websearch

Onderwerp starter versprillec
Startdatum 12 nov 2004

Status: Niet open voor verdere reacties.

V

versprillec

Gebruiker

13 nov 2004

#21

These are the Current Active Services:

O?’ŽRTÑÅÈ²$Ó: O?’ŽrtñåÈ²$Ó

WINDOWS AUDIO: AudioSrv
C:\WINDOWS\System32\svchost.exe -k netsvcs

INTELLIGENTE ACHTERGRONDSOVERDRACHTSERVICE: BITS
C:\WINDOWS\System32\svchost.exe -k netsvcs

COMPUTER BROWSER: Browser
C:\WINDOWS\System32\svchost.exe -k netsvcs

SERVICES VOOR CRYPTOGRAFIE: CryptSvc
C:\WINDOWS\system32\svchost.exe -k netsvcs

DHCP CLIENT: Dhcp
C:\WINDOWS\System32\svchost.exe -k netsvcs

LOGICAL DISK MANAGER: dmserver
C:\WINDOWS\System32\svchost.exe -k netsvcs

SERVICE VOOR HET RAPPORTEREN VAN FOUTEN: ERSvc
C:\WINDOWS\System32\svchost.exe -k netsvcs

COM+-GEBEURTENISSYSTEEM: EventSystem
C:\WINDOWS\System32\svchost.exe -k netsvcs

COMPATIBILITEIT VOOR SNELLE GEBRUIKERSWISSELING: FastUserSwitchingCompatibility
C:\WINDOWS\System32\svchost.exe -k netsvcs

HELP EN ONDERSTEUNING: helpsvc
C:\WINDOWS\System32\svchost.exe -k netsvcs

HID INPUT SERVICE: HidServ
C:\WINDOWS\System32\svchost.exe -k netsvcs

SERVER: lanmanserver
C:\WINDOWS\System32\svchost.exe -k netsvcs

WORKSTATION: lanmanworkstation
C:\WINDOWS\System32\svchost.exe -k netsvcs

MESSENGER: Messenger
C:\WINDOWS\System32\svchost.exe -k netsvcs

NETWORK CONNECTIONS: Netman
C:\WINDOWS\System32\svchost.exe -k netsvcs

NETWORK LOCATION AWARENESS (NLA): Nla
C:\WINDOWS\System32\svchost.exe -k netsvcs

REMOTE ACCESS AUTO CONNECTION MANAGER: RasAuto
C:\WINDOWS\System32\svchost.exe -k netsvcs

VERBINDINGSBEHEER VOOR RAS: RasMan
C:\WINDOWS\System32\svchost.exe -k netsvcs

TASK SCHEDULER: Schedule
C:\WINDOWS\System32\svchost.exe -k netsvcs

SECONDARY LOGON: seclogon
C:\WINDOWS\System32\svchost.exe -k netsvcs

SYSTEM EVENT NOTIFICATION: SENS
C:\WINDOWS\system32\svchost.exe -k netsvcs

SHELL HARDWARE DETECTION: ShellHWDetection
C:\WINDOWS\System32\svchost.exe -k netsvcs

SYSTEM RESTORE-SERVICE: srservice
C:\WINDOWS\System32\svchost.exe -k netsvcs

TELEPHONY: TapiSrv
C:\WINDOWS\System32\svchost.exe -k netsvcs

TERMINAL SERVICES: TermService
C:\WINDOWS\System32\svchost.exe -k netsvcs

THEMA'S: Themes
C:\WINDOWS\System32\svchost.exe -k netsvcs

DISTRIBUTED LINK TRACKING CLIENT: TrkWks
C:\WINDOWS\system32\svchost.exe -k netsvcs

UPLOADBEHEER: uploadmgr
C:\WINDOWS\System32\svchost.exe -k netsvcs

WINDOWS TIME: W32Time
C:\WINDOWS\System32\svchost.exe -k netsvcs

WINDOWS MANAGEMENT INSTRUMENTATION: winmgmt
C:\WINDOWS\system32\svchost.exe -k netsvcs

AUTOMATISCHE UPDATES: wuauserv
C:\WINDOWS\system32\svchost.exe -k netsvcs

WIRELESS ZERO CONFIGURATION-SERVICE: WZCSVC
C:\WINDOWS\System32\svchost.exe -k netsvcs

