Archief - Log check aub.

Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.

ace4ever

Legacy Member
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:30, on 2009-02-26
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\PnkBstrA.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\system32\inetsrv\DavCData.exe
C:\DOCUME~1\flo\LOCALS~1\Temp\winuskylf.exe
C:\DOCUME~1\flo\LOCALS~1\Temp\vgwc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: Yahoo Toolbar - {54C7D1DD-4296-451e-B756-1E94F665B4FF} - C:\WINDOWS\System32\yatool.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [PKR Pal] "C:\Program Files\PKR\pkrpal.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Lokale service')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Netwerkservice')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: SolidWorks Task Scheduler Engine.lnk = C:\Program Files\SolidWorks\swScheduler\swBOEngine.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/NL-BE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\System32\PnkBstrA.exe
O23 - Service: SolidWorks Licensing Service - SolidWorks - C:\Program Files\Common Files\SolidWorks Shared\Service\SolidWorksLicensing.exe

--
End of file - 5655 bytes

Juisterr

Legacy Member
U denkt dat we 24/7 achter het toetsenbord zitten ?

Open de verkenner ("Mijn Computer") en kies Extra -> Mapopties...
Controleer onder Weergave de volgende instellingen:

Uitzetten: Beveiligde besturingssysteembestanden verbergen (aanbevolen)
Uitzetten: Extensies voor bekende bestandstypen verbergen

Selecteer: De inhoud van systeemmappen weergeven (alleen bij XP)
Selecteer: Verborgen bestanden en mappen weergeven

C:\Windows\Temp
C:\Documents and Settings\<user>\Local Settings\Temp
C:\Documents and Settings\<user>\Local Settings\Temporary Internet Files
C:\Documents and Settings\<user>\Local Settings\Temporary Internet Files\content.ie5
<user> staat hier voor je profielnaam !!
Als de laatste map niet wordt weergegeven, ga dan naar de map Temporary Internet Files en type er \content.ie5 achter in de adresbalk en klik enter.

Maak je prullenbak leeg.



Download MalwareBytes' Anti-Malware en sla het op je bureaublad op.
Dubbelklik op mbam-setup.exe om het programma te installeren.

Zorg dat er na de installatie een vinkje is geplaatst bij:
  • Update MalwareBytes' Anti-Malware
  • Start MalwareBytes' Anti-Malware
Klik daarna op "Voltooien".
Indien een update gevonden wordt, zal die gedownload en geïnstalleerd worden.
  • Zodra het programma gestart is, ga dan naar het tabblad "Instellingen".
  • Vink hier aan: "Sluit Internet Explorer tijdens verwijdering van malware".
  • Ga daarna naar het tabblad "Scanner", kies hier voor "Snelle Scan".
  • Druk vervolgens op "Scannen" om de scan te starten.
  • Het scannen kan een tijdje duren, dus wees geduldig.
  • Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien.
  • Zorg ervoor dat daar alles aangevinkt is, daarna klik op: "Verwijder geselecteerde".
  • Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten.
Het log wordt automatisch bewaard door MalwareBytes' Anti-Malware en kan je terugvinden door op de "Logs" tab te klikken in het programma.

Plaats dit logje samen met een nieuw logje van HijackThis.

ace4ever

Legacy Member
Sorry daarvoor :)

Log:

Malwarebytes' Anti-Malware 1.34
Database versie: 1813
Windows 5.1.2600 Service Pack 2

2009-02-28 17:24:18
mbam-log-2009-02-28 (17-24-18).txt

Scan type: Snelle Scan
Objecten gescand: 57743
Verstreken tijd: 3 minute(s), 4 second(s)

Geheugenprocessen geïnfecteerd: 0
Geheugenmodulen geïnfecteerd: 0
Registersleutels geïnfecteerd: 3
Registerwaarden geïnfecteerd: 0
Registerdata bestanden geïnfecteerd: 2
Mappen geïnfecteerd: 0
Bestanden geïnfecteerd: 1

Geheugenprocessen geïnfecteerd:
(Geen kwaadaardige items gevonden)

Geheugenmodulen geïnfecteerd:
(Geen kwaadaardige items gevonden)

Registersleutels geïnfecteerd:
HKEY_CLASSES_ROOT\CLSID\{54c7d1dd-4296-451e-b756-1e94f665b4ff} (Spyware.Graball) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{54c7d1dd-4296-451e-b756-1e94f665b4ff} (Spyware.Graball) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{54c7d1dd-4296-451e-b756-1e94f665b4ff} (Spyware.Graball) -> Quarantined and deleted successfully.

