Calivary pop-ups

Status
Niet open voor verdere reacties.
N

Nfoefoe

Gebruiker
Lid geworden
7 sep 2004
Berichten
76
Hallo,

Sinds een dag of 2 opent er ineens, als ik op Internet zit, in een nieuw tabblad (zowel IE als FF) een website van Calivary, waar je zogenaamd een I-phone kan winnen.
M.i. een Trojan, spyware, Adware of iets dergelijks... Waarschijnlijk een keer tijdens het surfen/downloaden opgelopen. Zou niet precies weten hoe en wat.

Ik heb F-secure, Ad-aware en Spy-bot gerund. No results... :(

Beetje gegoogled, maar er lijkt (nog) niet veel over bekend. Er is al eerder iemand geweest die een soortgelijke topic heeft geplaatst, daar word ik echter niet wijzer van....

Hoe krijg ik het uit mijn systeem?

OS Vista
 
1. Download MBAM (Malwarebytes' Anti-Malware) hier.
  • Dubbelklik op mbam-setup.exe om het programma te installeren.
  • Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien".
  • Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden.
  • Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Volledige Scan", daarna klik op Scan.
  • Het scannen kan een tijdje duren, dus wees geduldig.
  • Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien.
  • Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde.
  • Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten.
De log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in MBAM.
Kopieer en plak de inhoud van het logje in je volgend antwoord.
Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken.
Daarna zal het vragen om de Computer opnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart.


2. Download SAS (SuperAntiSpyware)hier.
  • Dubbelklik op SUPERAntiSpyware.exe om het programma te installeren.
  • Kies Nederlands(NL) als default-language.
  • Klik hierna op OK.
  • Laat SAS zoeken voor nieuwe updates en definitie-updates, en laat hem alles downloaden en installeren (dit kan even duren).
  • Klik na het updaten op Volgende.
  • Geef in het volgende scherm geen e-mail en klik zonder iets in te vullen op Volgende.
  • Zet een vinkje bij Automatische controle voor programma- en definitie-updates, en klik daarna op Volgende.
  • Zet een vinkje bij Stuur een diagnoserapport naar ons onderzoekcentrum, en klik op Volgende.
  • Nu wordt het diagnostische rapport verzonden, daarna is de installatie klaar en klik je op Voltooien.
  • Kies bij Homepage NIET beschermen
  • Klik op Scannen van de computer en klik op Complete Scan uitvoeren.
  • Na het scannen zie je een lijst met de gevonden virussen, klik dan op Scannerlog, er opent een log, post dat log in je volgende bericht.
  • Verwijder daarna de virussen door alle virussen aan te klikken op Volgende/Verwijderen te klikken.

:thumb:
 
OK gedaan:

Malwarebytes' Anti-Malware 1.44
Database versie: 3526
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18865

9-1-2010 11:30:33
mbam-log-2010-01-09 (11-30-33).txt

Scan type: Volledige Scan (C:\|D:\|)
Objecten gescand: 212477
Verstreken tijd: 1 hour(s), 4 minute(s), 57 second(s)

Geheugenprocessen geïnfecteerd: 0
Geheugenmodulen geïnfecteerd: 0
Registersleutels geïnfecteerd: 5
Registerwaarden geïnfecteerd: 0
Registerdata bestanden geïnfecteerd: 0
Mappen geïnfecteerd: 0
Bestanden geïnfecteerd: 7

Geheugenprocessen geïnfecteerd:
(Geen kwaadaardige items gevonden)

Geheugenmodulen geïnfecteerd:
(Geen kwaadaardige items gevonden)

Registersleutels geïnfecteerd:
HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook (Adware.Ecobar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook.1 (Adware.Ecobar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{ca3eb689-8f09-4026-aa10-b9534c691ce0} (Adware.Ecobar) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c23d0d6a-8cba-4b33-9735-47d81f5b2b85} (Adware.Ecobar) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{c23d0d6a-8cba-4b33-9735-47d81f5b2b85} (Adware.Ecobar) -> Quarantined and deleted successfully.

Registerwaarden geïnfecteerd:
(Geen kwaadaardige items gevonden)

Registerdata bestanden geïnfecteerd:
(Geen kwaadaardige items gevonden)

Mappen geïnfecteerd:
(Geen kwaadaardige items gevonden)

Bestanden geïnfecteerd:
C:\bjhwoqj.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\sysmon\cvgc13007\nxrw2774.exe (Adware.EcoBar) -> Quarantined and deleted successfully.
C:\sysmon\flvdirect\upbuq11185.exe (Application.MediaPass) -> Quarantined and deleted successfully.
C:\Users\Chrétienne\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\7DGNDNL6\20091229100715[1].exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Users\Chrétienne\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\GHYM0GTY\20091215072256[1].exe (Adware.EcoBar) -> Quarantined and deleted successfully.
C:\Users\Chrétienne\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\GMVCSDY3\bhrnbylv[1].htm (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Windows\Temp\stiw.tmp\svchost.exe (Trojan.PWS) -> Quarantined and deleted successfully.

