Hallo,
sinds 2 weken verschijnt de boodschap of ik een bepaald programma wil deblokkeren in de firewall: egoc.exe.
Die exe staat in de volgende map: C:\Users\Eigenaar\AppData\Roaming\Qeovv
Ik vind niks op internet, wat is dit voor iets?

Alvast bedankt!

wil je eens naar de site http://www.virustotal.com/nl gaan.

Kopieer en plak: C:\Users\Eigenaar\AppData\Roaming\Qeovv voor de knop Choose File en klik op Scan it!.
Wacht het resultaat af, sla dit op en plak dit in je volgende post.

Klik op heranalyseer als het bestand al eens eerder gescand werd.

_________________

Goed geholpen hier, overweeg een donatie:
loglezer worden?
Lid van Team Opleiding.
tips
traagheidtips

Ok ERic,

Met IE krijg ik deze boodschap in een vrijwel leeg Googlescherm, terwijl de aangegeven link gewoon in de adresbalk staat:
404. That’s an error.
The requested URL /nl was not found on this server. That’s all we know.

Firefox dan maar:

Die gaat nu eerst een update doen, met sessie herstellen kom ik op malwarebytes van gisteren, maar
als ik die link intik, komt daar ook dat googlescherm! Hij blokkeert nu dus een aantal sites...

Ik heb trouwens gebumped, daar staat wat meer info, ik kopieer dat even hierin:
>>>>>>
Inmiddels ben ik erachter gekomen dat bij inloggen bij rabobank er een extra schermpje pop-upt met de mededeling dat belangrijke systeemparameters worden gecontroleerd.
De helpdesk van rabobank wist meteen dat ik een virus had en ze stuurden me de handleidingen voor MBAM en TDSSKILLER, die vonden niks aparts, en de laatste heb ik sptd (iets van deamon) laten skippen zoals zelf voorgesteld door TDSSKILLER.
Het probleem is gebleven en ik mag dus niet telebankieren.

Het bestandje genoemd in viewtopic.php?f=66&t=32914 staat in een map die op 30-04 jl. is aangemaakt.
Volgend de helpdesk is de naam en locatie van het virus steeds anders. Dat virus draait gewoon binnen de https van rabobank!

Alvorens dingen te gaan posten graag eerst advies.

FF vervolg,

in internet explorer leidt hij nu kaspersky en malwarebytes om naar een zowat lege google-pagina, hoe doet hij dat? Hosts-bestand is niet aangepast.
>>>>>>

Knap hoor van de bank dat ze dat zomaar zeggen.

Eens kijken wat onze tools vinden.
Download ComboFix van één van deze locaties:

Link 1
Link 2


* BELANGRIJK !!! Sla ComboFix.exe op je Bureaublad op.
>>Hier<< kunt u lezen hoe u Combofix dient te gebruiken.





1. Schakel alle antivirus- en antispywareprogramma's uit, want anders kunnen ze misschien conflicteren met ComboFix.

* (hier of hier 2. Het kan voorkomen dat de computer meerdere malen opnieuw gestart moet worden, dit is normaal.
3. Dubbelklik op "Combofix.exe" om de tool te starten.
4. Klik niet in het scherm van Combofix als deze actief is, hierdoor kan de 'tool' vastlopen.

* Noot !!! Als er een error wordt getoond met de melding "Illegal operation attempted on a registery key that has been marked for deletion." herstart dan de computer.

5. Wanneer ComboFix klaar is, zal het het een logbestand voor je maken. Post de inhoud van dit logbestand (te vinden als C:\ComboFix.txt) in je volgende bericht.

_________________

Goed geholpen hier, overweeg een donatie:
loglezer worden?
Lid van Team Opleiding.
tips
traagheidtips

Hoi,
ga ik straks uitvoeren,
moet ik na download de internetverbinding afbreken en Antivir, Mcafee sluiten?
De firewall van windows ook, die blokkeert nu egoc.
Ik keek in de tutorials van bleepingcomputer en die adviseren alles uit te zetten.
Maar bij een herstart start alles aujtomatisch op.
Ik kan me herinneren dat dit bij een kennis problemen gaf.

Gewoon de stappen volgen.

Maar begrijp ik dat je 2 antivirus programma's draait ?
Antivir, Mcafee ?