Registerwaarden geïnfecteerd:
(Geen kwaadaardige items gevonden)

Registerdata bestanden geïnfecteerd:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Mappen geïnfecteerd:
(Geen kwaadaardige items gevonden)

Bestanden geïnfecteerd:
C:\WINDOWS\system32\~.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

--------------------------

Hijackthis log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:30, on 2009-02-28
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\Program Files\SolidWorks\swScheduler\swBOEngine.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\PnkBstrA.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\system32\inetsrv\DavCData.exe
C:\DOCUME~1\flo\LOCALS~1\Temp\jgyr.exe
C:\DOCUME~1\flo\LOCALS~1\Temp\tqgtio.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [PKR Pal] "C:\Program Files\PKR\pkrpal.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Lokale service')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Netwerkservice')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: SolidWorks Task Scheduler Engine.lnk = C:\Program Files\SolidWorks\swScheduler\swBOEngine.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/NL-BE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\System32\PnkBstrA.exe
O23 - Service: SolidWorks Licensing Service - SolidWorks - C:\Program Files\Common Files\SolidWorks Shared\Service\SolidWorksLicensing.exe

--
End of file - 5654 bytes

Juisterr

Legacy Member
weet jij wat dit voor bestandjes zijn. ?

C:\DOCUME~1\flo\LOCALS~1\Temp\jgyr.exe
C:\DOCUME~1\flo\LOCALS~1\Temp\tqgtio.exe



doe ze anders even uploaden voor controle aub.

Open de verkenner ("Mijn Computer") en kies Extra -> Mapopties...
Controleer onder Weergave de volgende instellingen:

Uitzetten: Beveiligde besturingssysteembestanden verbergen (aanbevolen)
Uitzetten: Extensies voor bekende bestandstypen verbergen

Selecteer: De inhoud van systeemmappen weergeven (alleen bij XP)
Selecteer: Verborgen bestanden en mappen weergeven



Jotti Virusscan Online malware scan
Bovenin staat “file to upload”.
Ga via “bladeren” naar onderstaand bestand, laat het scannen door eerst op “openen” en daarna op “submit” te klikken. Kopieer het antwoord dat je krijgt in je volgende post.

Als de server te druk is kun je het bestand ook hier laten scannen:
Kaspersky filescanner Virus File Scanner

ace4ever

Legacy Member
Scanned file: tqgtio.exe - Infected
tqgtio.exe - infected by Trojan.Win32.Agent.bpvr

en

Scanned file: jgyr.exe - Infected
jgyr.exe - infected by Trojan-Downloader.Win32.Small.ajbq


:(

ace4ever

Legacy Member
Kan beide niet verwijderen. "De toegang is geweigerd. Controleer of de schijf vol of tegen schrijven is beveiligd of dat het bestand momenteel in gebruik is." In dezelfde map (Temp) kan ik beide bestanden niet terugvinden er zijn wel 2 nieuwe soortgelijke: tlexd.exe en wintmtxe.exe

Nieuwe log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:15, on 2009-03-02
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\PnkBstrA.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\system32\inetsrv\DavCData.exe
C:\DOCUME~1\flo\LOCALS~1\Temp\wintmtxe.exe
C:\DOCUME~1\flo\LOCALS~1\Temp\tlexd.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\WINMINE.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [PKR Pal] "C:\Program Files\PKR\pkrpal.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Lokale service')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Netwerkservice')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: SolidWorks Task Scheduler Engine.lnk = C:\Program Files\SolidWorks\swScheduler\swBOEngine.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: UltimateBet - {3EB3B7E8-1466-405A-B5BC-44513AF85E34} - C:\Documents and Settings\All Users\Menu Start\Programma's\UltimateBet\UltimateBet.lnk (HKCU)
O9 - Extra 'Tools' menuitem: UltimateBet - {3EB3B7E8-1466-405A-B5BC-44513AF85E34} - C:\Documents and Settings\All Users\Menu Start\Programma's\UltimateBet\UltimateBet.lnk (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/NL-BE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\System32\PnkBstrA.exe
O23 - Service: SolidWorks Licensing Service - SolidWorks - C:\Program Files\Common Files\SolidWorks Shared\Service\SolidWorksLicensing.exe

--
End of file - 5916 bytes

Juisterr

Legacy Member
Open een kladblokbestand.
Kopieer onderstaande (alles wat vetgedrukt is) in dit kladblokbestand.


