCpl] c:\program files\realtek\audio\hda\RtHDVCpl.exe
mRun: [picon] "c:\program files\common files\intel\privacy icon\PrivacyIconClient.exe" -startup
mRun: [PDF Complete] c:\program files\pdf complete\pdfsty.exe
mRun: [File Sanitizer] c:\program files\hewlett-packard\file sanitizer\CoreShredder.exe
mRun: [acevents] "c:\program files\actividentity\activclient\acevents.exe"
mRun: [<NO NAME>]
mRun: [accrdsub] "c:\program files\actividentity\activclient\accrdsub.exe"
mRun: [NBKeyScan] "c:\program files\nero\nero8\nero backitup\NBKeyScan.exe"
mRun: [ToolBoxFX] "c:\program files\hp\toolboxfx\bin\HPTLBXFX.exe" /enum:on /alerts:on /notifications:on /systrayIcon:on /fl:on /fr:on /appData:on
mRun: [MSC] "c:\program files\microsoft security client\msseces.exe" -hide -runkey
mRun: [IgfxTray] c:\windows\system32\igfxtray.exe
mRun: [HotKeysCmds] c:\windows\system32\hkcmd.exe
mRun: [Persistence] c:\windows\system32\igfxpers.exe
mRun: [APSDaemon] "c:\program files\common files\apple\apple application support\APSDaemon.exe"
mRun: [SunJavaUpdateSched] "c:\program files\common files\java\java update\jusched.exe"
mRun: [QuickTime Task] "c:\program files\quicktime\QTTask.exe" -atboottime
mRun: [iTunesHelper] "c:\program files\itunes\iTunesHelper.exe"
mRun: [Adobe Reader Speed Launcher] "c:\program files\adobe\reader 9.0\reader\Reader_sl.exe"
mRun: [Adobe ARM] "c:\program files\common files\adobe\arm\1.0\AdobeARM.exe"
mRun: [TrueImageMonitor.exe] "c:\program files\acronis\trueimagehome\TrueImageMonitor.exe"
mRun: [Acronis Scheduler2Service] "c:\program files\common files\acronis\schedule2\schedhlp.exe"
mRun: [Update] c:\users\edgar\appdata\roaming\0.948672486217656.exe
mRunOnce: [Malwarebytes Anti-Malware] c:\program files\malwarebytes' anti-malware\mbamgui.exe /install /silent
mPolicies-explorer: NoWelcomeScreen = 1 (0x1)
mPolicies-system: ConsentPromptBehaviorAdmin = 0 (0x0)
mPolicies-system: ConsentPromptBehaviorUser = 3 (0x3)
mPolicies-system: EnableLUA = 0 (0x0)
mPolicies-system: EnableUIADesktopToggle = 0 (0x0)
mPolicies-system: PromptOnSecureDesktop = 0 (0x0)
mPolicies-system: EnableLinkedConnections = 1 (0x1)
IE: E&xporteren naar Microsoft Excel - c:\progra~1\micros~1\office12\EXCEL.EXE/3000
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\progra~1\micros~1\office12\REFIEBAR.DLL
Trusted Zone: //about.htm/
Trusted Zone: //Exclude.htm/
Trusted Zone: //FWEvent.htm/
Trusted Zone: //LanguageSelection.htm/
Trusted Zone: //Message.htm/
Trusted Zone: //MyAgttryCmd.htm/
Trusted Zone: //MyAgttryNag.htm/
Trusted Zone: //MyNotification.htm/
Trusted Zone: //NOCLessUpdate.htm/
Trusted Zone: //quarantine.htm/
Trusted Zone: //ScanNow.htm/
Trusted Zone: //strings.vbs/
Trusted Zone: //Template.htm/
Trusted Zone: //Update.htm/
Trusted Zone: //VirFound.htm/
Trusted Zone: mcafee.com\*
Trusted Zone: mcafeeasap.com\betavscan
Trusted Zone: mcafeeasap.com\vs
Trusted Zone: mcafeeasap.com\www
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab" onclick="window.open(this.href);return false;
DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab" onclick="window.open(this.href);return false;
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab" onclick="window.open(this.href);return false;
DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab" onclick="window.open(this.href);return false;
DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" onclick="window.open(this.href);return false;
TCP: DhcpNameServer = 10.7.93.10
TCP: Interfaces\{FA945B7E-CA07-474B-B5B0-6A8666C52535} : NameServer = 10.7.93.10
TCP: Interfaces\{FA945B7E-CA07-474B-B5B0-6A8666C52535} : DhcpNameServer = 10.7.93.10
Notify: DeviceNP - DeviceNP.dll
Notify: igfxcui - igfxdev.dll
LSA: Notification Packages = DPPassFilter scecli
.
============= SERVICES / DRIVERS ===============
.
R0 fltsrv;Acronis Storage Filter Management;c:\windows\system32\drivers\fltsrv.sys [2012-3-13 76768]
R0 SafeBoot;SafeBoot;c:\windows\system32\drivers\SafeBoot.sys [2009-10-5 110520]
R0 SbAlg;SbAlg;c:\windows\system32\drivers\SbAlg.sys [2009-10-5 51800]
R0 SbFsLock;SbFsLock;c:\windows\system32\drivers\SbFsLock.sys [2009-10-5 13256]
R0 vididr;Acronis Virtual Disk;c:\windows\system32\drivers\vididr.sys [2012-3-13 126112]
R0 vidsflt58;Acronis Disk Storage Filter (58);c:\windows\system32\drivers\vsflt58.sys [2012-3-13 84512]
R1 raddrvv3;raddrvv3;c:\windows\system32\rserver30\raddrvv3.sys [2009-10-9 46304]
R3 e1kexpress;Intel(R) PRO/1000 PCI Express Network Connection Driver K;c:\windows\system32\drivers\e1k6232.sys [2009-12-23 206304]
R3 TDAUSBPT;Panasonic KX-TDA USB PT Unit driver;c:\windows\system32\drivers\TDAUSBPT.sys [2010-1-4 20992]
S1 MpFilter;Microsoft Malware Protection Driver;c:\windows\system32\drivers\MpFilter.sys [2011-4-18 165648]
S1 RsvLock;RsvLock;c:\windows\system32\drivers\rsvlock.sys [2009-10-5 40088]
S2 ac.sharedstore;ActivIdentity Shared Store Service;c:\program files\common files\actividentity\ac.sharedstore.exe [2009-6-3 207400]
S2 afcdpsrv;Acronis Nonstop Backup-service ;c:\program files\common files\acronis\cdp\afcdpsrv.exe [2012-3-13 3422160]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\microsoft.net\framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384]
S2 HP ProtectTools Service;HP ProtectTools Service;c:\program files\hewlett-packard\2009 password filter for hp protecttools\PTChangeFilterService.exe [2009-9-11 36864]