DNS CLIENT: Dnscache
C:\WINDOWS\System32\svchost.exe -k NetworkService

EVENT LOG: Eventlog
C:\WINDOWS\system32\services.exe

PLUG AND PLAY: PlugPlay
C:\WINDOWS\system32\services.exe

KODAK CAMERA CONNECTION SOFTWARE: KodakCCS
C:\WINDOWS\system32\drivers\KodakCCS.exe

TCP/IP NETBIOS HELPER: LmHosts
C:\WINDOWS\System32\svchost.exe -k LocalService

REMOTE REGISTRY: RemoteRegistry
C:\WINDOWS\system32\svchost.exe -k LocalService

SSDP DISCOVERY-SERVICE: SSDPSRV
C:\WINDOWS\System32\svchost.exe -k LocalService

WEBCLIENT: WebClient
C:\WINDOWS\System32\svchost.exe -k LocalService

NVIDIA DRIVER HELPER SERVICE: NVSvc
C:\WINDOWS\System32\nvsvc32.exe

PANDA FIREWALL SERVICE: PAVFIRES
C:\Program Files\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe

PANDA ANTI-VIRUS SERVICE: PAVSRV
C:\Program Files\Panda Software\Panda Antivirus Platinum\pavsrv51.exe

PCTEL SPEAKER PHONE: Pctspk
C:\WINDOWS\system32\pctspk.exe

IPSEC-SERVICES: PolicyAgent
C:\WINDOWS\System32\lsass.exe

PROTECTED STORAGE: ProtectedStorage
C:\WINDOWS\system32\lsass.exe

SECURITY ACCOUNTS MANAGER: SamSs
C:\WINDOWS\system32\lsass.exe

REMOTE PROCEDURE CALL (RPC): RpcSs
C:\WINDOWS\system32\svchost -k rpcss

PRINT SPOOLER: Spooler
C:\WINDOWS\system32\spoolsv.exe

WINDOWS USER MODE DRIVER FRAMEWORK: UMWdf
C:\WINDOWS\System32\wdfmgr.exe

buffy

Meubilair

13 nov 2004

#22

Nou, het zit niet mee vandaag.

Ga naar Start -> Uitvoeren.
Type het volgende in de balk: services.msc
Klik "OK".

Nu verschijnt een lijst met services.
In die lijst zou één van de volgende namen moeten voorkomen:

- Network Security Service
- Network Security Service (NSS)
- Workstation NetLogon Service
- Remote Procedure Call (RPC) Helper

Kijk welke van deze vier namen bij jou in de lijst voorkomt. (Maak de kolom "Naam" even breder zodat je de volledige namen kunt zien.) Let op: het gaat om precies de namen die ik hierboven weergaf, dus niet om iets dat er op lijkt maar exact deze namen.

Eén van die vier namen zou dus bij jou in de lijst moeten staan. Vind je die, dubbelklik er dan op. Kijk wat er staat bij "Pad naar uitvoerbaar bestand" en noteer dat even.

Vermeld hier in je volgende bericht:
1) welk van de bovengenoemde namen je aantrof;
2) wat er precies stond bij "Pad naar uitvoerbaar bestand".

V

versprillec

Gebruiker

13 nov 2004

#23

hoi buffy ik moet er voor vandaag mee stoppen ,krijg zo visite morgenochtend ga ik er weer mee verder alvast bedankt voor je hulp ,groetjes .

V

versprillec

Gebruiker

13 nov 2004

#24

heb de eerste gevonden er word gezegd dat devermelding in het register ontbreekt of er kan niet naar het register geschreven worden . network security service .

V

versprillec

Gebruiker

14 nov 2004

#25

ikheb gevonden :remote procedure call (rpc) helper ook van deze geld dat de vermelding in het register ontbreekt ofniet geschreven kanworden.C:\WINDOWS\system32\svchost -k rpcss.

Laatst bewerkt: 14 nov 2004

V

versprillec

Gebruiker

14 nov 2004

#26

Geplaatst door versprillec
heb de eerste gevonden er word gezegd dat devermelding in het register ontbreekt of er kan niet naar het register geschreven worden . network security service .

deze had ik zaterdag gevonden maar nu zondag staat hij niet meer in de lijst .eigenaardig.

buffy

Meubilair

14 nov 2004

#27

Wil je nog even een nieuw HijackThis-log maken en dat hier plaatsen?