@ECHO OFF
IF EXIST log.txt DEL log.txt
ECHO Deleting Files>>log.txt
FOR %%g in (
"C:\DOCUME~1\flo\LOCALS~1\Temp\wintmtxe.exe"
"C:\DOCUME~1\flo\LOCALS~1\Temp\tlexd.exe") DO (
IF EXIST %%g (
ATTRIB -r -s -h %%g
DEL %%g
IF EXIST %%g (
ECHO %%g not deleted>>log.txt
) ELSE (
ECHO %%g deleted successfully>>log.txt)
) ELSE (
ECHO %%g not found>>log.txt))
START NOTEPAD.EXE log.txt
DEL %0


Ga naar Bestand - Opslaan als.
Bij "Opslaan in" kies je: Bureaublad
Bij "Bestandsnaam" zet je: del.bat
Bij "Opslaan als type" selecteer je: Alle bestanden (*.*).
Klik op de knop Opslaan.
Rechtsklik op del.bat en kies voor "Als Administrator uitvoeren"
Bevestig de melding die je krijgt van Gebruikers accountbeheer, door op "Toestaan" te klikken.
Post de inhoud van de logfile die opent.

ace4ever

Legacy Member
Die rechtsklik op del.bat en dan "Als administrator uitvoeren" zie ik niet staan. Ik heb enkel te kiezen uit "Openen, bewerken, afdrukken ...". Bovendien zijn de 2 bestandjes weer van naam verandered naar gjqy.exe en windkvpr.exe. Ik heb dus het programma aangepast op de 5e en 6e regel (gewoon naam veranderd), daarna heb ik het laten runnen en kreeg ik:

Deleting Files
"C:\DOCUME~1\flo\LOCALS~1\Temp\wintmtxe.exe" not deleted
"C:\DOCUME~1\flo\LOCALS~1\Temp\gjqy.exe" not deleted

Juisterr

Legacy Member
Lichtjes aangepast, probeer het nog eens.



Open een kladblokbestand.
Kopieer onderstaande (alles wat vetgedrukt is) in dit kladblokbestand.


@ECHO OFF
IF EXIST log.txt DEL log.txt
ECHO Deleting Files>>log.txt
FOR %%g in (
C:\DOCUME~1\flo\LOCALS~1\Temp\wintmtxe.exe
C:\DOCUME~1\flo\LOCALS~1\Temp\tlexd.exe) DO (
IF EXIST %%g (
ATTRIB -r -s -h %%g
DEL %%g
IF EXIST %%g (
ECHO %%g not deleted>>log.txt
) ELSE (
ECHO %%g deleted successfully>>log.txt)
) ELSE (
ECHO %%g not found>>log.txt))
START NOTEPAD.EXE log.txt
DEL %0


Ga naar Bestand - Opslaan als.
Bij "Opslaan in" kies je: Bureaublad
Bij "Bestandsnaam" zet je: del.bat
Bij "Opslaan als type" selecteer je: Alle bestanden (*.*).
Klik op de knop Opslaan.
Rechtsklik op del.bat en kies voor "Als Administrator uitvoeren"
Bevestig de melding die je krijgt van Gebruikers accountbeheer, door op "Toestaan" te klikken.
Post de inhoud van de logfile die opent.

ace4ever

Legacy Member
Nope werkt nog steeds niet ...

C:\DOCUME~1\flo\LOCALS~1\Temp\wintmtxe.exe not deleted
C:\DOCUME~1\flo\LOCALS~1\Temp\tlexd.exe not deleted

is wel klote :( Heb je nog andere ideeën ?

Juisterr

Legacy Member
Download OTMoveIt3 (by OldTimer) naar je Bureaublad.
· * Dubbelklik op OTMoveIt3.exe om de tool te starten.
* Kopiëer (selecteren en druk Ctrl-C) alle onderstaande, vetgedrukte tekst :

:Processes

:Files
C:\DOCUME~1\flo\LOCALS~1\Temp\wintmtxe.exe
C:\DOCUME~1\flo\LOCALS~1\Temp\tlexd.exe
:Services

:Reg
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]


· * Plak de gekopiëerde tekst (druk Ctrl-V) in het "Paste List of Files/Folders to be moved" venster
* Klik op de rode MoveIt! knop
* Kopiëer en plak de inhoud van het rechter resultaat-venster in je volgende antwoord,
(of het logje dat je terugvindt als C:\_OTMoveIt\MovedFiles\mmddyyyy_hhmmss.log).
* Sluit OTMoveIt3
Indien een bestand of map niet onmiddellijk kan verplaatst worden,
kun je gevraagd worden om de PC te herstarten teneinde het verplaatsen te beeïndigen.
Klik dan op Ja/Yes.