_________________

Goed geholpen hier, overweeg een donatie:
loglezer worden?
Lid van Team Opleiding.
tips
traagheidtips

Klopt Eric,
een overblijfsel van een besmetting jaren terug,
dat was nodig om bij xs4all weer online te kunnen komen.
Deze pc was niet besmet, een laptop hier wel.
Maar xs4all is erg streng, je moet aantonen dat elke pc veilig is,
met de verslagen van een aantal scanners,
deze antivir die gratis was heb ik laten staan naast Mcafee die ik al had.
En ze reageren soms op verschillende dreigingen.

Andere vraag: als ik de link van hijack intik, komt er eerst een tussenscherm,
"klik hier om verder te gaan naar het forum"
is dat normaal?

Geen idee, ik heb dat niet.
Ik zou 1 av kiezen en die houden en de andere eraf doen, ze werken elkaar eerder tegen dan dat ze elkaar aanvullen.

_________________

Goed geholpen hier, overweeg een donatie:
loglezer worden?
Lid van Team Opleiding.
tips
traagheidtips

Eric,

hieronder volgt de log.
In het combofixvenster verschenen wel de boodschappen:
"Failed to get data for 'EnableLUA'" 2 keer
en na herstart (automatisch):
"Gelieve te wachten
Toegang geweigerd"

Ik zie in ieder geval iets van egoc...