S2 HP Support Assistant Service;HP Support Assistant Service;c:\program files\hewlett-packard\hp support framework\HPSA_Service.exe [2011-6-21 85560]
S2 HPDrvMntSvc.exe;HP Quick Synchronization Service;c:\program files\hewlett-packard\shared\HPDrvMntSvc.exe [2011-3-28 94264]
S2 HpFkCryptService;Drive Encryption Service;c:\program files\hewlett-packard\drive encryption\HpFkCrypt.exe [2009-10-5 277096]
S2 HPFSService;File Sanitizer for HP ProtectTools;c:\program files\hewlett-packard\file sanitizer\HPFSService.exe [2009-8-11 293376]
S2 MBAMService;MBAMService;c:\program files\malwarebytes' anti-malware\mbamservice.exe [2012-3-27 652360]
S2 pdfcDispatcher;PDF Document Manager;c:\program files\pdf complete\pdfsvc.exe [2009-12-22 635416]
S2 RServer3;Radmin Server V3;c:\windows\system32\rserver30\rserver3.exe [2009-10-9 1242504]
S2 syncagentsrv;Acronis Sync Agent Service;c:\program files\common files\acronis\syncagent\syncagentsrv.exe [2011-9-23 5734360]
S2 UNS;Intel(R) Management and Security Application User Notification Service;c:\program files\common files\intel\privacy icon\uns\UNS.exe [2009-12-22 2066968]
S3 afcdp;afcdp;c:\windows\system32\drivers\afcdp.sys [2012-3-13 234752]
S3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\system32\drivers\b57nd60x.sys [2009-7-14 229888]
S3 DAMDrv;DAMDrv;c:\windows\system32\drivers\DAMDrv.sys [2009-9-8 32312]
S3 FLCDLOCK;HP ProtectTools Device Locking / Auditing;c:\windows\system32\flcdlock.exe [2009-9-8 362040]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2012-3-27 20464]
S3 MfeRKDK;McAfee Inc. MfeRKDK;c:\windows\system32\drivers\mferkdk.sys [2009-12-24 34248]
S3 mirrorv3;mirrorv3;c:\windows\system32\drivers\rminiv3.sys [2009-10-9 3328]
S3 MpNWMon;Microsoft Malware Protection Network Driver;c:\windows\system32\drivers\MpNWMon.sys [2011-4-18 43392]
S3 NisDrv;Microsoft Network Inspection System;c:\windows\system32\drivers\NisDrvWFP.sys [2011-4-27 65024]
S3 NisSrv;Microsoft Network Inspection;c:\program files\microsoft security client\antimalware\NisSrv.exe [2011-4-27 208944]
S3 StorSvc;Storage Service;c:\windows\system32\svchost.exe -k LocalSystemNetworkRestricted [2009-7-14 20992]
S3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\TsUsbFlt.sys [2011-6-23 52224]
S3 WatAdminSvc;Windows Activation Technologies-service;c:\windows\system32\wat\WatAdminSvc.exe [2010-6-15 1343400]
S3 WDC_SAM;WD SCSI Pass Thru driver;c:\windows\system32\drivers\wdcsam.sys [2008-5-13 11520]
.
=============== Created Last 30 ================
.
2012-03-27 12:44:46 -------- d-----w- c:\users\edgar\appdata\roaming\Malwarebytes
2012-03-27 12:44:42 20464 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-03-27 12:44:42 -------- d-----w- c:\programdata\Malwarebytes
2012-03-27 12:44:42 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2012-03-27 10:39:16 6582328 ----a-w- c:\programdata\microsoft\microsoft antimalware\definition updates\{f9b1c27b-0588-4a0f-a396-bef742e05b46}\mpengine.dll
2012-03-27 10:26:08 148480 ----a-w- c:\users\edgar\appdata\roaming\0.948672486217656.exe
2012-03-14 16:27:34 3968368 ----a-w- c:\windows\system32\ntkrnlpa.exe
2012-03-14 16:27:33 3913584 ----a-w- c:\windows\system32\ntoskrnl.exe
2012-03-14 04:09:58 2343424 ----a-w- c:\windows\system32\win32k.sys
2012-03-14 04:09:58 1077248 ----a-w- c:\windows\system32\DWrite.dll
2012-03-14 04:09:39 8192 ----a-w- c:\windows\system32\rdrmemptylst.exe
2012-03-14 04:09:39 58880 ----a-w- c:\windows\system32\rdpwsx.dll
2012-03-14 04:09:39 129536 ----a-w- c:\windows\system32\rdpcorekmts.dll
2012-03-14 04:09:38 826880 ----a-w- c:\windows\system32\rdpcore.dll
2012-03-14 04:09:38 24576 ----a-w- c:\windows\system32\drivers\tdtcp.sys
2012-03-14 04:09:38 183808 ----a-w- c:\windows\system32\drivers\rdpwd.sys
2012-03-13 10:20:00 234752 ----a-w- c:\windows\system32\drivers\afcdp.sys
2012-03-13 10:19:56 766208 ----a-w- c:\windows\system32\drivers\tdrpman.sys
2012-03-13 10:19:54 609760 ----a-w- c:\windows\system32\drivers\timntr.sys
2012-03-13 10:19:44 84512 ----a-w- c:\windows\system32\drivers\vsflt58.sys
2012-03-13 10:19:44 126112 ----a-w- c:\windows\system32\drivers\vididr.sys
2012-03-13 10:19:41 170496 ----a-w- c:\windows\system32\drivers\snapman.sys
2012-03-13 10:19:35 76768 ----a-w- c:\windows\system32\drivers\fltsrv.sys
.
==================== Find3M ====================
.
2012-02-21 07:05:59 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-01-31 12:44:05 237072 ------w- c:\windows\system32\MpSigStub.exe
2012-01-04 08:58:41 442880 ----a-w- c:\windows\system32\ntshrui.dll
2011-12-30 05:27:56 478720 ----a-w- c:\windows\system32\timedate.cpl
.
============= FINISH: 15:00:03,50 ===============
2
Administrator
Administrator
Hoi en welkom op het forum,
Download ComboFix van één van deze locaties:
Link 1
Link 2
* BELANGRIJK !!! Sla ComboFix.exe op je Bureaublad op, maar start deze nog niet.
Note: Dit script is speciaal bedoeld voor deze PC, gebruik dit dan ook niet op andere PC's met een gelijkwaardig probleem.
Open Kladblok.
Kopieer en plak het volgende (vetgedrukte, blauwe tekst) in een leeg venster:
DDS::
uURLSearchHooks: H -
mRun: [<NO NAME>]
mRun: [Update]
File::
c:\users\edgar\appdata\roaming\0.948672486217656.exe
Sla dit op op je Bureaublad als CFScript.txt
Sleep CFScript.txt in ComboFix.exe zoals getoond in onderstaand voorbeeld:
Dit zal ComboFix laten starten.
Start opnieuw op als daarom gevraagd wordt, en post de inhoud van de Combofix.txt in je volgende antwoord.