Post daarna een nieuw logje van HijackThis.

ace4ever

Legacy Member
========== PROCESSES ==========
========== FILES ==========
C:\DOCUME~1\flo\LOCALS~1\Temp\wininegji.exe moved successfully.
C:\DOCUME~1\flo\LOCALS~1\Temp\winsjwp.exe moved successfully.
========== SERVICES/DRIVERS ==========
========== REGISTRY ==========
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\flo\LOCALS~1\Temp\etilqs_WY8zywJHUXTAlQbfE0tO scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\flo\LOCALS~1\Temp\Perflib_Perfdata_74c.dat scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\flo\LOCALS~1\Temp\Perflib_Perfdata_bbc.dat scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\flo\LOCALS~1\Temp\Perflib_Perfdata_bc4.dat scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
File delete failed. C:\Documents and Settings\flo\Local Settings\Application Data\Mozilla\Firefox\Profiles\opuq4y4d.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\flo\Local Settings\Application Data\Mozilla\Firefox\Profiles\opuq4y4d.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\flo\Local Settings\Application Data\Mozilla\Firefox\Profiles\opuq4y4d.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\flo\Local Settings\Application Data\Mozilla\Firefox\Profiles\opuq4y4d.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\flo\Local Settings\Application Data\Mozilla\Firefox\Profiles\opuq4y4d.default\urlclassifier3.sqlite scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\flo\Local Settings\Application Data\Mozilla\Firefox\Profiles\opuq4y4d.default\XUL.mfl scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 03062009_204827

Files moved on Reboot...
File C:\DOCUME~1\flo\LOCALS~1\Temp\etilqs_WY8zywJHUXTAlQbfE0tO not found!
File C:\DOCUME~1\flo\LOCALS~1\Temp\Perflib_Perfdata_74c.dat not found!
File C:\DOCUME~1\flo\LOCALS~1\Temp\Perflib_Perfdata_bbc.dat not found!
File C:\DOCUME~1\flo\LOCALS~1\Temp\Perflib_Perfdata_bc4.dat not found!
File move failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be moved on reboot.
C:\Documents and Settings\flo\Local Settings\Application Data\Mozilla\Firefox\Profiles\opuq4y4d.default\Cache\_CACHE_001_ moved successfully.
C:\Documents and Settings\flo\Local Settings\Application Data\Mozilla\Firefox\Profiles\opuq4y4d.default\Cache\_CACHE_002_ moved successfully.
C:\Documents and Settings\flo\Local Settings\Application Data\Mozilla\Firefox\Profiles\opuq4y4d.default\Cache\_CACHE_003_ moved successfully.
C:\Documents and Settings\flo\Local Settings\Application Data\Mozilla\Firefox\Profiles\opuq4y4d.default\Cache\_CACHE_MAP_ moved successfully.
C:\Documents and Settings\flo\Local Settings\Application Data\Mozilla\Firefox\Profiles\opuq4y4d.default\urlclassifier3.sqlite moved successfully.
C:\Documents and Settings\flo\Local Settings\Application Data\Mozilla\Firefox\Profiles\opuq4y4d.default\XUL.mfl moved successfully.

-----

Hijackthis logje:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:13, on 2009-03-06
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\PnkBstrA.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\SolidWorks\swScheduler\swBOEngine.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\system32\inetsrv\DavCData.exe
C:\DOCUME~1\flo\LOCALS~1\Temp\sjckx.exe
C:\DOCUME~1\flo\LOCALS~1\Temp\winenxkw.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [PKR Pal] "C:\Program Files\PKR\pkrpal.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Lokale service')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Netwerkservice')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: SolidWorks Task Scheduler Engine.lnk = C:\Program Files\SolidWorks\swScheduler\swBOEngine.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: UltimateBet - {3EB3B7E8-1466-405A-B5BC-44513AF85E34} - C:\Documents and Settings\All Users\Menu Start\Programma's\UltimateBet\UltimateBet.lnk (HKCU)
O9 - Extra 'Tools' menuitem: UltimateBet - {3EB3B7E8-1466-405A-B5BC-44513AF85E34} - C:\Documents and Settings\All Users\Menu Start\Programma's\UltimateBet\UltimateBet.lnk (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/NL-BE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\System32\PnkBstrA.exe
O23 - Service: SolidWorks Licensing Service - SolidWorks - C:\Program Files\Common Files\SolidWorks Shared\Service\SolidWorksLicensing.exe

--
End of file - 5929 bytes

Juisterr

Legacy Member
Download KillBox! naar je bureaublad.