>>>>>>>>>>>>>>
ComboFix 12-05-03.02 - Eigenaar 03-05-2012 22:36:17.1.8 - x64
Microsoft® Windows Vista™ Home Premium 6.0.6001.1.1252.31.1043.18.6134.4195 [GMT 2:00]
Gestart vanuit: c:\users\Eigenaar\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((( Andere Verwijderingen )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
c:\users\Eigenaar\AppData\Roaming\Qeovv
c:\users\Eigenaar\AppData\Roaming\Qeovv\egoc.exe
c:\users\Eigenaar\AppData\Roaming\Uvaf
c:\users\Eigenaar\AppData\Roaming\Uvaf\nooxv.xik
c:\users\Eigenaar\Desktop\Internet Explorer.lnk
c:\windows\IsUn0413.exe
c:\windows\iun6002.exe
c:\windows\pkunzip.pif
c:\windows\pkzip.pif
c:\windows\TEMP\logishrd\LVPrcInj01.dll . . . . konden niet verwijderd worden
c:\windows\TEMP\logishrd\LVPrcInj02.dll . . . . konden niet verwijderd worden
.
.
(((((((((((((((((((( Bestanden Gemaakt van 2012-04-03 to 2012-05-03 ))))))))))))))))))))))))))))))
.
.
2012-05-03 11:20 . 2012-05-03 11:20 592824 ----a-w- c:\program files (x86)\Mozilla Firefox\gkmedias.dll
2012-05-03 11:20 . 2012-05-03 11:20 44472 ----a-w- c:\program files (x86)\Mozilla Firefox\mozglue.dll
2012-05-02 16:01 . 2012-05-02 16:01 -------- d-----w- c:\program files (x86)\Malwarebytes' Anti-Malware
2012-05-02 16:01 . 2012-04-04 13:56 24904 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-05-02 00:24 . 2012-04-13 08:46 8917360 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{913F97F3-3085-4F9E-876A-7AF735AF291A}\mpengine.dll
2012-05-01 14:42 . 2012-05-01 15:11 -------- d-----w- c:\programdata\Spybot - Search & Destroy
2012-05-01 14:42 . 2012-05-01 14:57 -------- d-----w- c:\program files (x86)\Spybot - Search & Destroy
2012-04-30 20:04 . 2012-05-03 19:01 -------- d-----w- c:\users\Eigenaar\AppData\Roaming\Vairat
2012-04-19 18:19 . 2012-04-19 18:19 887888 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
.
.
.
((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-04-27 11:28 . 2012-03-29 10:09 418464 ----a-w- c:\windows\SysWow64\FlashPlayerApp.exe
2012-04-27 11:28 . 2011-06-29 10:07 70304 ----a-w- c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2012-02-23 08:18 . 2009-10-03 00:00 279656 ------w- c:\windows\system32\MpSigStub.exe
2012-02-15 15:31 . 2012-02-10 12:59 132320 ----a-w- c:\windows\system32\drivers\avipbb.sys
2012-02-10 04:13 . 2012-02-22 00:59 9717568 ----a-w- c:\windows\system32\nvwgf2umx.dll
2012-02-10 04:13 . 2012-02-22 00:59 7713088 ----a-w- c:\windows\SysWow64\nvwgf2um.dll
2012-02-10 04:13 . 2012-02-22 00:59 68928 ----a-w- c:\windows\system32\OpenCL.dll
2012-02-10 04:13 . 2012-02-22 00:59 61248 ----a-w- c:\windows\SysWow64\OpenCL.dll
2012-02-10 04:13 . 2012-02-22 00:59 25541952 ----a-w- c:\windows\system32\nvoglv64.dll
2012-02-10 04:13 . 2012-02-22 00:59 19443520 ----a-w- c:\windows\SysWow64\nvoglv32.dll
2012-02-10 04:13 . 2012-02-22 00:59 13624128 ----a-w- c:\windows\system32\drivers\nvlddmkm.sys
2012-02-10 04:13 . 2012-02-22 00:59 8008000 ----a-w- c:\windows\system32\nvcuda.dll
2012-02-10 04:13 . 2012-02-22 00:59 5892928 ----a-w- c:\windows\SysWow64\nvcuda.dll
2012-02-10 04:13 . 2012-02-22 00:59 2872640 ----a-w- c:\windows\system32\nvcuvenc.dll
2012-02-10 04:13 . 2012-02-22 00:59 2672448 ----a-w- c:\windows\system32\nvcuvid.dll
2012-02-10 04:13 . 2012-02-22 00:59 2517312 ----a-w- c:\windows\SysWow64\nvcuvid.dll
2012-02-10 04:13 . 2012-02-22 00:59 2437440 ----a-w- c:\windows\SysWow64\nvcuvenc.dll
2012-02-10 04:13 . 2012-02-22 00:59 25222976 ----a-w- c:\windows\system32\nvcompiler.dll
2012-02-10 04:13 . 2012-02-22 00:59 17543488 ----a-w- c:\windows\SysWow64\nvcompiler.dll
2012-02-10 04:13 . 2011-10-09 18:31 1737536 ----a-w- c:\windows\system32\nvdispco64.dll
2012-02-10 04:13 . 2011-10-09 18:31 1466176 ----a-w- c:\windows\system32\nvgenco64.dll
2012-02-10 04:13 . 2011-10-09 18:31 15009600 ----a-w- c:\windows\SysWow64\nvd3dum.dll
2012-02-10 04:13 . 2009-07-14 23:54 2301248 ----a-w- c:\windows\SysWow64\nvapi.dll
2012-02-10 04:13 . 2009-04-30 20:02 2660160 ----a-w- c:\windows\system32\nvapi64.dll
2012-02-10 04:13 . 2009-04-30 20:02 17642816 ----a-w- c:\windows\system32\nvd3dumx.dll
2012-02-10 03:14 . 2011-02-22 23:39 6074176 ----a-w- c:\windows\system32\nvcpl.dll
2012-02-10 03:14 . 2011-02-22 23:39 3089728 ----a-w- c:\windows\system32\nvsvc64.dll
2012-02-10 03:07 . 2009-05-01 00:46 2561856 ----a-w- c:\windows\system32\nvsvcr.dll
2012-02-10 03:07 . 2011-02-22 23:38 889664 ----a-w- c:\windows\system32\nvvsvc.exe
2012-02-10 03:07 . 2011-02-22 23:38 118080 ----a-w- c:\windows\system32\nvmctray.dll
2012-02-10 03:07 . 2009-05-01 00:46 63296 ----a-w- c:\windows\system32\nvshext.dll
2012-02-09 19:05 . 2012-02-09 19:05 416064 ----a-w- c:\windows\SysWow64\nvStreaming.exe
.
.
((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 138240]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="c:\program files (x86)\Analog Devices\Core\smax4pnp.exe" [2008-04-15 1310720]
"TurboV"="c:\program files\ASUS\TurboV\TurboV.exe" [2008-10-21 4040192]
"ShStatEXE"="c:\program files (x86)\McAfee\VirusScan Enterprise\SHSTAT.EXE" [2006-11-30 112216]
"McAfeeUpdaterUI"="c:\program files (x86)\McAfee\Common Framework\UdaterUI.exe" [2006-11-17 136768]
"LogitechQuickCamRibbon"="c:\program files (x86)\Logitech\QuickCam\Quickcam.exe" [2008-12-20 2656528]
"SunJavaUpdateSched"="c:\program files (x86)\Java\jre6\bin\jusched.exe" [2009-06-18 148888]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-09-07 37296]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-03-30 937920]
"KPN"="c:\program files (x86)\KPN\bin\sprtcmd.exe" [2008-06-06 198184]
"QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" [2011-08-11 421888]
"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2011-12-15 258512]
"Malwarebytes' Anti-Malware"="c:\program files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-04-04 462408]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Logitech . Productregistratie.lnk - c:\program files (x86)\Logitech\QuickCam\eReg.exe [2008-11-7 517384]
NewShortcut1.lnk - c:\program files (x86)\USB_video_device\Utility\RemoteTool\BDARemote.exe [N/A]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"mixer5"=wdmaud.drv
.
R3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-27 253088]
.
.
--- Andere Services/Drivers In Geheugen ---
.
*NewlyCreated* - WS2IFSL
*Deregistered* - cpuz132
.
Inhoud van de 'Gedeelde Taken' map
.
2012-05-03 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-03-29 11:28]
.
2012-05-03 c:\windows\Tasks\PCCT - MAGIX AG.job
- c:\progra~2\MAGIX\PC_CHE~1\MxTray.exe [2010-10-31 16:57]
.
2012-05-03 c:\windows\Tasks\User_Feed_Synchronization-{85720754-ACE5-42AB-9A50-896B37EB38EB}.job
- c:\windows\system32\msfeedssync.exe [2011-06-20 04:32]
.
.
--------- x86-64 -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAX"="c:\program files (x86)\Analog Devices\SoundMAX\soundmax.exe" [2008-08-20 3858432]
"CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2009-03-24 2184520]
"CanonSolutionMenu"="c:\program files (x86)\Canon\SolutionMenu\CNSLMAIN.exe" [2009-03-18 767312]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x0
.
------- Bijkomende Scan -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://www.startpagina.nl/
mLocal Page = c:\windows\SysWOW64\blank.htm
uInternet Settings,ProxyServer = wwwproxy.xs4all.nl:8080
IE: E&xporteren naar Microsoft Excel - c:\progra~2\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.2.254
DPF: Microsoft XML Parser for Java - file:///C:/Windows/Java/classes/xmldso.cab
DPF: {3CBA13C3-58C7-47F1-9758-D4B255A50D52} - file:///Z:/MenuData/Search/ses_ocx/sessearch.ocx
CLSID: {603d3801-bd81-11d0-a3a5-00c04fd706ec} - %SystemRoot%\SysWow64\browseui.dll
FF - ProfilePath - c:\users\Eigenaar\AppData\Roaming\Mozilla\Firefox\Profiles\2bzq0mu9.default\
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
- - - - ORPHANS VERWIJDERD - - - -
.
Wow6432Node-HKCU-Run-WMPNSCFG - c:\program files (x86)\Windows Media Player\WMPNSCFG.exe
Wow6432Node-HKCU-Run-Duignuigi - c:\users\Eigenaar\AppData\Roaming\Qeovv\egoc.exe
HKLM-Run-Windows Defender - c:\program files (x86)\Windows Defender\MSASCui.exe
AddRemove-Adobe Shockwave Player - c:\windows\system32\Adobe\Shockwave 11\uninstaller.exe
AddRemove-DAEMON Tools Toolbar - c:\program files (x86)\DAEMON Tools Toolbar\uninst.exe
.
.
.
--------------------- VERGRENDELDE REGISTER SLEUTELS ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_2_202_233_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_2_202_233_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_2_202_233.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.11"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_2_202_233.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_2_202_233.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_2_202_233.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{D27CDB6B-AE6D-11CF-96B8-444553540000}]
@Denied: (A 2) (Everyone)
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{D27CDB6B-AE6D-11CF-96B8-444553540000}\1.0]
@="Shockwave Flash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{FAB3E735-69C7-453B-A446-B6823C6DF1C9}]
@Denied: (A 2) (Everyone)
@=""
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{FAB3E735-69C7-453B-A446-B6823C6DF1C9}\1.0]
@="FlashBroker"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\McAfee]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,6f,00,66,00,\
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\*5õ]
"3140111900063D11C8EF10054038389C"="C?\\Windows\\SysWOW64\\FM20ENU.DLL"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Network Associates]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,6f,00,66,00,\
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes]
"SymbolicLinkValue"=hex(6):5c,00,52,00,45,00,47,00,49,00,53,00,54,00,52,00,59,
00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
.
------------------------ Andere Aktieve Processen ------------------------
.
c:\program files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
c:\program files (x86)\Avira\AntiVir Desktop\sched.exe
c:\program files (x86)\Avira\AntiVir Desktop\avguard.exe
c:\program files (x86)\ASUS\AsSysCtrlService\1.00.00\AsSysCtrlService.exe
c:\program files (x86)\Common Files\LogiShrd\LVMVFM\LVPrS64H.exe
c:\program files (x86)\McAfee\Common Framework\FrameworkService.exe
c:\program files (x86)\McAfee\VirusScan Enterprise\VsTskMgr.exe
c:\program files\ASUS\Six Engine\SixEngine.exe
c:\program files (x86)\Common Files\Nero\Nero BackItUp 4\NBService.exe
c:\program files (x86)\KPN\bin\sprtsvc.exe
c:\program files (x86)\McAfee\Common Framework\naPrdMgr.exe
c:\program files (x86)\Common Files\Logishrd\LQCVFX\COCIManager.exe
c:\program files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe
c:\program files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe
.
**************************************************************************
.
Voltooingstijd: 2012-05-03 22:51:08 - machine werd herstart
ComboFix-quarantined-files.txt 2012-05-03 20:51
.
Pre-Run: 143.546.753.024 bytes beschikbaar
Post-Run: 143.214.030.848 bytes beschikbaar
.
- - End Of File - - BDF2D9CAEEDB69ED29A68F844C3145F8