Download ComboFix van één van deze locaties:
Link 1
Link 2
* BELANGRIJK !!! Sla ComboFix.exe op je Bureaublad op, maar start deze nog niet.
Note: Dit script is speciaal bedoeld voor deze PC, gebruik dit dan ook niet op andere PC's met een gelijkwaardig probleem.
Open Kladblok.
Kopieer en plak het volgende (vetgedrukte, blauwe tekst) in een leeg venster:
DDS::
uURLSearchHooks: H -
mRun: [<NO NAME>]
mRun: [Update]
File::
c:\users\edgar\appdata\roaming\0.948672486217656.exe
Sla dit op op je Bureaublad als CFScript.txt
Sleep CFScript.txt in ComboFix.exe zoals getoond in onderstaand voorbeeld:
Dit zal ComboFix laten starten.Start opnieuw op als daarom gevraagd wordt, en post de inhoud van de Combofix.txt in je volgende antwoord.
Member of UNITE Unified Network of Instructors and Trained Eliminators (Unite Against Malware)
3
PC Web Plus - Member
PC Web Plus - Member
Gehele procedure doorgevoerd.
Computer start weer in normale mode op zonder KLPD scherm.
Loop er nu echter wel tegen diverse andere problemen aan:
Bij openen explorer: foutmelding Interface wordt niet ondersteund ( dus ook geen internet om jullie te antwoorden en ook de Combofix logfile is niet te benaderen). In veilige modus idem.
Opstarten excel meldingsscherm met alleen: stdole32.tlb Geen nadere info, maar alleen de mogelijkheid op ok te drukken. Hierna start excel wel normaal op.
Opstarten Word: het bestand Normal kan niet worden geopend omdat er problemen met de inhoud zijn. Geen foutdetails beschikbaar. Hierna wel mogelijk in word te komen. Bij afsluiten de melding: om deze functie juist te kunnen installeren, is MSXML 5.0 vereist. Voer setup uit en klik op herstellen om dit onderdeel te herstellen. Bij klikken OK, bestandsfout opgetreden c:\users\.........\normal.dotm
Alle bovenstaande meldingen komen zowel in veilige als normale mode.
Hopelijk hebben jullie enig idee wat de remedie kan zijn.
In ieder geval alvast weer bedankt !!!!
Computer start weer in normale mode op zonder KLPD scherm.
Loop er nu echter wel tegen diverse andere problemen aan:
Bij openen explorer: foutmelding Interface wordt niet ondersteund ( dus ook geen internet om jullie te antwoorden en ook de Combofix logfile is niet te benaderen). In veilige modus idem.
Opstarten excel meldingsscherm met alleen: stdole32.tlb Geen nadere info, maar alleen de mogelijkheid op ok te drukken. Hierna start excel wel normaal op.
Opstarten Word: het bestand Normal kan niet worden geopend omdat er problemen met de inhoud zijn. Geen foutdetails beschikbaar. Hierna wel mogelijk in word te komen. Bij afsluiten de melding: om deze functie juist te kunnen installeren, is MSXML 5.0 vereist. Voer setup uit en klik op herstellen om dit onderdeel te herstellen. Bij klikken OK, bestandsfout opgetreden c:\users\.........\normal.dotm
Alle bovenstaande meldingen komen zowel in veilige als normale mode.
Hopelijk hebben jullie enig idee wat de remedie kan zijn.
In ieder geval alvast weer bedankt !!!!
4
Administrator
Administrator
Hoi,
1. Heb je de computer al eens opnieuw opgestart nadat ComboFix gereed was?
2. Is op de C Schijf wel C:\ComboFix.txt aanwezig?
1. Heb je de computer al eens opnieuw opgestart nadat ComboFix gereed was?
2. Is op de C Schijf wel C:\ComboFix.txt aanwezig?
Member of UNITE Unified Network of Instructors and Trained Eliminators (Unite Against Malware)
5
PC Web Plus - Member
PC Web Plus - Member
Hoi,
Diverse keren opnieuw opgestart in zowel veilige als normale modus. Dit maakte geen enkel verschil.
Combofix-file op c: niet via explorer kunnen benaderen, maar nog wel via de goede oude Dos-prompt.
Deze volledige logfile is aanwezig, maar niet hierbij te plaatsen, aangezien internet niet benaderbaar is. Ook copieren naar usb-stick, etc. is niet mogelijk door weigerende Explorer. Ook nieuwe mail aanmaken werkt niet.
Diverse keren opnieuw opgestart in zowel veilige als normale modus. Dit maakte geen enkel verschil.
Combofix-file op c: niet via explorer kunnen benaderen, maar nog wel via de goede oude Dos-prompt.
Deze volledige logfile is aanwezig, maar niet hierbij te plaatsen, aangezien internet niet benaderbaar is. Ook copieren naar usb-stick, etc. is niet mogelijk door weigerende Explorer. Ook nieuwe mail aanmaken werkt niet.
6
PC Web Plus - Member
PC Web Plus - Member
Waar ik zelf achter ben gekomen is het volgende:
Zodra je PC opstart zie je heel kort je bureaublad. Klik 1 of 2 programma's aan waarvan je zeker weet dat deze snel opstarten.
Zodra het KLPD scherm in beeld komt, geef je CTRL+ALT+DEL en start je taakbeheer, in je taakbeheer kill je vervolgens je explorer.exe process (Hierdoor verdwijnt het KLPD Scherm) en in taakbeheer start je vervolgens een nieuw explorer.exe process. Nu wordt je bureaublad e.d. weer geladen zonder het KLPD gedeelte en kun je verder...
Ik hoop dat dit je helpt.
Zodra je PC opstart zie je heel kort je bureaublad. Klik 1 of 2 programma's aan waarvan je zeker weet dat deze snel opstarten.
Zodra het KLPD scherm in beeld komt, geef je CTRL+ALT+DEL en start je taakbeheer, in je taakbeheer kill je vervolgens je explorer.exe process (Hierdoor verdwijnt het KLPD Scherm) en in taakbeheer start je vervolgens een nieuw explorer.exe process. Nu wordt je bureaublad e.d. weer geladen zonder het KLPD gedeelte en kun je verder...
Ik hoop dat dit je helpt.
7
PC Web Plus - Member
PC Web Plus - Member
Uiteindelijk met wat installatiesoftware de mail weer werkend, zodoende ook de Combofix logfile kunnen verzenden:
ComboFix 12-03-27.02 - Edgar 27-03-2012 15:42:31.1.2 - x86 NETWORK
Microsoft Windows 7 Professional 6.1.7601.1.1252.31.1043.18.3543.2660 [GMT 2:00]
Gestart vanuit: c:\users\edgar\Office Genuine Advantage\Desktop\ComboFix.exe
gebruikte Opdracht switches :: c:\users\edgar\Office Genuine Advantage\Desktop\CFScript.txt
AV: Microsoft Security Essentials *Enabled/Updated* {108DAC43-C256-20B7-BB05-914135DA5160}
SP: Microsoft Security Essentials *Enabled/Updated* {ABEC4DA7-E46C-2F39-81B5-AA334E5D1BDD}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
* Nieuw herstelpunt werd aangemaakt
.