Selecteer de onderstaande, vetgedrukte regels, door de linker muisknop ingedrukt te houden en van links boven naar rechts beneden te bewegen (het veld wordt blauw):



  • C:\DOCUME~1\flo\LOCALS~1\Temp\sjckx.exe
    C:\DOCUME~1\flo\LOCALS~1\Temp\winenxkw.exe



Klik met je rechtermuisknop in het blauwe veld en vervolgens op kopieeren

[*] Start KillBox! door te dubbelklikken op het killbox icoontje

[*] Open options in het killbox menu en selecteer auto parse

[*] Open file in het killboxmenu bovenaan en kies: Paste from clipboard

[*] Het vetgedrukte, dat je hebt geselecteerd en gekopiëerd, zal nu verschijnen in het veld bij
Full Path of File to Delete. (Controleer dit eventueel door te klikken op het pijltje naast dat veld)
Files die niet (meer) bestaan worden door killbox niet weergegeven


[*] kies de optie ('s) Delete on reboot en unregister dll's before deleting.

[*] Klik op de knop All files.

[*] Klik op de rode cirkel met het wit kruisje erin.

[*] Killbox! zal zeggen dat deze bestanden zullen verwijderd worden on reboot.. Klik YES

[*] Wanneer Killbox! vraagt om nu te rebooten, klik je op YES.

[*] Als je volgende boodschap krijgt: PendingFileRenameOperations Registry Data has been Removed by External Process!
dan zal je handmatig moeten herstarten.
[/list]

Killbox zal nu je PC herstarten
Verwijder na de herstart de map C:\!Killbox
Leeg daarna de prullenbak



  • Run Killbox nogmaals
  • Ga naar Tools > Delete Temp Files
  • Laat alle aankruisvakjes onveranderd aangevinkt,
    en klik op Delete Selected Temp Files
  • In de drop down menu in het midden, selecteer één voor één elk gebruikersprofiel
    en klik op Delete Selected Temp Files voor elk profiel,
    terug de default vinkjes onveranderd latend.
  • Klik Exit wanneer alle gebruikersprofielen opgeschoond zijn.

ace4ever

Legacy Member
Ik heb alles gedaan wat je gezegd hebt en die 2 .exe bestandjes werden weldegelijk gedeleet bij het reboten, echter nadat men pc heropstart verschijnen er in de Temp map direct weer 2 nieuwe soortgelijke .exe bestanden. Bovendien heb ik in men Temp map (dit was al langer zo) wel een viertal verdachte bestanden met de naam

Perflib_Perfdata_edc.dat
Perflib_Perfdata_110.dat
...

Ik heb deze ook proberen mee te deleten via Killbox (dus de 2 .exe bestanden en de 4 .bat bestanden in 1 paste), maar het bleek echter niet te helpen. Het zijn precies zeer koppige trojans ...

Juisterr

Legacy Member
so it seems

Download Combofix naar je Bureaublad en gebruik het volgens deze handleiding.

OPMERKING: indien je, tijdens of na het downloaden van Combofix of tijdens het gebruik van Combofix een melding krijgt van je Antivirus- of een andere realtime scanner, schakel dan deze scanner uit en download Combofix opnieuw.
Sommige scanners zien bepaalde componenten die Combofix gebruikt als verdacht en gaan deze blokkeren of verwijderen!
  • Dubbelklik op Combofix.exe om het te starten.
  • Indien je Combofix al eerder hebt gebruikt, kan je een waarschuwing krijgen dat een update beschikbaar is. Sta toe dat ComboFix wordt geupdate.
  • Klik op OK in het "NirCmd" venstertje.
  • Indien de Recovery Console niet geïnstalleerd is, wordt je gevraagd om dit alsnog te doen door op JA te klikken in het "Query - Recovery Console" venster.
  • Klik op OK en Ja om automatisch de Recovery Console te laten installeren.
  • Klik na afloop terug op Ja om het scannen op malware te starten.
  • Tijdens het runnen van de fix, NIET in het venster klikken, want dit zal je pc doen vasthangen.
  • Wanneer de fix voltooid is en na herstart, zal de log Combofix.txt openen.
Post dit logje in je volgende antwoord.

ace4ever

Legacy Member
ComboFix 09-03-10.03 - flo 2009-03-12 15:20:49.7 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1043.18.1023.675 [GMT 1:00]
Gestart vanuit: c:\documents and settings\flo\Bureaublad\combo.exe
* Nieuw herstelpunt werd aangemaakt
.

(((((((((((((((((((((((((((((((((( Andere Verwijderingen )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\Cache

.
(((((((((((((((((((( Bestanden Gemaakt van 2009-02-12 to 2009-03-12 ))))))))))))))))))))))))))))))
.