V

versprillec

Gebruiker

14 nov 2004

#28

Logfile of HijackThis v1.98.2
Scan saved at 11:49:02, on 14-11-2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\PD6000SM.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\InterMute\SpySubtract\SpySub.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
C:\WINDOWS\system32\pctspk.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE
C:\WINDOWS\KB842773.log:zkplc
C:\Program Files\Panda Software\Panda Antivirus Platinum\pavProxy.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\ieiw.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\unzipped\hijackthis[1]\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\birgt.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\birgt.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\birgt.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\birgt.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\birgt.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\birgt.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\birgt.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = www.zeelandnet.nl
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {63E8EDC0-6A5F-1D25-5DB2-1B10E38C98A3} - C:\WINDOWS\system32\apily.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SCANINICIO] "C:\Program Files\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PD6000StatusMonitor] C:\WINDOWS\System32\PD6000SM.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [MPTBox] "C:\Program Files\Canon\MultiPASS\MPTBox.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [ieiw.exe] C:\WINDOWS\system32\ieiw.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - Startup: SpySubtract.lnk = C:\Program Files\InterMute\SpySubtract\SpySub.exe
O4 - Global Startup: Kodak EasyShare software.lnk = C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: Kodak software updater.lnk = C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\InterMute\SpySubtract\SpySub.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {427273CC-764E-11D3-823D-006097F90453} (Pixami Image Editor Control) - http://www.imagestation.com/common/classes/BPImageEditor.cab?ver=1,1,0,32
O16 - DPF: {5E943D9C-F8DC-4258-8E3F-A61BB3405A33} (ZingBatchAXDwnl Class) - http://www.imagestation.com/common/classes/batchdwnl.cab?version=4,3,2,20802
O16 - DPF: {6F750200-1362-4815-A476-88533DE61D0C} (Ofoto Upload Manager Class) - http://www.ofoto.eu.com/downloads/BUM/BUM_WIN_IE_1/axofupld.cab
nog maar eens dan.

buffy

Meubilair

14 nov 2004

#29

Daar gaan we dan. Wees zorgvuldig bij het uitvoeren van dit stappenplan. Print deze instructies even uit, want gedurende het grootste deel van de procedure ben je in veilige modus en dan kun je deze site dus niet raadplegen.

1. Download AboutBuster: http://tools.zerosrealm.com/AboutBuster.zip
Unzip het naar een eigen map. Dubbelklik op About:buster.exe en op "Update". Haal de eventuele updates binnen. Sluit About Buster daarna af.

2. Download AdsSpy: http://www.richardthelionhearted.com/~merijn/files/adsspy.zip
Unzip het naar een eigen map.

3. Start de Verkenner, kies Extra -> Mapopties -> Weergave en zorg voor de volgende instellingen:
- géén vinkje voor "Beveiligde besturingssysteembestanden verbergen (aanbevolen)";
- géén vinkje voor "Extensies voor bekende bestandstypen verbergen":
- wél een vinkje voor "Verborgen bestanden en mappen weergeven".
Klik "Toepassen" en "OK".

4. Start de pc in veilige modus: http://www.virushelp.nl/veilige_modus.htm

Voer nu de stappen 4 t/m 8 meteen na elkaar uit, allemaal in veilige modus dus.

5. Scan met HijackThis en vink de volgende items aan:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\birgt.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\birgt.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\birgt.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\birgt.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\birgt.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\birgt.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\birgt.dll/sp.html#29126

R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {63E8EDC0-6A5F-1D25-5DB2-1B10E38C98A3} - C:\WINDOWS\system32\apily.dll

O4 - HKLM\..\Run: [ieiw.exe] C:\WINDOWS\system32\ieiw.exe

Sluit alle vensters behalve HijackThis zelf en klik op "Fix checked".
Sluit HijackThis.

6. Navigeer met de Verkenner naar de volgende bestanden en verwijder die (het zou kunnen dat sommige er al niet meer zijn):

C:\WINDOWS\birgt.dll
C:\WINDOWS\system32\ieiw.exe
C:\WINDOWS\system32\apily.dll

7. Start AboutBuster, klik op Start en linksonder op OK.
AboutBuster zal nu je pc gaan scannen op foute bestanden.
Als hij klaar is zal hij vragen om een tweede scan.
Voer die ook uit, als hij klaar is klik dan op 'make log'.

8. Start AdsSpy, verwijder het vinkje bij 'quick scan' en laat hem scannen.
Vink alle gevonden bestanden aan en klik op 'remove selected streams'.