>>>>>>>>>>>>>>

Egoc.exe staat nog uitgevinkt in de firewall van windows, is dit nog ok?

Ja hoor, en het is verwijderd trouwens. Alles zou nu goed moeten zijn,.

_________________

Goed geholpen hier, overweeg een donatie:
loglezer worden?
Lid van Team Opleiding.
tips
traagheidtips

Hoi Eric,

ik kan weer gewoon naar bijv. Kaspersky.com,
tussenscherm is weg bij rabobankieren,
dus ziet er goed uit, perfect, hardstikke bedankt.

Ik heb nog wel wat vragen,
van de map waar die egoc.exe in staond had ik de datum, 30-04 ongeveer 22.00, dus dat stond er nog niet zolang op.
Helaas heb ik niet de datum van de map waar Uvaf\nooxv.xik stond (zag ik in de log).
Kan ik ervan uitgaan dat de besmetting toen is begonnen?
Dat is handig om te weten bij controle van mijn internetbankieren.

Overigens vind ik het op zijn minst vreemd dat Rabobank dit niet gewoon meld bij hun waarschuwingen die je op hun site krijgt. Nouja, ze stellen niet voor niks slachtoffers schadeloos.

Ik weet dat je IE kunt omleiden via de hosts-bestanden, maar daar stond niks in, hoe werkt dat dan?
Met Firefox zag ik gisteren (voor combofix) een update/plugin geinstalleerd worden en toen werd daar ook omgeleid

vervolg

Die werkt nu ook goed, ff gecheckt.

Heeft al die opgeruimde rommel, ie.lnks en pkzips en zo te maken met dat virus?


Nogmaals bedankt,
Peter.

Ik ben misschien wat vasthoudend, maar ik zie op die log nog wat bestanden, aangemaakt op 30-04 en 03-05:

2012-04-30 20:04 . 2012-05-03 19:01 -------- d-----w- c:\users\Eigenaar\AppData\Roaming\Vairat
die map is leeg

2012-05-03 11:20 . 2012-05-03 11:20 592824 ----a-w- c:\program files (x86)\Mozilla Firefox\gkmedias.dll
2012-05-03 11:20 . 2012-05-03 11:20 44472 ----a-w- c:\program files (x86)\Mozilla Firefox\mozglue.dll
iets te maken met die update die firefox besmette?

Vairat kan gewoon verwijderd lijkt me.

Wil je nog even voor de zekerheid laten controleren:

Ga hiervoor naar de site Virustotal


Wacht het resultaat af, sla dit op en plak dit in je volgende post.
c:\program files (x86)\Mozilla Firefox\gkmedias.dll
c:\program files (x86)\Mozilla Firefox\mozglue.dll

Klik op re-analyse als het bestand al eens eerder gescand werd.

_________________

Goed geholpen hier, overweeg een donatie:
loglezer worden?
Lid van Team Opleiding.
tips
traagheidtips