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 01/09/2010 at 12:19 PM

Application Version : 4.33.1000

Core Rules Database Version : 4461
Trace Rules Database Version: 2282

Scan type : Complete Scan
Total Scan Time : 00:36:05

Memory items scanned : 752
Memory threats detected : 0
Registry items scanned : 5542
Registry threats detected : 5
File items scanned : 26762
File threats detected : 22

Adware.Tracking Cookie
C:\Users\Chrétienne\AppData\Roaming\Microsoft\Windows\Cookies\chrétienne@weborama[1].txt
C:\Users\Chrétienne\AppData\Roaming\Microsoft\Windows\Cookies\chrétienne@thephonehouse.solution.weborama[2].txt
C:\Users\Chrétienne\AppData\Roaming\Microsoft\Windows\Cookies\chrétienne@serving-sys[2].txt
C:\Users\Chrétienne\AppData\Roaming\Microsoft\Windows\Cookies\chrétienne@bluemango.solution.weborama[2].txt
C:\Users\Chrétienne\AppData\Roaming\Microsoft\Windows\Cookies\chrétienne@nl.sitestat[1].txt
C:\Users\Chrétienne\AppData\Roaming\Microsoft\Windows\Cookies\chrétienne@bs.serving-sys[1].txt
C:\Users\Chrétienne\AppData\Roaming\Microsoft\Windows\Cookies\chrétienne@beacons.hottraffic[1].txt
C:\Users\Chrétienne\AppData\Roaming\Microsoft\Windows\Cookies\Low\chrétienne@beacons.hottraffic[1].txt
C:\Users\Chrétienne\AppData\Roaming\Microsoft\Windows\Cookies\Low\chrétienne@bluestreak[1].txt
C:\Users\Chrétienne\AppData\Roaming\Microsoft\Windows\Cookies\Low\chrétienne@farlawebmedia[2].txt
C:\Users\Chrétienne\AppData\Roaming\Microsoft\Windows\Cookies\Low\chrétienne@www.farlawebmedia[1].txt
C:\Users\Chrétienne\AppData\Roaming\Microsoft\Windows\Cookies\Low\chrétienne@bt.ilsemedia[1].txt
C:\Users\Chrétienne\AppData\Roaming\Microsoft\Windows\Cookies\Low\chrétienne@content.yieldmanager[1].txt
C:\Users\Chrétienne\AppData\Roaming\Microsoft\Windows\Cookies\Low\chrétienne@content.yieldmanager[3].txt
C:\Users\Chrétienne\AppData\Roaming\Microsoft\Windows\Cookies\Low\chrétienne@media6degrees[1].txt
C:\Users\Chrétienne\AppData\Roaming\Microsoft\Windows\Cookies\Low\chrétienne@collective-media[1].txt
C:\Users\Chrétienne\AppData\Roaming\Microsoft\Windows\Cookies\Low\chrétienne@semilo2.adtrackxys[2].txt
C:\Users\Chrétienne\AppData\Roaming\Microsoft\Windows\Cookies\Low\chrétienne@stats.ilsemedia[1].txt
C:\Users\Chrétienne\AppData\Roaming\Microsoft\Windows\Cookies\Low\chrétienne@zbox.zanox[1].txt
C:\Users\Chrétienne\AppData\Roaming\Microsoft\Windows\Cookies\Low\chrétienne@ads.creative-serving[2].txt
C:\Users\Chrétienne\AppData\Roaming\Microsoft\Windows\Cookies\Low\chrétienne@stats.edgevertising[2].txt

Browser Hijacker.Deskbar
HKCR\Interface\{4897BBA6-48D9-468C-8EFA-846275D7701B}
HKCR\Interface\{4897BBA6-48D9-468C-8EFA-846275D7701B}\ProxyStubClsid
HKCR\Interface\{4897BBA6-48D9-468C-8EFA-846275D7701B}\ProxyStubClsid32
HKCR\Interface\{4897BBA6-48D9-468C-8EFA-846275D7701B}\TypeLib
HKCR\Interface\{4897BBA6-48D9-468C-8EFA-846275D7701B}\TypeLib#Version

Adware.Mirar/NetNucleus
C:\USERS\CHRéTIENNE\APPDATA\LOCAL\TEMP\TEMP1_POPCAP BOOKWORM ADVENTURES CRACK KEYGEN.ZIP\SETUP.EXE

En opnieuw opgestart.
Toch nog een aantal dingen gevonden en verwijderd dus.