9. Herstart de pc in 'normale modus'.

10. Draai AboutBuster nog een keer (zie uitleg bij stap 7).

11. Draai AdsSpy nog een keer (zie uitleg bij stap 8).

12. Herstart de pc, maak een nieuw log en plaats dat hier. Plaats ook de logs van AboutBuster en vertel of AdsSpy bij stap 11 nog iets gevonden heeft.

V

versprillec

Gebruiker

14 nov 2004

#30

zo het heeft even geduurd maar ik heb alles gedaan ,ik heb welaleen andere startpagina nl google hier ismijn nieuwe log:Logfile of HijackThis v1.98.2
Scan saved at 19:40:50, on 14-11-2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\PD6000SM.EXE
C:\WINDOWS\mfcvr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
C:\Program Files\InterMute\SpySubtract\SpySub.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
C:\WINDOWS\system32\pctspk.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE
C:\unzipped\hijackthis[1]\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\pavProxy.exe
C:\WINDOWS\System32\wuauclt.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = www.zeelandnet.nl
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {770CE589-D47C-9567-46F4-E4E08B3366BC} - C:\WINDOWS\ipxe.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SCANINICIO] "C:\Program Files\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PD6000StatusMonitor] C:\WINDOWS\System32\PD6000SM.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [MPTBox] "C:\Program Files\Canon\MultiPASS\MPTBox.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [mfcvr.exe] C:\WINDOWS\mfcvr.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - Startup: SpySubtract.lnk = C:\Program Files\InterMute\SpySubtract\SpySub.exe
O4 - Global Startup: Kodak EasyShare software.lnk = C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: Kodak software updater.lnk = C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\InterMute\SpySubtract\SpySub.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {427273CC-764E-11D3-823D-006097F90453} (Pixami Image Editor Control) - http://www.imagestation.com/common/classes/BPImageEditor.cab?ver=1,1,0,32
O16 - DPF: {5E943D9C-F8DC-4258-8E3F-A61BB3405A33} (ZingBatchAXDwnl Class) - http://www.imagestation.com/common/classes/batchdwnl.cab?version=4,3,2,20802
O16 - DPF: {6F750200-1362-4815-A476-88533DE61D0C} (Ofoto Upload Manager Class) - http://www.ofoto.eu.com/downloads/BUM/BUM_WIN_IE_1/axofupld.cab

ads[y gaf delaatste keer nog iets aan : c:/windows\regopt.log :byrit93184bytes .Scanned at: 18:10:49 on: 14-11-2004

-- Scan 1 ---------------------------
About:Buster Version 4.0
Reference List : 16

Removed Data Streams:
C:\WINDOWS\BRPP2KA.INI:dojaa
C:\WINDOWS\clock.avi:temya
C:\WINDOWS\comsetup.log:vozwp
C:\WINDOWS\explorer.exe:ddmtm
C:\WINDOWS\extend.dat:khwwo
C:\WINDOWS\Groensteen.bmp:cipbq
C:\WINDOWS\KB821557.log:ieuau
C:\WINDOWS\KB828741.log:yclzh
C:\WINDOWS\KB842773.log:zkplc
C:\WINDOWS\kodakpcd.Cora.ini:qddej
C:\WINDOWS\Microsoft Outlook.FAV:jcoqu
C:\WINDOWS\ModemLog_HSP56 World MicroModem.txt:lsnlv
C:\WINDOWS\mpass.ini:amyta
C:\WINDOWS\msgsocm.log