2009-03-12 14:52 . 2009-03-12 14:52 <DIR> d-------- c:\program files\Cake Poker
2009-03-12 13:50 . 2009-03-12 13:50 268 --ah----- C:\sqmdata08.sqm
2009-03-12 13:50 . 2009-03-12 13:50 244 --ah----- C:\sqmnoopt08.sqm
2009-03-08 15:29 . 2009-03-08 16:03 <DIR> d-------- C:\!KillBox
2009-03-06 20:48 . 2009-03-06 20:48 <DIR> d-------- C:\_OTMoveIt
2009-03-05 12:55 . 2009-03-05 12:55 0 --a------ c:\windows\nsreg.dat
2009-03-02 19:11 . 2009-03-12 14:50 <DIR> d-------- c:\program files\UltimateBet
2009-02-28 19:39 . 2009-03-10 00:11 <DIR> dr-h----- c:\documents and settings\flo\Onlangs geopend
2009-02-28 17:06 . 2009-02-28 17:06 <DIR> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-02-28 17:06 . 2009-02-28 17:06 <DIR> d-------- c:\documents and settings\flo\Application Data\Malwarebytes
2009-02-28 17:06 . 2009-02-28 17:06 <DIR> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-02-28 17:06 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-28 17:06 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-26 18:30 . 2009-02-26 18:30 <DIR> d-------- c:\program files\Trend Micro
2009-02-25 19:39 . 2009-02-25 19:39 268 --ah----- C:\sqmdata07.sqm
2009-02-25 19:39 . 2009-02-25 19:39 244 --ah----- C:\sqmnoopt07.sqm
2009-02-24 19:58 . 2009-02-24 19:58 244 --ah----- C:\sqmnoopt06.sqm
2009-02-24 19:58 . 2009-02-24 19:58 232 --ah----- C:\sqmdata06.sqm
2009-02-24 19:56 . 2009-02-24 19:56 244 --ah----- C:\sqmnoopt05.sqm
2009-02-24 19:56 . 2009-02-24 19:56 232 --ah----- C:\sqmdata05.sqm
2009-02-22 19:18 . 2009-02-22 19:18 <DIR> d-------- c:\program files\MSXML 6.0
2009-02-22 19:14 . 2009-02-22 19:14 <DIR> d-------- c:\program files\MSXML 4.0
2009-02-22 18:47 . 2009-02-22 19:12 <DIR> d-------- c:\windows\system32\CatRoot_bak
2009-02-22 18:47 . 2008-08-14 14:48 2,184,704 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe
2009-02-22 18:47 . 2008-08-14 14:47 2,140,672 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe
2009-02-22 18:47 . 2008-08-14 14:48 2,062,080 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe
2009-02-22 18:47 . 2008-08-14 14:47 2,020,352 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe
2009-02-22 18:45 . 2008-10-24 12:10 453,632 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2009-02-22 18:44 . 2008-04-11 19:51 683,520 -----c--- c:\windows\system32\dllcache\inetcomm.dll
2009-02-22 18:44 . 2008-12-11 12:57 333,184 -----c--- c:\windows\system32\dllcache\srv.sys
2009-02-22 18:44 . 2008-06-14 19:00 272,640 -----c--- c:\windows\system32\dllcache\bthport.sys
2009-02-22 18:44 . 2008-10-03 11:17 247,326 -----c--- c:\windows\system32\dllcache\strmdll.dll
2009-02-20 22:21 . 2009-03-11 17:52 <DIR> d--h----- c:\windows\$hf_mig$
2009-02-19 23:30 . 2008-01-10 19:47 373,248 -----c--- c:\windows\system32\dllcache\asp51.dll
2009-02-19 23:30 . 2006-10-04 14:34 216,064 -----c--- c:\windows\system32\dllcache\osk.exe
2009-02-19 23:30 . 2008-06-24 17:24 74,240 -----c--- c:\windows\system32\dllcache\mscms.dll
2009-02-19 23:30 . 2006-10-04 14:34 73,216 -----c--- c:\windows\system32\dllcache\magnify.exe