FILE ::
"c:\users\edgar\appdata\roaming\0.948672486217656.exe"
.
.
(((((((((((((((((((((((((((((((((( Andere Verwijderingen )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\edgar\appdata\roaming\0.948672486217656.exe
c:\windows\iun6002.exe
c:\windows\jestertb.dll
.
.
(((((((((((((((((((( Bestanden Gemaakt van 2012-02-27 to 2012-03-27 ))))))))))))))))))))))))))))))
.
.
2012-03-27 13:46 . 2012-03-27 13:46 -------- d-----w- c:\users\edgar\AppData\Local\temp
2012-03-27 13:46 . 2012-03-27 13:46 -------- d-----w- c:\users\Default\AppData\Local\temp
2012-03-27 12:44 . 2012-03-27 12:44 -------- d-----w- c:\users\edgar\AppData\Roaming\Malwarebytes
2012-03-27 12:44 . 2012-03-27 12:44 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2012-03-27 12:44 . 2012-03-27 12:44 -------- d-----w- c:\programdata\Malwarebytes
2012-03-27 12:44 . 2011-12-10 13:24 20464 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-03-27 10:39 . 2012-03-14 02:15 6582328 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{F9B1C27B-0588-4A0F-A396-BEF742E05B46}\mpengine.dll
2012-03-14 16:27 . 2011-11-19 14:50 3968368 ----a-w- c:\windows\system32\ntkrnlpa.exe
2012-03-14 16:27 . 2011-11-19 14:50 3913584 ----a-w- c:\windows\system32\ntoskrnl.exe
2012-03-14 04:09 . 2012-02-10 05:38 1077248 ----a-w- c:\windows\system32\DWrite.dll
2012-03-14 04:09 . 2012-02-03 03:54 2343424 ----a-w- c:\windows\system32\win32k.sys
2012-03-14 04:09 . 2012-01-25 05:32 58880 ----a-w- c:\windows\system32\rdpwsx.dll
2012-03-14 04:09 . 2012-01-25 05:32 129536 ----a-w- c:\windows\system32\rdpcorekmts.dll
2012-03-14 04:09 . 2012-01-25 05:27 8192 ----a-w- c:\windows\system32\rdrmemptylst.exe
2012-03-14 04:09 . 2012-02-17 05:34 826880 ----a-w- c:\windows\system32\rdpcore.dll
2012-03-14 04:09 . 2012-02-17 04:14 183808 ----a-w- c:\windows\system32\drivers\rdpwd.sys
2012-03-14 04:09 . 2012-02-17 04:13 24576 ----a-w- c:\windows\system32\drivers\tdtcp.sys
2012-03-13 10:20 . 2012-03-13 10:20 234752 ----a-w- c:\windows\system32\drivers\afcdp.sys
2012-03-13 10:19 . 2012-03-13 10:19 766208 ----a-w- c:\windows\system32\drivers\tdrpman.sys
2012-03-13 10:19 . 2012-03-13 10:19 609760 ----a-w- c:\windows\system32\drivers\timntr.sys
2012-03-13 10:19 . 2012-03-13 10:19 84512 ----a-w- c:\windows\system32\drivers\vsflt58.sys
2012-03-13 10:19 . 2012-03-13 10:19 126112 ----a-w- c:\windows\system32\drivers\vididr.sys
2012-03-13 10:19 . 2012-03-13 10:19 170496 ----a-w- c:\windows\system32\drivers\snapman.sys
2012-03-13 10:19 . 2012-03-13 10:19 76768 ----a-w- c:\windows\system32\drivers\fltsrv.sys
2012-03-13 10:19 . 2012-03-13 10:20 -------- d-----w- c:\program files\Common Files\Acronis
2012-03-13 10:19 . 2012-03-13 10:19 -------- d-----w- c:\program files\Acronis
.
.
.
((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-03-14 02:15 . 2011-08-08 06:07 6582328 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2012-02-21 07:05 . 2011-08-16 06:02 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-02-13 09:05 . 2012-02-13 09:07 713784 ------w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{391C1356-66F0-45E6-9445-95377F657DC7}\gapaengine.dll
2012-01-31 12:44 . 2009-12-22 16:34 237072 ------w- c:\windows\system32\MpSigStub.exe
2012-01-04 08:58 . 2012-02-16 10:40 442880 ----a-w- c:\windows\system32\ntshrui.dll
2011-12-30 05:27 . 2012-02-16 10:40 478720 ----a-w- c:\windows\system32\timedate.cpl
.
.
((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2010-11-20 1174016]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Nero\Lib\NMBgMonitor.exe" [2008-12-12 132392]
"MobileDocuments"="c:\program files\Common Files\Apple\Internet Services\ubd.exe" [2012-02-23 59240]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2009-07-02 7596576]
"picon"="c:\program files\Common Files\Intel\Privacy Icon\PrivacyIconClient.exe" [2009-07-24 796696]
"PDF Complete"="c:\program files\PDF Complete\pdfsty.exe" [2009-06-18 563736]
"File Sanitizer"="c:\program files\Hewlett-Packard\File Sanitizer\CoreShredder.exe" [2009-08-11 11258368]
"acevents"="c:\program files\ActivIdentity\ActivClient\acevents.exe" [2009-06-03 153640]
"accrdsub"="c:\program files\ActivIdentity\ActivClient\accrdsub.exe" [2009-06-03 400936]
"NBKeyScan"="c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2008-12-02 2221352]
"ToolBoxFX"="c:\program files\HP\ToolBoxFX\bin\HPTLBXFX.exe" [2006-06-15 49152]
"MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2011-06-15 997920]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2011-02-11 137752]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2011-02-11 171032]
"Persistence"="c:\windows\system32\igfxpers.exe" [2011-02-11 172568]
"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-02-20 59240]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2011-06-09 254696]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2011-10-24 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-12-08 421736]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-01-03 37296]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712]
"TrueImageMonitor.exe"="c:\program files\Acronis\TrueImageHome\TrueImageMonitor.exe" [2011-09-23 5963504]
"Acronis Scheduler2Service"="c:\program files\Common Files\Acronis\Schedule2\schedhlp.exe" [2011-09-23 403368]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Malwarebytes Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-01-13 460872]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
"EnableLinkedConnections"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoWelcomeScreen"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\DeviceNP]
2009-09-08 14:34 75320 ----a-w- c:\windows\System32\DeviceNP.dll