kzuk
C:\WINDOWS\msmqinst.log:vvwyh
C:\WINDOWS\ntdtcsetup.log:mgsib
C:\WINDOWS\ODBC.INI:ehcnw
C:\WINDOWS\ODBCINST.INI:znwyb
C:\WINDOWS\OEWABLog.txt:xzvaq
C:\WINDOWS\outlook.pst:snold
C:\WINDOWS\Prairie.bmp:ynyqc
C:\WINDOWS\Q810577.log:nzwvz
C:\WINDOWS\Q811630.log:rgmju
C:\WINDOWS\Q817606.log:rywbs
C:\WINDOWS\regedit.exe:qomnf
C:\WINDOWS\regopt.log:byrit
C:\WINDOWS\Rivier Sumida.bmp:tycnn
C:\WINDOWS\Santa Fe Stucco.bmp:bqxxb
C:\WINDOWS\SGEDIT.INI:xohpp
C:\WINDOWS\svcpack.log:myayf
C:\WINDOWS\tsoc.log:fztdz
C:\WINDOWS\twain_32.dll:vajbo
C:\WINDOWS\twunk_32.exe:fbpvq
C:\WINDOWS\unin0413.exe:inftw
C:\WINDOWS\uninst.exe:sjvsi
C:\WINDOWS\vmmreg32.dll:kgbjt
C:\WINDOWS\wiaservc.log:ehzmo
C:\WINDOWS\win.ini:qshvs
C:\WINDOWS\Windows Update.log:cguoo
C:\WINDOWS\winhelp.exe:itsau
C:\WINDOWS\winhlp32.exe:hicfl
C:\WINDOWS\wininit.ini:xblgy
C:\WINDOWS\winnt.bmp:gobac
C:\WINDOWS\wmsetup.log:tmdtr
C:\WINDOWS\xpsp1hfm.log:loori

Removed 5 Random Key Entries
Removed! : C:\WINDOWS\birgt.dll
Removed! : C:\WINDOWS\esplw.dll
Removed! : C:\WINDOWS\hskew.dat
Removed! : C:\WINDOWS\tnpsn.dll
Removed! : C:\WINDOWS\System32\ekdca.dll
Removed! : C:\WINDOWS\System32\grzrn.dll
Removed! : C:\WINDOWS\System32\hwwoc.dll
Removed! : C:\WINDOWS\System32\kvdtf.dat
Removed! : C:\WINDOWS\System32\teajr.dat
Attempted Clean Of Temp folder.
Removed Uninstall Key (HSA)
Removed Uninstall Key (SE)
Removed Uninstall Key (SW)
Pages Reset... Done!

-- Scan 2 ---------------------------
About:Buster Version 4.0
Reference List : 16

Removed Data Streams:
C:\WINDOWS\BRPP2KA.INI:dojaa
C:\WINDOWS\clock.avi:temya
C:\WINDOWS\comsetup.log:vozwp
C:\WINDOWS\explorer.exe:ddmtm
C:\WINDOWS\extend.dat:khwwo
C:\WINDOWS\Groensteen.bmp:cipbq
C:\WINDOWS\KB821557.log:ieuau
C:\WINDOWS\KB828741.log:yclzh
C:\WINDOWS\KB842773.log:zkplc
C:\WINDOWS\kodakpcd.Cora.ini:qddej
C:\WINDOWS\Microsoft Outlook.FAV:jcoqu
C:\WINDOWS\ModemLog_HSP56 World MicroModem.txt:lsnlv
C:\WINDOWS\mpass.ini:amyta
C:\WINDOWS\msgsocm.log

kzuk
C:\WINDOWS\msmqinst.log:vvwyh
C:\WINDOWS\ntdtcsetup.log:mgsib
C:\WINDOWS\ODBC.INI:ehcnw
C:\WINDOWS\ODBCINST.INI:znwyb
C:\WINDOWS\OEWABLog.txt:xzvaq
C:\WINDOWS\outlook.pst:snold
C:\WINDOWS\Prairie.bmp:ynyqc
C:\WINDOWS\Q810577.log:nzwvz
C:\WINDOWS\Q811630.log:rgmju
C:\WINDOWS\Q817606.log:rywbs
C:\WINDOWS\regedit.exe:qomnf
C:\WINDOWS\regopt.log:byrit
C:\WINDOWS\Rivier Sumida.bmp:tycnn
C:\WINDOWS\Santa Fe Stucco.bmp:bqxxb
C:\WINDOWS\SGEDIT.INI:xohpp
C:\WINDOWS\svcpack.log:myayf
C:\WINDOWS\tsoc.log:fztdz
C:\WINDOWS\twain_32.dll:vajbo
C:\WINDOWS\twunk_32.exe:fbpvq
C:\WINDOWS\unin0413.exe:inftw
C:\WINDOWS\uninst.exe:sjvsi
C:\WINDOWS\vmmreg32.dll:kgbjt
C:\WINDOWS\wiaservc.log:ehzmo
C:\WINDOWS\win.ini:qshvs
C:\WINDOWS\Windows Update.log:cguoo
C:\WINDOWS\winhelp.exe:itsau
C:\WINDOWS\winhlp32.exe:hicfl
C:\WINDOWS\wininit.ini:xblgy
C:\WINDOWS\winnt.bmp:gobac
C:\WINDOWS\wmsetup.log:tmdtr
C:\WINDOWS\xpsp1hfm.log:loori

Attempted Clean Of Temp folder.
Removed Uninstall Key (HSA)
Removed Uninstall Key (SE)
Removed Uninstall Key (SW)
Pages Reset... Done!