2009-02-19 23:30 . 2006-10-04 14:34 54,784 -----c--- c:\windows\system32\dllcache\narrator.exe
2009-02-19 23:30 . 2006-10-04 14:34 50,176 -----c--- c:\windows\system32\dllcache\utilman.exe
2009-02-19 23:30 . 2006-10-04 14:39 36,352 -----c--- c:\windows\system32\dllcache\umandlg.dll
2009-02-19 23:29 . 2008-12-12 18:36 3,081,216 -----c--- c:\windows\system32\dllcache\mshtml.dll
2009-02-19 23:29 . 2009-02-09 15:19 1,846,400 -----c--- c:\windows\system32\dllcache\win32k.sys
2009-02-19 23:29 . 2007-06-26 09:29 362,496 -----c--- c:\windows\system32\dllcache\w3svc.dll
2009-02-19 23:29 . 2008-01-10 06:24 257,024 -----c--- c:\windows\system32\dllcache\infocomm.dll
2009-02-19 23:28 . 2008-10-15 18:01 332,800 -----c--- c:\windows\system32\dllcache\netapi32.dll
2009-02-19 23:28 . 2008-05-01 15:33 331,776 -----c--- c:\windows\system32\dllcache\msadce.dll
2009-02-19 23:27 . 2008-09-04 17:46 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll
2009-02-19 20:52 . 2009-02-19 20:52 <DIR> d-------- c:\documents and settings\flo\Application Data\SolidWorks 2008
2009-02-19 20:50 . 2009-02-19 23:28 <DIR> d-------- c:\documents and settings\flo\Application Data\SolidWorks
2009-02-19 20:24 . 2009-02-19 20:24 <DIR> d-------- c:\documents and settings\flo\Application Data\DWGeditor
2009-02-19 20:23 . 2009-02-19 20:24 <DIR> d-------- c:\program files\DWGeditor
2009-02-19 20:23 . 2009-02-19 20:23 0 --a------ c:\windows\eDrawingOfficeAutomator.INI
2009-02-19 17:51 . 2009-02-19 17:51 23 --ah----- c:\windows\yacht.xws
2009-02-19 17:43 . 2009-02-19 17:51 <DIR> d-------- c:\program files\Common Files\SolidWorks Shared
2009-02-19 17:40 . 2009-02-19 17:40 <DIR> d-------- c:\windows\system32\GroupPolicy
2009-02-19 17:40 . 2009-02-19 17:40 <DIR> d-------- C:\Solidworks Data
2009-02-19 17:40 . 2009-02-19 17:50 <DIR> d-------- c:\program files\SolidWorks
2009-02-19 17:40 . 2009-02-19 20:23 <DIR> d-------- c:\program files\Common Files\eDrawings2008
2009-02-19 17:40 . 2009-02-19 17:40 <DIR> d-------- c:\program files\AGEIA Technologies
2009-02-19 17:40 . 2009-02-19 17:40 <DIR> d-------- c:\documents and settings\All Users\Application Data\SolidWorks
2009-02-19 16:51 . 2009-02-19 16:51 <DIR> d-------- c:\program files\MSBuild
2009-02-19 16:47 . 2009-02-19 16:47 <DIR> d-------- c:\windows\system32\XPSViewer
2009-02-19 16:45 . 2009-02-19 16:45 <DIR> d-------- c:\program files\Reference Assemblies
2009-02-19 16:45 . 2006-06-29 13:07 14,048 --------- c:\windows\system32\spmsg2.dll
2009-02-19 16:37 . 2009-02-19 16:37 <DIR> d-------- c:\documents and settings\LocalService\Menu Start
2009-02-19 16:18 . 2009-02-19 16:18 <DIR> d-------- c:\windows\ServicePackFiles
2009-02-19 15:55 . 2004-07-17 11:40 19,528 --a------ c:\windows\002461_.tmp
2009-02-19 15:54 . 2006-10-16 16:10 23,856 --a------ c:\windows\system32\spupdsvc.exe
2009-02-19 15:51 . 2009-02-19 16:22 <DIR> d-------- c:\windows\EHome
2009-02-19 15:19 . 2009-02-19 15:19 <DIR> d-------- c:\program files\MSECache