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages REG_MULTI_SZ DPPassFilter scecli
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
R1 hbfmpsrk;hbfmpsrk;c:\windows\system32\drivers\hbfmpsrk.sys [x]
R1 RsvLock;RsvLock; [x]
R2 ac.sharedstore;ActivIdentity Shared Store Service;c:\program files\Common Files\ActivIdentity\ac.sharedstore.exe [2009-06-03 207400]
R2 afcdpsrv;Acronis Nonstop Backup-service ;c:\program files\Common Files\Acronis\CDP\afcdpsrv.exe [2012-03-13 3422160]
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 HP ProtectTools Service;HP ProtectTools Service;c:\program files\Hewlett-Packard\2009 Password Filter for HP ProtectTools\PTChangeFilterService.exe [2009-09-11 36864]
R2 HP Support Assistant Service;HP Support Assistant Service;c:\program files\Hewlett-Packard\HP Support Framework\hpsa_service.exe [2011-06-21 85560]
R2 HPDrvMntSvc.exe;HP Quick Synchronization Service;c:\program files\Hewlett-Packard\Shared\HPDrvMntSvc.exe [2011-03-28 94264]
R2 HpFkCryptService;Drive Encryption Service;c:\program files\Hewlett-Packard\Drive Encryption\HpFkCrypt.exe [2009-10-05 277096]
R2 HPFSService;File Sanitizer for HP ProtectTools;c:\program files\Hewlett-Packard\File Sanitizer\HPFSService.exe [2009-08-11 293376]
R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [2012-01-13 652360]
R2 pdfcDispatcher;PDF Document Manager;c:\program files\PDF Complete\pdfsvc.exe [2009-06-18 635416]
R2 RServer3;Radmin Server V3;c:\windows\system32\rserver30\RServer3.exe [2009-10-09 1242504]
R2 syncagentsrv;Acronis Sync Agent Service;c:\program files\Common Files\Acronis\SyncAgent\syncagentsrv.exe [2011-09-23 5734360]
R2 UNS;Intel(R) Management and Security Application User Notification Service;c:\program files\Common Files\Intel\Privacy Icon\UNS\UNS.exe [2009-07-24 2066968]
R3 afcdp;afcdp;c:\windows\system32\DRIVERS\afcdp.sys [2012-03-13 234752]
R3 DAMDrv;DAMDrv;c:\windows\system32\DRIVERS\DAMDrv.sys [2009-09-08 32312]
R3 FLCDLOCK;HP ProtectTools Device Locking / Auditing;c:\windows\system32\flcdlock.exe [2009-09-08 362040]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2011-12-10 20464]
R3 MpNWMon;Microsoft Malware Protection Network Driver;c:\windows\system32\DRIVERS\MpNWMon.sys [2011-04-18 43392]
R3 NisDrv;Microsoft Network Inspection System;c:\windows\system32\DRIVERS\NisDrvWFP.sys [2011-04-27 65024]
R3 NisSrv;Microsoft Network Inspection;c:\program files\Microsoft Security Client\Antimalware\NisSrv.exe [2011-04-27 208944]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 52224]
R3 WatAdminSvc;Windows Activation Technologies-service;c:\windows\system32\Wat\WatAdminSvc.exe [2010-06-15 1343400]
R3 WDC_SAM;WD SCSI Pass Thru driver;c:\windows\system32\DRIVERS\wdcsam.sys [2008-05-12 11520]
S0 fltsrv;Acronis Storage Filter Management;c:\windows\system32\DRIVERS\fltsrv.sys [2012-03-13 76768]
S0 SafeBoot;SafeBoot; [x]
S0 SbAlg;SbAlg; [x]
S0 SbFsLock;SbFsLock; [x]
S0 vididr;Acronis Virtual Disk;c:\windows\system32\DRIVERS\vididr.sys [2012-03-13 126112]
S0 vidsflt58;Acronis Disk Storage Filter (58);c:\windows\system32\DRIVERS\vsflt58.sys [2012-03-13 84512]
S1 raddrvv3;raddrvv3;c:\windows\system32\rserver30\raddrvv3.sys [2009-10-09 46304]
S3 e1kexpress;Intel(R) PRO/1000 PCI Express Network Connection Driver K;c:\windows\system32\DRIVERS\e1k6232.sys [2009-10-01 206304]
S3 TDAUSBPT;Panasonic KX-TDA USB PT Unit driver;c:\windows\system32\Drivers\TDAUSBPT.sys [2005-01-15 20992]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
.
Inhoud van de 'Gedeelde Taken' map
.
2012-03-26 c:\windows\Tasks\HPCeeScheduleForedgar.job
- c:\program files\Hewlett-Packard\HP Ceement\HPCEE.exe [2009-10-07 03:22]
.
.
------- Bijkomende Scan -------
.
uStart Page = hxxp://www.google.nl/" onclick="window.open(this.href);return false;
mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=nl_NL&c=93&bd=all&pf=cmdt" onclick="window.open(this.href);return false;
uInternet Settings,ProxyOverride = *.local
IE: E&xporteren naar Microsoft Excel - c:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
Trusted Zone: //about.htm/
Trusted Zone: //Exclude.htm/
Trusted Zone: //FWEvent.htm/
Trusted Zone: //LanguageSelection.htm/
Trusted Zone: //Message.htm/
Trusted Zone: //MyAgttryCmd.htm/
Trusted Zone: //MyAgttryNag.htm/
Trusted Zone: //MyNotification.htm/
Trusted Zone: //NOCLessUpdate.htm/
Trusted Zone: //quarantine.htm/
Trusted Zone: //ScanNow.htm/
Trusted Zone: //strings.vbs/
Trusted Zone: //Template.htm/
Trusted Zone: //Update.htm/
Trusted Zone: //VirFound.htm/
Trusted Zone: mcafee.com\*
Trusted Zone: mcafeeasap.com\betavscan
Trusted Zone: mcafeeasap.com\vs
Trusted Zone: mcafeeasap.com\www
TCP: DhcpNameServer = 10.7.93.10
TCP: Interfaces\{FA945B7E-CA07-474B-B5B0-6A8666C52535}: NameServer = 10.7.93.10
.
- - - - ORPHANS VERWIJDERD - - - -
.
URLSearchHooks-{87775fdb-6972-41f9-ae51-8326e38cb206} - (no file)
ShellIconOverlayIdentifiers- - (no file)
ShellIconOverlayIdentifiers- - (no file)
ShellIconOverlayIdentifiers- - (no file)
HKCU-Run-uTorrent - c:\program files\uTorrent\uTorrent.exe
AddRemove-Barcode Generator & Overprinter6.6.10 - c:\windows\iun6002.exe
AddRemove-NiceSuite3 - c:\program files\EuroPlus\NiceLabel\SetupN\INSTALL.EXE
AddRemove-{CA43FE4F-9FF2-4AD7-88F0-CC3BAC17B226} - c:\program files\InstallShield Installation Information\{CA43FE4F-9FF2-4AD7-88F0-CC3BAC17B226}\setup.exe
.
.
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\services\pdfcDispatcher]
"ImagePath"="c:\program files\PDF Complete\pdfsvc.exe /startedbyscm:66B66708-40E2BE4D-pdfcService"
.
--------------------- VERGRENDELDE REGISTER SLEUTELS ---------------------
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
--------------------- DLLs Geladen Onder Lopende Processen ---------------------
.