F-secure komt nu trouwens nog vaak met eenzelfde melding van een trojan:
Trojan-Downloader:W32/Renos.gen!Z
Deze blokkeert en verwijdert hij omstebeurt, maar is blijkbaar dus niet door bovenstaande programma's verwijderd. Om de zoveel tijd blijft hij een melding geven... :confused:

Ben er dus toch nog niet helemaal vanaf?!
 
  • Download Kaspersky AVPTool en sla deze op je bureaublad op.
    • Start je computer opnieuw op, maar deze keer in Veilige Modus.
    • Dubbelklik op het installatie bestand om het programma te installeren.
    • Klik op Next om verder te gaan.
    • Het programma wordt standaard in een map op je buraublad geinstalleerd. Klik op Next.
    • Klik op OK in de melding om in Veilige Modus te scannen.
    • Het programma wordt automatisch worden geopend op het tabblad Autoscan.
    • Zorg ervoor dat het volgende onder Autoscan is aangevinkt:

      • System Memory
      • Startup Objects
      • Disk Boot Sectors
      • My Computer
      • Ook alle andere (verwijderbare) schijven
  • Klik nadat je dat hebt geklikt op Security level: Recommended, kies Settings, tabblad Additional, vink Rootkitscan en Deep scan aan en klik op OK en je bent weer terug in het hoofd scherm.

    • Klik op Scan rechts onder.
    • Het programma neutraliseert automatisch alle gevonden objecten.
    • Als er nog niet-geneutraliseerde objecten overblijven, klik dan op de knop Neutralize all
    • Als er bestanden niet geneutraliseerd kunnen worden, verwijder het bestand dan.
    • Klik als dat allemaal klaar is op de reports knop aan de onderkant en sla het logje op met als bestandsnaam Kas.
    • Sla het logje op een geschikte plaats op (bijvoorbeeld je bureaublad) en kopieer alle gevonden malware uit je log, dit staat bovenaan onder Detected en plak alleen dit gedeelte van het logje in je volgende bericht.
Note: Dit programma zal zichzelf verwijderen
wanneer je het programma afsluit, dus sla het logje eerst op voordat je het programma afsluit.

:thumb:
 
Nfoefoe zei:
F-secure komt nu trouwens nog vaak met eenzelfde melding van een trojan:
Trojan-Downloader:W32/Renos.gen!Z
Deze blokkeert en verwijdert hij omstebeurt, maar is blijkbaar dus niet door bovenstaande programma's verwijderd. Om de zoveel tijd blijft hij een melding even... :confused:
Klik om te vergroten...
Welk bestand word er gevonden?
 
Dit is wat ik van Kasperski heb:

Autoscan: completed 15 minutes ago (events: 8, objects: 302760, time: 02:19:26)
9-1-2010 13:37:18 Task started
9-1-2010 13:51:02 Detected: Trojan-Downloader.Win32.Calac.eju C:\Users\Chrétienne\Downloads\eMule\Incoming\PopCap Zuma Pc Game 2008 Crack Keygen.zip/crack.exe
9-1-2010 13:51:02 Untreated: Trojan-Downloader.Win32.Calac.eju C:\Users\Chrétienne\Downloads\eMule\Incoming\PopCap Zuma Pc Game 2008 Crack Keygen.zip/crack.exe Postponed
9-1-2010 14:32:44 Detected: Trojan-Downloader.Win32.Calac.eju C:\Users\Chrétienne\Downloads\eMule\Incoming\PopCap Zuma Pc Game 2008 Crack Keygen.zip/crack.exe
9-1-2010 14:32:44 Untreated: Trojan-Downloader.Win32.Calac.eju C:\Users\Chrétienne\Downloads\eMule\Incoming\PopCap Zuma Pc Game 2008 Crack Keygen.zip/crack.exe Postponed
9-1-2010 15:03:08 Detected: Trojan-Downloader.Win32.Calac.eju C:\Users\Chrétienne\Downloads\eMule\Incoming\PopCap Zuma Pc Game 2008 Crack Keygen.zip/crack.exe
9-1-2010 15:56:44 Deleted: Trojan-Downloader.Win32.Calac.eju C:\Users\Chrétienne\Downloads\eMule\Incoming\PopCap Zuma Pc Game 2008 Crack Keygen.zip/crack.exe
9-1-2010 15:56:44 Task completed

Echter, toen ik de computer opnieuw op had gestart, was de betreffende trojan
Trojan-Downloader:W32/Renos.gen!Z
nog gewoon aanwezig volgens F-secure. Die hem nog steeds contant probeert te blokkeren/verwijderen....
 