Scanned at: 18:58:32 on: 14-11-2004

-- Scan 1 ---------------------------
About:Buster Version 4.0
Reference List : 16

Removed Data Streams:
C:\WINDOWS\KB842773.log:zkplc
C:\WINDOWS\regopt.log:byrit
C:\WINDOWS\Rivier Sumida.bmp:tycnn
C:\WINDOWS\win.ini:qshvs
C:\WINDOWS\winhelp.exe:itsau

Removed! : C:\WINDOWS\System32\shokv.dll
Attempted Clean Of Temp folder.
Removed Uninstall Key (HSA)
Removed Uninstall Key (SE)
Removed Uninstall Key (SW)
Pages Reset... Done!

-- Scan 2 ---------------------------
About:Buster Version 4.0
Reference List : 16

Removed Data Streams:
C:\WINDOWS\KB842773.log:zkplc
C:\WINDOWS\regopt.log:byrit
C:\WINDOWS\Rivier Sumida.bmp:tycnn
C:\WINDOWS\win.ini:qshvs
C:\WINDOWS\winhelp.exe:itsau

Attempted Clean Of Temp folder.
Pages Reset... Done!

Scanned at: 19:32:45 on: 14-11-2004

-- Scan 1 ---------------------------
About:Buster Version 4.0
Reference List : 16

Removed Data Streams:
C:\WINDOWS\regopt.log:byrit

Attempted Clean Of Temp folder.
Removed Uninstall Key (HSA)
Removed Uninstall Key (SE)
Removed Uninstall Key (SW)
Pages Reset... Done!

-- Scan 2 ---------------------------
About:Buster Version 4.0
Reference List : 16

Removed Data Streams:
C:\WINDOWS\regopt.log:byrit

Attempted Clean Of Temp folder.
Removed Uninstall Key (HSA)
Removed Uninstall Key (SE)
Removed Uninstall Key (SW)
Pages Reset... Done!

buffy

Meubilair

14 nov 2004

#31

Prima, dit lijkt de goede kant op de gaan (maar bij deze variant mogen we niet te vroeg juichen).

1. Scan met HijackThis en vink de volgende items aan:

R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {770CE589-D47C-9567-46F4-E4E08B3366BC} - C:\WINDOWS\ipxe.dll

O4 - HKLM\..\Run: [mfcvr.exe] C:\WINDOWS\mfcvr.exe

Sluit alle vensters behalve HijackThis zelf en klik op "Fix checked".

2. Herstart de pc in veilige modus.

Verwijder de volgende bestanden:

C:\WINDOWS\mfcvr.exe
C:\WINDOWS\ipxe.dll (indien nog aanwezig)

Doe, nog steeds in veilige modus, schijfopruiming: Start -> Alle programma's -> Bureau-accessoires -> Systeemwerkset -> Schijfopruiming. Het 'berekenen' kan even duren. Vink alle opties aan.

3. Herstart de pc in 'normale modus'.

4. Scan online bij Housecall: http://housecall.trendmicro.com/housecall/start_corp.asp
Start daarna de pc opnieuw op.

5. Installeer AdAware SE Personal 1.05: http://www.majorgeeks.com/download506.html
Haal de nieuwste updates op, doe de volledige scan, laat alles verwijderen wat wordt gevonden.
Start daarna de pc opnieuw op.