- - - - - - - > 'lsass.exe'(692)
c:\windows\system32\DPFPApi.DLL
.
Voltooingstijd: 2012-03-27 15:47:39
ComboFix-quarantined-files.txt 2012-03-27 13:47
.
Pre-Run: 225.942.609.920 bytes beschikbaar
Post-Run: 226.450.067.456 bytes beschikbaar
.
- - End Of File - - 831EB9EA01F40227FF68DA5C63B580C4
ComboFix 12-03-27.02 - Edgar 27-03-2012 15:42:31.1.2 - x86 NETWORK
Microsoft Windows 7 Professional 6.1.7601.1.1252.31.1043.18.3543.2660 [GMT 2:00]
Gestart vanuit: c:\users\edgar\Office Genuine Advantage\Desktop\ComboFix.exe
gebruikte Opdracht switches :: c:\users\edgar\Office Genuine Advantage\Desktop\CFScript.txt
AV: Microsoft Security Essentials *Enabled/Updated* {108DAC43-C256-20B7-BB05-914135DA5160}
SP: Microsoft Security Essentials *Enabled/Updated* {ABEC4DA7-E46C-2F39-81B5-AA334E5D1BDD}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
* Nieuw herstelpunt werd aangemaakt
.
FILE ::
"c:\users\edgar\appdata\roaming\0.948672486217656.exe"
.
.
(((((((((((((((((((((((((((((((((( Andere Verwijderingen )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\edgar\appdata\roaming\0.948672486217656.exe
c:\windows\iun6002.exe
c:\windows\jestertb.dll
.
.
(((((((((((((((((((( Bestanden Gemaakt van 2012-02-27 to 2012-03-27 ))))))))))))))))))))))))))))))
.
.
2012-03-27 13:46 . 2012-03-27 13:46 -------- d-----w- c:\users\edgar\AppData\Local\temp
2012-03-27 13:46 . 2012-03-27 13:46 -------- d-----w- c:\users\Default\AppData\Local\temp
2012-03-27 12:44 . 2012-03-27 12:44 -------- d-----w- c:\users\edgar\AppData\Roaming\Malwarebytes
2012-03-27 12:44 . 2012-03-27 12:44 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2012-03-27 12:44 . 2012-03-27 12:44 -------- d-----w- c:\programdata\Malwarebytes
2012-03-27 12:44 . 2011-12-10 13:24 20464 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-03-27 10:39 . 2012-03-14 02:15 6582328 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{F9B1C27B-0588-4A0F-A396-BEF742E05B46}\mpengine.dll
2012-03-14 16:27 . 2011-11-19 14:50 3968368 ----a-w- c:\windows\system32\ntkrnlpa.exe
2012-03-14 16:27 . 2011-11-19 14:50 3913584 ----a-w- c:\windows\system32\ntoskrnl.exe
2012-03-14 04:09 . 2012-02-10 05:38 1077248 ----a-w- c:\windows\system32\DWrite.dll
2012-03-14 04:09 . 2012-02-03 03:54 2343424 ----a-w- c:\windows\system32\win32k.sys
2012-03-14 04:09 . 2012-01-25 05:32 58880 ----a-w- c:\windows\system32\rdpwsx.dll
2012-03-14 04:09 . 2012-01-25 05:32 129536 ----a-w- c:\windows\system32\rdpcorekmts.dll
2012-03-14 04:09 . 2012-01-25 05:27 8192 ----a-w- c:\windows\system32\rdrmemptylst.exe
2012-03-14 04:09 . 2012-02-17 05:34 826880 ----a-w- c:\windows\system32\rdpcore.dll
2012-03-14 04:09 . 2012-02-17 04:14 183808 ----a-w- c:\windows\system32\drivers\rdpwd.sys
2012-03-14 04:09 . 2012-02-17 04:13 24576 ----a-w- c:\windows\system32\drivers\tdtcp.sys
2012-03-13 10:20 . 2012-03-13 10:20 234752 ----a-w- c:\windows\system32\drivers\afcdp.sys
2012-03-13 10:19 . 2012-03-13 10:19 766208 ----a-w- c:\windows\system32\drivers\tdrpman.sys
2012-03-13 10:19 . 2012-03-13 10:19 609760 ----a-w- c:\windows\system32\drivers\timntr.sys
2012-03-13 10:19 . 2012-03-13 10:19 84512 ----a-w- c:\windows\system32\drivers\vsflt58.sys
2012-03-13 10:19 . 2012-03-13 10:19 126112 ----a-w- c:\windows\system32\drivers\vididr.sys
2012-03-13 10:19 . 2012-03-13 10:19 170496 ----a-w- c:\windows\system32\drivers\snapman.sys
2012-03-13 10:19 . 2012-03-13 10:19 76768 ----a-w- c:\windows\system32\drivers\fltsrv.sys
2012-03-13 10:19 . 2012-03-13 10:20 -------- d-----w- c:\program files\Common Files\Acronis
2012-03-13 10:19 . 2012-03-13 10:19 -------- d-----w- c:\program files\Acronis
.
.
.
((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-03-14 02:15 . 2011-08-08 06:07 6582328 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2012-02-21 07:05 . 2011-08-16 06:02 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-02-13 09:05 . 2012-02-13 09:07 713784 ------w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{391C1356-66F0-45E6-9445-95377F657DC7}\gapaengine.dll
2012-01-31 12:44 . 2009-12-22 16:34 237072 ------w- c:\windows\system32\MpSigStub.exe
2012-01-04 08:58 . 2012-02-16 10:40 442880 ----a-w- c:\windows\system32\ntshrui.dll
2011-12-30 05:27 . 2012-02-16 10:40 478720 ----a-w- c:\windows\system32\timedate.cpl
.
.