.
((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-12 13:12 --------- d-----w c:\program files\Full Tilt Poker
2009-03-05 12:34 --------- d-----w c:\program files\PokerRoom.com
2009-02-24 18:58 --------- d-----w c:\program files\PokerStars
2009-02-19 15:38 --------- d-----w c:\program files\MSN Messenger
2009-02-14 16:01 --------- d-----w c:\program files\DkZ Studio
2009-02-09 14:19 1,846,400 ----a-w c:\windows\system32\win32k.sys
2009-01-24 21:55 --------- d-----w c:\documents and settings\All Users\Application Data\AntiVir PersonalEdition Classic
2009-01-18 17:08 --------- d-----w c:\program files\Google
.

((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"MsnMsgr"="c:\program files\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5748080]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-10-13 142584]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATICCC"="c:\program files\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 163840]
"avgnt"="c:\program files\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-19 266497]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2007-10-19 356352]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360]

c:\documents and settings\flo\Mijn documenten\Menu Start\Programma's\Opstarten\
SolidWorks Task Scheduler Engine.lnk - c:\program files\SolidWorks\swScheduler\swBOEngine.exe [2008-04-17 566552]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableTaskMgr"= 1 (0x1)
"DisableRegistryTools"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"UacDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"UacDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Program Files\\ATI Technologies\\ATI.ACE\\CLIStart.exe"=
"c:\\Program Files\\QuickTime\\qttask.exe"=
"c:\\WINDOWS\\System32\\wuauclt.exe"= c:\\WINDOWS\\system32\\wuauclt.exe
"c:\\Program Files\\ATI Technologies\\ATI.ACE\\CLI.EXE"=
"c:\\Program Files\\Google\\Common\\Google Updater\\GoogleUpdaterService.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"= c:\\Program Files\\MSN Messenger\\MsnMsgr.Exe
"c:\\Program Files\\MSN Messenger\\livecall.exe"=
"c:\\WINDOWS\\system32\\userinit.exe"=
"c:\\WINDOWS\\system32\\netsh.exe"=
"c:\\Program Files\\MSN Messenger\\usnsvc.exe"=
"c:\\Program Files\\SolidWorks\\swScheduler\\swBOEngine.exe"=
"c:\\DOCUME~1\\flo\\LOCALS~1\\Temp\\winulbvm.exe"=
"c:\\DOCUME~1\\flo\\LOCALS~1\\Temp\\winkypsnj.exe"=
"c:\\DOCUME~1\\flo\\LOCALS~1\\Temp\\winheri.exe"=

R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [2007-03-18 22336]
R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [2007-03-18 45376]
R3 abp470n5;abp470n5;\??\c:\windows\System32\drivers\opgpqh.sys --> c:\windows\System32\drivers\opgpqh.sys [?]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{56528994-c44c-11dd-a74a-000f66e5e5f1}]
\sheLL\AutopLaY\coMManD - E:\qnyjv.cmd
\sheLL\AutoRun\command - E:\qnyjv.cmd
\sheLL\explorE\CoMmand - E:\qnyjv.cmd
\sheLL\open\command - E:\qnyjv.cmd
.
Inhoud van de 'Gedeelde Taken' map

2009-02-25 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-08-29 14:57]
.
- - - - ORPHANS VERWIJDERD - - - -

HKLM-Run-PKR Pal - c:\program files\PKR\pkrpal.exe


.
------- Bijkomende Scan -------
.
uStart Page = hxxp://google.be/
mStart Page = about:blank
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&xporteren naar Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\flo\Application Data\Mozilla\Firefox\Profiles\opuq4y4d.default\
FF - prefs.js: browser.startup.homepage - hxxp://google.be/
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-12 15:22:11
Windows 5.1.2600 Service Pack 2 NTFS

scannen van verborgen processen ...

scannen van verborgen autostart items ...

scannen van verborgen bestanden ...

Scan succesvol afgerond
verborgen bestanden: 0

**************************************************************************
.
--------------------- VERGRENDELDE REGISTER SLEUTELS ---------------------

[HKEY_USERS\S-1-5-21-117609710-838170752-1801674531-1003\Software\devotii\Envoy*]
"RememberMe"="C68B99299B4F53A73100"
"Username"="B3C238BA41A17B2F86B86B3F78606E7A000000000000"
"Hash"="4B63181E5495E78CE1E1EBAE2CB8D557C325F362F3C4F760E8C75FEE99F92EB5"
.
--------------------- DLLs Geladen Onder Lopende Processen ---------------------

- - - - - - - > 'winlogon.exe'(488)
c:\windows\system32\Ati2evxx.dll
.
Voltooingstijd: 2009-03-12 15:24:54
ComboFix-quarantined-files.txt 2009-03-12 14:24:53

Pre-Run: 13,562,335,232 bytes beschikbaar
Post-Run: 13,540,814,848 bytes beschikbaar

WindowsXP-KB310994-SP2-Pro-BootDisk-NLD.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

203 --- E O F --- 2009-03-11 21:18:50

Juisterr

Legacy Member
Open Kladblok, kopieer en plak het volgende (vetgedrukte, blauwe tekst) in een leeg venster:

Folder::
C:\!KillBox
C:\_OTMoveIt


Driver::
abp470n5
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{56528994-c44c-11dd-a74a-000f66e5e5f1}]


Sla dit op op je Bureaublad als CFScript.txt.

Sleep CFScript.txt in ComboFix.exe zoals getoond in onderstaand voorbeeld :
CFScript.gif




Dit zal ComboFix doen herstarten.

Na het herstarten van je computer, (indien het vraagt om te herstarten), kopieer en plak de inhoud van log.txt in je volgende antwoord.
Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.
Terug
Bovenaan