6. Maak een nieuw log met HijackThis en plaats dat hier.

V

versprillec

Gebruiker

14 nov 2004

#32

Logfile of HijackThis v1.98.2
Scan saved at 20:30:09, on 14-11-2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
C:\WINDOWS\system32\pctspk.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE
C:\Program Files\Panda Software\Panda Antivirus Platinum\apvxdwin.exe
C:\WINDOWS\system32\netoq32.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\PD6000SM.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
C:\Program Files\InterMute\SpySubtract\SpySub.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\pavProxy.exe
C:\WINDOWS\System32\wuauclt.exe
C:\unzipped\hijackthis[1]\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = www.zeelandnet.nl
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {FF816CED-BF5F-39A8-D260-D4DAA38A5370} - C:\WINDOWS\system32\netsn32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SCANINICIO] "C:\Program Files\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PD6000StatusMonitor] C:\WINDOWS\System32\PD6000SM.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [MPTBox] "C:\Program Files\Canon\MultiPASS\MPTBox.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - Startup: SpySubtract.lnk = C:\Program Files\InterMute\SpySubtract\SpySub.exe
O4 - Global Startup: Kodak EasyShare software.lnk = C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: Kodak software updater.lnk = C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\InterMute\SpySubtract\SpySub.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {427273CC-764E-11D3-823D-006097F90453} (Pixami Image Editor Control) - http://www.imagestation.com/common/classes/BPImageEditor.cab?ver=1,1,0,32
O16 - DPF: {5E943D9C-F8DC-4258-8E3F-A61BB3405A33} (ZingBatchAXDwnl Class) - http://www.imagestation.com/common/classes/batchdwnl.cab?version=4,3,2,20802
O16 - DPF: {6F750200-1362-4815-A476-88533DE61D0C} (Ofoto Upload Manager Class) - http://www.ofoto.eu.com/downloads/BUM/BUM_WIN_IE_1/axofupld.cab
hier is mijn nieuwste log zelf heb ik het idee dat de allereerste regel van o1 er nog uit moet ,moet nog wel even defragmenteren in veilige modus ,ben ik vergeten .

V

versprillec

Gebruiker

14 nov 2004

#33

Logfile of HijackThis v1.98.2
Scan saved at 20:30:09, on 14-11-2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
C:\WINDOWS\system32\pctspk.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE
C:\Program Files\Panda Software\Panda Antivirus Platinum\apvxdwin.exe
C:\WINDOWS\system32\netoq32.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\PD6000SM.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
C:\Program Files\InterMute\SpySubtract\SpySub.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\pavProxy.exe
C:\WINDOWS\System32\wuauclt.exe
C:\unzipped\hijackthis[1]\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = www.zeelandnet.nl
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {FF816CED-BF5F-39A8-D260-D4DAA38A5370} - C:\WINDOWS\system32\netsn32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SCANINICIO] "C:\Program Files\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PD6000StatusMonitor] C:\WINDOWS\System32\PD6000SM.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [MPTBox] "C:\Program Files\Canon\MultiPASS\MPTBox.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - Startup: SpySubtract.lnk = C:\Program Files\InterMute\SpySubtract\SpySub.exe
O4 - Global Startup: Kodak EasyShare software.lnk = C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: Kodak software updater.lnk = C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\InterMute\SpySubtract\SpySub.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {427273CC-764E-11D3-823D-006097F90453} (Pixami Image Editor Control) - http://www.imagestation.com/common/classes/BPImageEditor.cab?ver=1,1,0,32
O16 - DPF: {5E943D9C-F8DC-4258-8E3F-A61BB3405A33} (ZingBatchAXDwnl Class) - http://www.imagestation.com/common/classes/batchdwnl.cab?version=4,3,2,20802
O16 - DPF: {6F750200-1362-4815-A476-88533DE61D0C} (Ofoto Upload Manager Class) - http://www.ofoto.eu.com/downloads/BUM/BUM_WIN_IE_1/axofupld.cab
hier is mijn nieuwste log zelf heb ik het idee dat de allereerste regel van o1 er nog uit moet ,moet nog wel even schijfopruiming doen inveilige modus ben ik vergeten.

buffy

Meubilair

14 nov 2004

#34

Geplaatst door versprillec
hier is mijn nieuwste log zelf heb ik het idee dat de allereerste regel van o1 er nog uit moet ,moet nog wel even schijfopruiming doen inveilige modus ben ik vergeten.

Je bent ook 'vergeten' te scannen bij Housecall, volgens mij, want daar zou ik een 016-item van in je log moeten zien. Doe alsjeblieft PRECIES wat ik adviseer. Dat is echt nodig, want deze variant zit ongelooflijk ingewikkeld in elkaar. Volg de instructies dus echt exact op. Print ze even uit, zodat je ze bij de hand hebt als je in veilige modus bent.

1. Start de pc in veilige modus.

Voer de stappen 2 t/m 6 meteen na elkaar uit, allemaal in veilige modus dus.