((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2010-11-20 1174016]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Nero\Lib\NMBgMonitor.exe" [2008-12-12 132392]
"MobileDocuments"="c:\program files\Common Files\Apple\Internet Services\ubd.exe" [2012-02-23 59240]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2009-07-02 7596576]
"picon"="c:\program files\Common Files\Intel\Privacy Icon\PrivacyIconClient.exe" [2009-07-24 796696]
"PDF Complete"="c:\program files\PDF Complete\pdfsty.exe" [2009-06-18 563736]
"File Sanitizer"="c:\program files\Hewlett-Packard\File Sanitizer\CoreShredder.exe" [2009-08-11 11258368]
"acevents"="c:\program files\ActivIdentity\ActivClient\acevents.exe" [2009-06-03 153640]
"accrdsub"="c:\program files\ActivIdentity\ActivClient\accrdsub.exe" [2009-06-03 400936]
"NBKeyScan"="c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2008-12-02 2221352]
"ToolBoxFX"="c:\program files\HP\ToolBoxFX\bin\HPTLBXFX.exe" [2006-06-15 49152]
"MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2011-06-15 997920]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2011-02-11 137752]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2011-02-11 171032]
"Persistence"="c:\windows\system32\igfxpers.exe" [2011-02-11 172568]
"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-02-20 59240]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2011-06-09 254696]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2011-10-24 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-12-08 421736]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-01-03 37296]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712]
"TrueImageMonitor.exe"="c:\program files\Acronis\TrueImageHome\TrueImageMonitor.exe" [2011-09-23 5963504]
"Acronis Scheduler2Service"="c:\program files\Common Files\Acronis\Schedule2\schedhlp.exe" [2011-09-23 403368]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Malwarebytes Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-01-13 460872]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
"EnableLinkedConnections"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoWelcomeScreen"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\DeviceNP]
2009-09-08 14:34 75320 ----a-w- c:\windows\System32\DeviceNP.dll
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages REG_MULTI_SZ DPPassFilter scecli
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
R1 hbfmpsrk;hbfmpsrk;c:\windows\system32\drivers\hbfmpsrk.sys [x]
R1 RsvLock;RsvLock; [x]
R2 ac.sharedstore;ActivIdentity Shared Store Service;c:\program files\Common Files\ActivIdentity\ac.sharedstore.exe [2009-06-03 207400]
R2 afcdpsrv;Acronis Nonstop Backup-service ;c:\program files\Common Files\Acronis\CDP\afcdpsrv.exe [2012-03-13 3422160]
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 HP ProtectTools Service;HP ProtectTools Service;c:\program files\Hewlett-Packard\2009 Password Filter for HP ProtectTools\PTChangeFilterService.exe [2009-09-11 36864]
R2 HP Support Assistant Service;HP Support Assistant Service;c:\program files\Hewlett-Packard\HP Support Framework\hpsa_service.exe [2011-06-21 85560]
R2 HPDrvMntSvc.exe;HP Quick Synchronization Service;c:\program files\Hewlett-Packard\Shared\HPDrvMntSvc.exe [2011-03-28 94264]
R2 HpFkCryptService;Drive Encryption Service;c:\program files\Hewlett-Packard\Drive Encryption\HpFkCrypt.exe [2009-10-05 277096]
R2 HPFSService;File Sanitizer for HP ProtectTools;c:\program files\Hewlett-Packard\File Sanitizer\HPFSService.exe [2009-08-11 293376]
R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [2012-01-13 652360]
R2 pdfcDispatcher;PDF Document Manager;c:\program files\PDF Complete\pdfsvc.exe [2009-06-18 635416]
R2 RServer3;Radmin Server V3;c:\windows\system32\rserver30\RServer3.exe [2009-10-09 1242504]
R2 syncagentsrv;Acronis Sync Agent Service;c:\program files\Common Files\Acronis\SyncAgent\syncagentsrv.exe [2011-09-23 5734360]
R2 UNS;Intel(R) Management and Security Application User Notification Service;c:\program files\Common Files\Intel\Privacy Icon\UNS\UNS.exe [2009-07-24 2066968]
R3 afcdp;afcdp;c:\windows\system32\DRIVERS\afcdp.sys [2012-03-13 234752]
R3 DAMDrv;DAMDrv;c:\windows\system32\DRIVERS\DAMDrv.sys [2009-09-08 32312]
R3 FLCDLOCK;HP ProtectTools Device Locking / Auditing;c:\windows\system32\flcdlock.exe [2009-09-08 362040]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2011-12-10 20464]
R3 MpNWMon;Microsoft Malware Protection Network Driver;c:\windows\system32\DRIVERS\MpNWMon.sys [2011-04-18 43392]
R3 NisDrv;Microsoft Network Inspection System;c:\windows\system32\DRIVERS\NisDrvWFP.sys [2011-04-27 65024]
R3 NisSrv;Microsoft Network Inspection;c:\program files\Microsoft Security Client\Antimalware\NisSrv.exe [2011-04-27 208944]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 52224]
R3 WatAdminSvc;Windows Activation Technologies-service;c:\windows\system32\Wat\WatAdminSvc.exe [2010-06-15 1343400]
R3 WDC_SAM;WD SCSI Pass Thru driver;c:\windows\system32\DRIVERS\wdcsam.sys [2008-05-12 11520]
S0 fltsrv;Acronis Storage Filter Management;c:\windows\system32\DRIVERS\fltsrv.sys [2012-03-13 76768]
S0 SafeBoot;SafeBoot; [x]
S0 SbAlg;SbAlg; [x]
S0 SbFsLock;SbFsLock; [x]
S0 vididr;Acronis Virtual Disk;c:\windows\system32\DRIVERS\vididr.sys [2012-03-13 126112]
S0 vidsflt58;Acronis Disk Storage Filter (58);c:\windows\system32\DRIVERS\vsflt58.sys [2012-03-13 84512]
S1 raddrvv3;raddrvv3;c:\windows\system32\rserver30\raddrvv3.sys [2009-10-09 46304]
S3 e1kexpress;Intel(R) PRO/1000 PCI Express Network Connection Driver K;c:\windows\system32\DRIVERS\e1k6232.sys [2009-10-01 206304]
S3 TDAUSBPT;Panasonic KX-TDA USB PT Unit driver;c:\windows\system32\Drivers\TDAUSBPT.sys [2005-01-15 20992]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
.
Inhoud van de 'Gedeelde Taken' map
.
2012-03-26 c:\windows\Tasks\HPCeeScheduleForedgar.job
- c:\program files\Hewlett-Packard\HP Ceement\HPCEE.exe [2009-10-07 03:22]
.
.
------- Bijkomende Scan -------
.
uStart Page = hxxp://www.google.nl/" onclick="window.open(this.href);return false;
mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=nl_NL&c=93&bd=all&pf=cmdt" onclick="window.open(this.href);return false;
uInternet Settings,ProxyOverride = *.local
IE: E&xporteren naar Microsoft Excel - c:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
Trusted Zone: //about.htm/
Trusted Zone: //Exclude.htm/
Trusted Zone: //FWEvent.htm/
Trusted Zone: //LanguageSelection.htm/
Trusted Zone: //Message.htm/
Trusted Zone: //MyAgttryCmd.htm/
Trusted Zone: //MyAgttryNag.htm/
Trusted Zone: //MyNotification.htm/
Trusted Zone: //NOCLessUpdate.htm/
Trusted Zone: //quarantine.htm/
Trusted Zone: //ScanNow.htm/
Trusted Zone: //strings.vbs/
Trusted Zone: //Template.htm/
Trusted Zone: //Update.htm/
Trusted Zone: //VirFound.htm/
Trusted Zone: mcafee.com\*
Trusted Zone: mcafeeasap.com\betavscan
Trusted Zone: mcafeeasap.com\vs
Trusted Zone: mcafeeasap.com\www
TCP: DhcpNameServer = 10.7.93.10
TCP: Interfaces\{FA945B7E-CA07-474B-B5B0-6A8666C52535}: NameServer = 10.7.93.10
.
- - - - ORPHANS VERWIJDERD - - - -
.