1. Download TFC en sla deze op je Bureaublad op.
  • Dubbelklik op TFC.exe om het programma te openen.
  • Het programma zal alle andere programma's sluiten, zorg er dus voor dat je al je werk hebt opgeslagen voordat je verder gaat.
  • Klik op de knop Start om het programma te starten. Hoe lang het programma nodig heeft, kan verschillen. Dit kan kan slechts een paar seconden zijn, maar ook 5 minuten. Laat het programma gewoon ongestoord zijn werk doen totdat het klaar is.
  • Als het programma klaar is, dan zal het je computer opnieuw opstarten. Als dit niet gebeurt, start dan je computer handmatig opnieuw op.


2. Download esetsmartinstaller naar je Bureaublad.
  • Schakel je eigen virusscanner uit.
  • Dubbelklik esetsmartinstaller_enu.exe en klik uitvoeren.
  • Zet een vinkje bij Yes,I accept the Terms of use.
  • Zet een vinkje bij Scan archives.
  • Klik Start en de Signature database wordt gedownload.
  • Afhankelijk van je Download snelheid kan dit enige tijd duren.
  • De scan begint direct na downloading van de signatures.
  • Als er infecties gevonden zijn klik “List of found threats”.
  • Klik dan onder op “Export to textfile” geef de txt-file een naam en sla het op je bureaublad op.
  • Klik nu de Back button en vink aan “Delete quarantined files”.
  • Sluit de Eset onlinescanner.
Post nu de inhoud van de txt-file in je volgende antwoord.[/INDENT]


:thumb:
 
Laatst bewerkt:
Bestand vlgs F-secure:

C:\windows\temp\bate.tmp\svchost.exe

En de Calivary pop-up is net ook weer verschenen... zou het iets met elkaar te maken kunnen hebben?
 
TFC en Eset gerund:

Eset log:
C:\Windows\System32\drivers\NwlnkFwdw.sys Win32/Agent.OBJ trojan cleaned by deleting - quarantined
 
Download Combofix naar je Bureaublad.

Lees hier meer over correct gebruik van Combofix.

OPMERKING: indien je, tijdens of na het downloaden van Combofix of tijdens het gebruik van Combofix een melding krijgt van je Antivirus- of een andere realtime scanner, schakel dan deze scanner uit en download Combofix opnieuw.
Sommige scanners zien bepaalde componenten die Combofix gebruikt als verdacht en gaan deze blokkeren of verwijderen!

  • Dubbelklik op Combofix.exe om het te starten.
    Indien je Combofix al eerder hebt gebruikt, kan je een waarschuwing krijgen dat een update beschikbaar is. Sta toe dat ComboFix wordt geupdate.
    Volg de instructies, aanvaard de disclaimer door op Ja te klikken.
    Indien de Recovery Console niet geïnstalleerd is, wordt je gevraagd om dit alsnog te doen door op JA te klikken in het "Query - Recovery Console" venster (enkel voor XP, niet voor VISTA).
    Klik op OK en Ja om automatisch de Recovery Console te laten installeren.
    Klik na afloop terug op Ja om het scannen op malware te starten.
    Tijdens het runnen van de fix, NIET in het venster klikken, want dit zal je pc doen vasthangen.
Wanneer de fix voltooid is en na herstart, zal de log Combofix.txt openen.
Post het logje in je volgende bericht.

:thumb:
 
ComboFix 10-01-04.01 - Chrétienne 10-01-2010 9:36.1.2 - x86
Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1252.31.1043.18.3070.2119 [GMT 1:00]
Gestart vanuit: c:\users\Chrétienne\Desktop\ComboFix.exe
SP: SUPERAntiSpyware *disabled* (Updated) {222A897C-5018-402e-943F-7E7AC8560DA7}
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((((((((((((( Andere Verwijderingen )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\$recycle.bin\S-1-5-21-1796560525-4208644463-2362124044-500

Besmet exemplaar van c:\windows\system32\DRIVERS\iaStor.sys werd aangetroffen en gedesinfecteerd
Hersteld exemplaar van - Kitty ate it :p
.
(((((((((((((((((((( Bestanden Gemaakt van 2009-12-10 to 2010-01-10 ))))))))))))))))))))))))))))))
.

2010-01-10 08:47 . 2010-01-10 08:47 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-01-09 16:22 . 2010-01-09 16:22 -------- d-----w- c:\program files\ESET
2010-01-09 12:35 . 2010-01-09 12:35 -------- d-----w- c:\programdata\Kaspersky Lab
2010-01-09 10:38 . 2010-01-09 10:38 -------- d-----w- c:\programdata\SUPERAntiSpyware.com
2010-01-09 10:38 . 2010-01-09 10:38 -------- d-----w- c:\program files\SUPERAntiSpyware
2010-01-09 10:37 . 2010-01-09 10:37 -------- d-----w- c:\program files\Common Files\Wise Installation Wizard
2010-01-09 08:57 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-09 08:57 . 2010-01-09 08:57 -------- d-----w- c:\programdata\Malwarebytes
2010-01-09 08:57 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-01-09 08:57 . 2010-01-09 08:57 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-01-08 19:39 . 2010-01-08 19:40 -------- d-----w- c:\program files\GIMP-2.0
2010-01-08 09:58 . 2010-01-08 09:58 -------- d-----w- c:\program files\eMule
2010-01-07 20:55 . 2009-12-02 13:19 15880 ----a-w- c:\windows\system32\lsdelete.exe
2010-01-07 19:51 . 2010-01-07 19:51 -------- dc----w- c:\windows\system32\DRVSTORE
2010-01-07 19:51 . 2009-12-02 13:19 64288 ----a-w- c:\windows\system32\drivers\Lbd.sys
2010-01-07 19:51 . 2010-01-07 19:51 862040 ----a-w- c:\programdata\Lavasoft\Ad-Aware\Update\threatwork.exe
2010-01-07 19:51 . 2010-01-07 19:51 206944 ----a-w- c:\programdata\Lavasoft\Ad-Aware\Update\lavamessage.dll
2010-01-07 19:51 . 2010-01-07 19:51 390288 ----a-w- c:\programdata\Lavasoft\Ad-Aware\Update\lavalicense.dll
2010-01-07 19:46 . 2010-01-07 19:46 -------- d-----w- c:\program files\Lavasoft
2010-01-05 19:11 . 2010-01-05 19:11 -------- d-----w- c:\program files\Common Files\Oberon Media
2010-01-05 19:11 . 2010-01-05 19:46 -------- d-----w- c:\program files\Spelletjes.nl
2010-01-04 17:00 . 2010-01-04 17:18 33920 ----a-w- c:\windows\system32\drivers\fsbts.sys
2010-01-04 16:50 . 2009-08-05 15:57 35680 ----a-w- c:\windows\system32\drivers\fses.sys
2010-01-04 16:50 . 2009-08-05 15:57 71040 ----a-w- c:\windows\system32\drivers\fsdfw.sys
2010-01-04 15:07 . 2010-01-04 15:08 -------- d-----w- C:\sysmon
2010-01-02 12:00 . 2010-01-04 15:52 -------- d-----w- c:\programdata\Spybot - Search & Destroy
2010-01-02 12:00 . 2010-01-04 15:21 -------- d-----w- c:\program files\Spybot - Search & Destroy
2009-12-28 18:58 . 2009-12-28 19:03 -------- d-----w- c:\program files\Super Mario Blue Twilight DX
2009-12-25 08:14 . 2009-12-25 08:14 970504 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2009-12-24 14:37 . 2009-12-24 14:37 -------- d-----w- c:\program files\GameTop.com
2009-12-20 10:46 . 2010-01-10 08:47 12 ----a-w- c:\windows\bthservsdp.dat