URLSearchHooks-{87775fdb-6972-41f9-ae51-8326e38cb206} - (no file)
ShellIconOverlayIdentifiers- - (no file)
ShellIconOverlayIdentifiers- - (no file)
ShellIconOverlayIdentifiers- - (no file)
HKCU-Run-uTorrent - c:\program files\uTorrent\uTorrent.exe
AddRemove-Barcode Generator & Overprinter6.6.10 - c:\windows\iun6002.exe
AddRemove-NiceSuite3 - c:\program files\EuroPlus\NiceLabel\SetupN\INSTALL.EXE
AddRemove-{CA43FE4F-9FF2-4AD7-88F0-CC3BAC17B226} - c:\program files\InstallShield Installation Information\{CA43FE4F-9FF2-4AD7-88F0-CC3BAC17B226}\setup.exe
.
.
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\services\pdfcDispatcher]
"ImagePath"="c:\program files\PDF Complete\pdfsvc.exe /startedbyscm:66B66708-40E2BE4D-pdfcService"
.
--------------------- VERGRENDELDE REGISTER SLEUTELS ---------------------
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
--------------------- DLLs Geladen Onder Lopende Processen ---------------------
.
- - - - - - - > 'lsass.exe'(692)
c:\windows\system32\DPFPApi.DLL
.
Voltooingstijd: 2012-03-27 15:47:39
ComboFix-quarantined-files.txt 2012-03-27 13:47
.
Pre-Run: 225.942.609.920 bytes beschikbaar
Post-Run: 226.450.067.456 bytes beschikbaar
.
- - End Of File - - 831EB9EA01F40227FF68DA5C63B580C4
8
Administrator
Administrator
Voor de gedupeerden die een gelijkend probleem hebben als Edgar in dit topic raad ik niet aan deze instructies te gebruiken.
Hoi,
Hoi,
Ik ben bang dat er hier sprake is van meerdere problemen, dus lijkt het mij verstandig om een systeemherstelpunt terug te plaatsen.Edgar schreef:Diverse keren opnieuw opgestart in zowel veilige als normale modus. Dit maakte geen enkel verschil.
- Plaats de Windows 7 DVD in de CD/DVD-drive.
- Wanneer gevraagd wordt om te computer te starten van de DVD, druk je op een toets b.v. de spatiebalk.
- Als de computer is opgestart van de DVD krijgt u de onderstaande melding.
- "System recovery options" klik hier op "next"
- Het systeem wordt nu geanalyseerd op aanwezige Windows installaties.
- Als deze gereed is krijg u het venster te zien met de gevonden Windows installaties.
- Kies hier het juiste "besturings systeem" wat u wilt herstellen en klik op "next"
- Kies hier de optie System Restore en zet het systeem terug naar een datum voor de malware infectie.
Member of UNITE Unified Network of Instructors and Trained Eliminators (Unite Against Malware)
10
Administrator
Administrator
Hoi,
Bedankt voor het logje, maar welke problemen zijn er nu nog merkbaar?
Bedankt voor het logje, maar welke problemen zijn er nu nog merkbaar?
Member of UNITE Unified Network of Instructors and Trained Eliminators (Unite Against Malware)
11
PC Web Plus - Member
PC Web Plus - Member
Maxstar,
In principe kan er niets met de explorer, dus geen internet, netwerkmappen, usb, dvd- brander, etc.
Wel kan ik nu mailen en wanneer ik hier bijlagen wil toevoegen van de lokale computer, lukt dit wel !
Dit is de enige vorm van communicatie naar buiten die mogelijk is.
In principe kan er niets met de explorer, dus geen internet, netwerkmappen, usb, dvd- brander, etc.
Wel kan ik nu mailen en wanneer ik hier bijlagen wil toevoegen van de lokale computer, lukt dit wel !
Dit is de enige vorm van communicatie naar buiten die mogelijk is.
12
Administrator
Administrator
Voor de gedupeerden die een gelijkend probleem hebben als Edgar in dit topic raad ik niet aan deze instructies te gebruiken.
Hoi,
Het lijkt mij verstandig om toch het onderstaande uit te voeren, en te kiezen voor een systeemherstelpunt vlak voor de problemen.
Hoi,
Het lijkt mij verstandig om toch het onderstaande uit te voeren, en te kiezen voor een systeemherstelpunt vlak voor de problemen.
- Plaats de Windows 7 DVD in de CD/DVD-drive.
- Wanneer gevraagd wordt om te computer te starten van de DVD, druk je op een toets b.v. de spatiebalk.
- Als de computer is opgestart van de DVD krijgt u de onderstaande melding.
- "System recovery options" klik hier op "next"
- Het systeem wordt nu geanalyseerd op aanwezige Windows installaties.
- Als deze gereed is krijg u het venster te zien met de gevonden Windows installaties.
- Kies hier het juiste "besturings systeem" wat u wilt herstellen en klik op "next"
- Kies hier de optie System Restore en zet het systeem terug naar een datum voor de malware infectie.
Member of UNITE Unified Network of Instructors and Trained Eliminators (Unite Against Malware)
13
Administrator
Administrator
Hoi,
Wil het lukken met de bovenstaande instructies?
Wil het lukken met de bovenstaande instructies?
Member of UNITE Unified Network of Instructors and Trained Eliminators (Unite Against Malware)
14
PC Web Plus - Member
PC Web Plus - Member
Uiteindelijk de gehele pc opnieuw opgebouwd met windows 7 en alle verdere programma's.
Dit is weer gelukt en geen spoor meer van de oude problemen.
Hartelijk dank voor alle hulp en snelle instructies.
Dit is weer gelukt en geen spoor meer van de oude problemen.
Hartelijk dank voor alle hulp en snelle instructies.
15
Administrator
Administrator
Hoi,
Graag gedaan en fijn dat de problemen zijn verholpen...
Omdat het probleem is verholpen wordt dit topic gesloten en verplaatst naar de sectie opgeloste problemen / logs.
Als u dit topic heropent wilt hebben, dan kunt u mij of één van moderators een (PB) privébericht sturen met een link naar dit betreffende topic.
Indien het topic al langere tijd is gesloten kunt u het beste hier een nieuw topic aanmaken, en eventueel verwijzen naar dit topic.
Voor alle andere vragen kunt u in het juiste forum een nieuw onderwerp starten.
Graag gedaan en fijn dat de problemen zijn verholpen...
Omdat het probleem is verholpen wordt dit topic gesloten en verplaatst naar de sectie opgeloste problemen / logs.
Als u dit topic heropent wilt hebben, dan kunt u mij of één van moderators een (PB) privébericht sturen met een link naar dit betreffende topic.
Indien het topic al langere tijd is gesloten kunt u het beste hier een nieuw topic aanmaken, en eventueel verwijzen naar dit topic.
Voor alle andere vragen kunt u in het juiste forum een nieuw onderwerp starten.
Member of UNITE Unified Network of Instructors and Trained Eliminators (Unite Against Malware)