.
((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-10 08:48 . 2009-10-13 00:27 45056 ----a-w- c:\windows\system32\acovcnt.exe
2010-01-10 08:41 . 2008-04-16 11:26 677096 ----a-w- c:\windows\system32\perfh013.dat
2010-01-10 08:41 . 2008-04-16 11:26 131312 ----a-w- c:\windows\system32\perfc013.dat
2010-01-08 09:58 . 2009-10-24 15:43 -------- d-----w- c:\programdata\eMule
2010-01-07 19:51 . 2010-01-07 19:46 -------- d-----w- c:\programdata\Lavasoft
2010-01-07 19:51 . 2010-01-07 19:51 537576 ----a-w- c:\programdata\Lavasoft\Ad-Aware\Update\aawapi.dll
2010-01-07 19:51 . 2010-01-07 19:51 370744 ----a-w- c:\programdata\Lavasoft\Ad-Aware\Update\UpdateManager.dll
2010-01-07 19:51 . 2010-01-07 19:51 194104 ----a-w- c:\programdata\Lavasoft\Ad-Aware\Update\Savapibridge.dll
2010-01-07 19:50 . 2010-01-07 19:50 6296864 ----a-w- c:\programdata\Lavasoft\Ad-Aware\Update\Resources.dll
2010-01-07 19:50 . 2010-01-07 19:50 933120 ----a-w- c:\programdata\Lavasoft\Ad-Aware\Update\CEAPI.dll
2010-01-07 19:50 . 2010-01-07 19:50 816272 ----a-w- c:\programdata\Lavasoft\Ad-Aware\Update\Ad-AwareCommand.exe
2010-01-07 19:50 . 2010-01-07 19:50 822904 ----a-w- c:\programdata\Lavasoft\Ad-Aware\Update\Ad-AwareAdmin.exe
2010-01-07 19:50 . 2010-01-07 19:50 1643272 ----a-w- c:\programdata\Lavasoft\Ad-Aware\Update\Ad-Aware.exe
2010-01-07 19:50 . 2010-01-07 19:50 788880 ----a-w- c:\programdata\Lavasoft\Ad-Aware\Update\AAWTray.exe
2010-01-07 19:50 . 2010-01-07 19:50 1181328 ----a-w- c:\programdata\Lavasoft\Ad-Aware\Update\AAWService.exe
2010-01-07 19:47 . 2010-01-07 19:47 -------- dc-h--w- c:\programdata\{BC9FCCF7-E686-494B-8C9B-55C9A39A7CA9}
2010-01-04 17:16 . 2009-10-22 16:42 -------- d-----w- c:\program files\Internetbeveiling
2010-01-04 17:12 . 2009-10-22 16:42 -------- d-----w- c:\programdata\fssg
2010-01-04 16:49 . 2009-10-22 16:40 -------- d-----w- c:\programdata\f-secure
2009-12-10 02:19 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2009-12-07 14:10 . 2010-01-07 19:47 2953352 -c--a-w- c:\programdata\{BC9FCCF7-E686-494B-8C9B-55C9A39A7CA9}\Ad-AwareInstallation.exe
2009-11-24 17:39 . 2009-11-24 17:36 -------- d-----w- c:\programdata\Zylom
2009-11-24 17:38 . 2009-11-24 17:36 -------- d-----w- c:\program files\Zylom Games
2009-11-21 06:40 . 2009-12-30 16:45 916480 ----a-w- c:\windows\system32\wininet.dll
2009-11-21 06:34 . 2009-12-30 16:45 71680 ----a-w- c:\windows\system32\iesetup.dll
2009-11-21 06:34 . 2009-12-30 16:45 109056 ----a-w- c:\windows\system32\iesysprep.dll
2009-11-21 04:59 . 2009-12-30 16:45 133632 ----a-w- c:\windows\system32\ieUnatt.exe
2009-11-20 14:53 . 2006-11-02 12:37 -------- d-----w- c:\program files\Microsoft Games
2009-11-19 06:22 . 2009-11-19 06:22 -------- d-----w- c:\program files\Windows Portable Devices
2009-11-19 06:22 . 2006-11-02 10:25 665600 ----a-w- c:\windows\inf\drvindex.dat
2009-11-19 06:22 . 2009-11-19 06:22 0 ---ha-w- c:\windows\system32\drivers\Msft_User_WpdFs_01_07_00.Wdf
2009-11-12 19:24 . 2009-11-12 19:24 -------- d-----w- c:\program files\Microsoft Silverlight
2009-11-09 12:31 . 2009-12-10 02:02 24064 ----a-w- c:\windows\system32\nshhttp.dll
2009-11-09 12:30 . 2009-12-10 02:02 30720 ----a-w- c:\windows\system32\httpapi.dll
2009-11-09 10:36 . 2009-12-10 02:02 411648 ----a-w- c:\windows\system32\drivers\http.sys
2009-11-02 19:42 . 2009-10-22 17:33 195456 ------w- c:\windows\system32\MpSigStub.exe
2009-10-29 09:17 . 2009-11-25 19:29 2048 ----a-w- c:\windows\system32\tzres.dll
2009-10-23 14:01 . 2009-11-24 17:36 102400 ----a-w- c:\programdata\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
2009-10-13 00:23 . 2009-10-13 00:23 33136 ----a-w- c:\windows\ASScrPro.exe
2009-10-13 00:23 . 2009-10-13 00:23 4814371 ----a-w- c:\windows\ASUS Camera ScreenSaver.exe
2009-10-13 00:23 . 2009-10-13 00:23 37232 ----a-w- c:\windows\ASScrProlog.exe
2009-10-13 00:23 . 2009-10-13 00:23 274800 ----a-w- c:\windows\ASUS Camera ScreenSaver Uninstaller.exe
2009-10-13 00:23 . 2009-10-13 00:23 503808 ----a-w- c:\windows\Asus_Camera_ScreenSaver.scr
2009-10-13 00:23 . 2009-10-13 00:23 606848 ----a-w- c:\windows\flashax.exe
2009-10-13 00:23 . 2009-10-13 00:23 12288 ----a-w- c:\windows\impborl.dll
2009-10-12 23:49 . 2009-10-12 23:49 319456 ----a-w- c:\windows\DIFxAPI.dll
2009-10-12 23:49 . 2009-10-12 23:49 315392 ----a-w- c:\windows\HideWin.exe
.

((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"SUPERAntiSpyware"="c:\program files\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2010-01-05 2002160]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"F-Secure Manager"="c:\program files\Internetbeveiling\Common\FSM32.EXE" [2009-08-05 199264]
"F-Secure TNB"="c:\program files\Internetbeveiling\FSGUI\TNBUtil.exe" [2009-08-05 2349664]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 13:21 548352 ----a-w- c:\program files\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):03,7b,c8,64,16,5a,ca,01

R0 fsbts;fsbts;c:\windows\System32\drivers\fsbts.sys [4-1-2010 18:00 33920]
R0 Lbd;Lbd;c:\windows\System32\drivers\Lbd.sys [7-1-2010 20:51 64288]
R1 F-Secure HIPS;F-Secure HIPS Driver;c:\program files\Internetbeveiling\HIPS\drivers\fshs.sys [4-1-2010 17:49 68064]
R1 FSES;F-Secure Email Scanning Driver;c:\windows\System32\drivers\fses.sys [4-1-2010 17:50 35680]
R1 FSFW;F-Secure Firewall Driver;c:\windows\System32\drivers\fsdfw.sys [4-1-2010 17:50 71040]
R1 fsvista;F-Secure Vista Support Driver;c:\program files\Internetbeveiling\Anti-Virus\minifilter\fsvista.sys [4-1-2010 17:48 12384]
R1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\sasdifsv.sys [5-1-2010 7:56 9968]
R1 SAS***IL;SAS***IL;c:\program files\SUPERAntiSpyware\SAS***IL.SYS [5-1-2010 7:56 74480]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [2-12-2009 14:19 1181328]
R2 ***laby;***laby;c:\windows\System32\drivers\***laby.sys [13-10-2009 1:17 15416]
R3 AtcL001;NDIS Miniport Driver for Atheros L1 Gigabit Ethernet Controller;c:\windows\System32\drivers\l160x86.sys [27-6-2007 14:00 46592]
R3 F-Secure Gatekeeper;F-Secure Gatekeeper;c:\program files\Internetbeveiling\Anti-Virus\minifilter\fsgk.sys [4-1-2010 17:48 107104]
R3 SASENUM;SASENUM;c:\program files\SUPERAntiSpyware\SASENUM.SYS [5-1-2010 7:56 7408]
S3 FontCache;Windows Font Cache Service;c:\windows\system32\svchost.exe -k LocalServiceAndNoImpersonation [21-1-2008 3:23 21504]
S3 FSORSPClient;F-Secure ORSP Client;c:\program files\Internetbeveiling\ORSP Client\fsorsp.exe [4-1-2010 17:49 55936]
S4 F-Secure Filter;F-Secure File System Filter;c:\program files\Internetbeveiling\Anti-Virus\win2k\fsfilter.sys [4-1-2010 17:48 39776]
S4 F-Secure Recognizer;F-Secure File System Recognizer;c:\program files\Internetbeveiling\Anti-Virus\win2k\fsrec.sys [4-1-2010 17:48 25184]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
bthsvcs REG_MULTI_SZ BthServ
.
Inhoud van de 'Gedeelde Taken' map

2010-01-09 c:\windows\Tasks\User_Feed_Synchronization-{D246F031-BBE3-401F-8154-5AA7E8AEF314}.job
- c:\windows\system32\msfeedssync.exe [2009-12-30 04:59]
.
.
------- Bijkomende Scan -------
.
uStart Page = hxxp://www.google.nl/
LSP: c:\program files\Internetbeveiling\FSPS\program\FSLSP.DLL
FF - ProfilePath - c:\users\Chrétienne\AppData\Roaming\Mozilla\Firefox\Profiles\u344cx1h.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.nl/
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npzylomgamesplayer.dll
FF - plugin: c:\programdata\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-10 09:50
Windows 6.0.6002 Service Pack 2 NTFS

scannen van verborgen processen ...

scannen van verborgen autostart items ...

scannen van verborgen bestanden ...

Scan succesvol afgerond
verborgen bestanden: 0

**************************************************************************
.
--------------------- VERGRENDELDE REGISTER SLEUTELS ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
--------------------- DLLs Geladen Onder Lopende Processen ---------------------

- - - - - - - > 'winlogon.exe'(804)
c:\program files\internetbeveiling\hips\fshook32.dll

- - - - - - - > 'lsass.exe'(760)
c:\program files\internetbeveiling\hips\fshook32.dll
.
------------------------ Andere Aktieve Processen ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\ATK Hotkey\ASLDRSrv.exe
c:\program files\ATKGFNEX\GFNEXSrv.exe
c:\windows\system32\WLANExt.exe
c:\program files\ASUS\SmartLogon\sensorsrv.exe
c:\program files\ATK Hotkey\Hcontrol.exe
c:\program files\ATKOSD2\ATKOSD2.exe
c:\program files\Wireless Console 2\wcourier.exe
c:\program files\ASUS\ASUS CopyProtect\ASPG.exe
c:\program files\P4G\BatteryLife.exe
c:\program files\ASUS\Splendid\ACMON.exe
c:\windows\System32\ACEngSvr.exe
c:\program files\ATK Hotkey\ATKOSD.exe
c:\program files\ATK Hotkey\KBFiltr.exe
c:\windows\system32\agrsmsvc.exe
c:\program files\Intel\Wireless\Bin\EvtEng.exe
c:\program files\Internetbeveiling\Anti-Virus\fsgk32st.exe
c:\program files\Internetbeveiling\Anti-Virus\FSGK32.EXE
c:\program files\Internetbeveiling\Common\FSMA32.EXE
c:\program files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
c:\program files\CDBurnerXP\NMSAccessU.exe
c:\program files\Intel\Wireless\Bin\RegSrvc.exe
c:\program files\ASUS\NB Probe\SPM\spmgr.exe
c:\windows\servicing\TrustedInstaller.exe
c:\windows\system32\wbem\unsecapp.exe
c:\program files\Internetbeveiling\Anti-Virus\fssm32.exe
c:\windows\system32\conime.exe
.
**************************************************************************
.
Voltooingstijd: 2010-01-10 09:59:00 - machine werd herstart
ComboFix-quarantined-files.txt 2010-01-10 08:58

Pre-Run: 81.656.823.808 bytes beschikbaar
Post-Run: 81.620.365.312 bytes beschikbaar

- - End Of File - - 85DA23DDF984CB8AC5ACE0F42A9EFE9E

Nou volgens mij heb ik nog nooit zoveel programma's op dit gebied gerund. Zou het er nu niet eens uit zijn? :confused:
 
(Nog) geen...

F-secure geeft geen meldingen meer en de calivary pop-up is tot nu toe niet meer verschenen....

Zou het dan echt.... :)

Ik heb nu natuurlijk wel allemaal gedownloade programma's op m'n computer op mal/spy/etc -ware op te sporen. Ik wil er wel iets van op laten staan.
Welke zal ik blijven gebruiken?
- SUPERantispyware?
- Malwarebytes?
- Ad-Aware?
- Spybot?

Alle4 lijkt mij een beetje veel... ?
 
Nfoefoe zei:
Ik heb nu natuurlijk wel allemaal gedownloade programma's op m'n computer op mal/spy/etc -ware op te sporen. Ik wil er wel iets van op laten staan.
Welke zal ik blijven gebruiken?
- SUPERantispyware?
- Malwarebytes?
- Ad-Aware?
- Spybot?

Alle4 lijkt mij een beetje veel... ?
Klik om te vergroten...
Ik zou gaan voor SUPERantispyware en Malwarebytes. Maar dat is mijn keuze.


Deïnstalleer ComboFix. Ga naar Start - Uitvoeren, tik in: Combofix /Uninstall
(Let op de spatie tussen Combofix en /Uninstall)
Druk daarna op Enter.

Schakel Systeemherstel uit. Herstart de computer. Schakel Systeemherstel weer in.
Klik hier om te zien hoe je Systeemherstel moet uitschakelen
Hiermee verwijder je eventuele restanten van de infecties uit je systeemherstel.


Ga naar de website van Secunia ( http://secunia.com/vulnerability_scanning/online/ ) en laat de Secunia Online Software Inspector (OSI) je computer scannen.
De Secunia Online Software Inspector scant de computer op programma's die niet geupdate zijn en daardoor ook mogelijke beveiligingslekken kunnen bevatten die ondermeer door malware misbruikt kunnen worden.
Plaats voor je de scan start eventueel ook een vinkje bij 'Enable thorough system inspection'. Hierdoor kan OSI ook de programma's vinden indien deze niet op de standaardlocatie geïnstalleerd zijn.
Wordt een niet-up-to-date programma gevonden dan wordt deze in het rood als 'insecure' weergegeven en krijg je de mogelijk om via de 'download-link' de meest recente versie te downloaden.

:thumb:
 
Als ik Combofix d.m.v. uitvoeren wil de-installeren geeft hij aan het bestand Combofix niet te kunnen vinden. Ik kan mij even niet bedenken dat ik het er zelf al af heb gehaald.

De overige dingen zijn wel gelukt.

Uit de scan bleek alleen Adobe Flash nog ge-update te kunnen worden. Meteen gedaan dus.
 
Download Combofix naar je bureaublad en probeer het opnieuw.

Deïnstalleer ComboFix. Ga naar Start - Uitvoeren, tik in: Combofix /Uninstall
(Let op de spatie tussen Combofix en /Uninstall)
Druk daarna op Enter.
Klik om te vergroten...
 
Gelukt!

SUPERantispyware en Malwarebytes heb ik erop laten staan, de rest eraf.

:thumb:
 
Status
Niet open voor verdere reacties.
                    Steun ons                    

Nieuwste berichten

Terug
Bovenaan Onderaan