2. Scan met HijackThis en vink de volgende twee items aan:

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about :blank

O2 - BHO: (no name) - {FF816CED-BF5F-39A8-D260-D4DAA38A5370} - C:\WINDOWS\system32\netsn32.dll

Sluit alle vensters behalve HijackThis zelf en klik op "Fix checked".

3. Verwijder de volgende bestanden:

C:\WINDOWS\system32\netoq32.exe
C:\WINDOWS\system32\netsn32.dll (indien nog aanwezig)

4. Doe schijfopruiming: Start -> Alle programma's -> Bureau-accessoires -> Systeemwerkset -> Schijfopruiming. Het 'berekenen' kan even duren. Vink alle opties aan.

5. Start AboutBuster, klik op Start en linksonder op OK.
AboutBuster zal nu je pc gaan scannen op foute bestanden.
Als hij klaar is zal hij vragen om een tweede scan.
Voer die ook uit, als hij klaar is klik dan op 'make log'.

6. Start AdsSpy, verwijder het vinkje bij 'quick scan' en laat hem scannen.
Vink alle gevonden bestanden aan en klik op 'remove selected streams'.

7. Herstart de pc in 'normale modus'.

8. Draai AboutBuster nog een keer (zie uitleg bij stap 5).

9. Draai AdsSpy nog een keer (zie uitleg bij stap 6).

10. Scan online bij Housecall: http://housecall.trendmicro.com/hou.../start_corp.asp
Start daarna de pc opnieuw op.

11. Scan met AdAware SE Personal 1.05: http://www.majorgeeks.com/download506.html
Haal de nieuwste updates op, doe de volledige scan, laat alles verwijderen wat wordt gevonden.
Start daarna de pc opnieuw op.

12. Scan met CWShredder, gebruik de Fix knop.
Start daarna de pc opnieuw op.

13. Ga naar Configuratiescherm -> Internetopties -> tabblad Programma's. Klik op de knop "Webinstellingen herstellen".

14. Maak een nieuw log met HijackThis en plaats dat hier. Plaats ook de logs van AboutBuster.

Laatst bewerkt: 14 nov 2004

V

versprillec

Gebruiker

14 nov 2004

#35

sorry je hebt gelijk ,het is hier nogal hecties geweest ,morgen loop ik alles nog eens goed door .

buffy

Meubilair

14 nov 2004

#36

Geplaatst door versprillec
sorry je hebt gelijk ,het is hier nogal hecties geweest ,morgen loop ik alles nog eens goed door .

Stel het niet te lang uit alsjeblieft, de situatie zal weer veranderen en de kans bestaat dat mijn fix dan niet meer werkt. Voer het stappenplan uit mijn vorige antwoord zo spoedig mogelijk uit; doe dat heel precies, sla geen enkele stap over.

V

versprillec

Gebruiker

15 nov 2004

#37

hoi ik heb nu precies al je aan wijzingen opgevolgd en hieris mijn nieuwelog.Logfile of HijackThis v1.98.2
Scan saved at 9:57:23, on 15-11-2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\brss01a.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\PD6000SM.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
C:\Program Files\InterMute\SpySubtract\SpySub.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
C:\WINDOWS\system32\pctspk.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\pavProxy.exe
C:\unzipped\hijackthis[1]\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = www.zeelandnet.nl
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SCANINICIO] "C:\Program Files\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PD6000StatusMonitor] C:\WINDOWS\System32\PD6000SM.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [MPTBox] "C:\Program Files\Canon\MultiPASS\MPTBox.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - Startup: SpySubtract.lnk = C:\Program Files\InterMute\SpySubtract\SpySub.exe
O4 - Global Startup: Kodak EasyShare software.lnk = C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: Kodak software updater.lnk = C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\InterMute\SpySubtract\SpySub.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {427273CC-764E-11D3-823D-006097F90453} (Pixami Image Editor Control) - http://www.imagestation.com/common/classes/BPImageEditor.cab?ver=1,1,0,32
O16 - DPF: {5E943D9C-F8DC-4258-8E3F-A61BB3405A33} (ZingBatchAXDwnl Class) - http://www.imagestation.com/common/classes/batchdwnl.cab?version=4,3,2,20802
O16 - DPF: {6F750200-1362-4815-A476-88533DE61D0C} (Ofoto Upload Manager Class) - http://www.ofoto.eu.com/downloads/BUM/BUM_WIN_IE_1/axofupld.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cabdit is mijn busterlog:Symantec Backdoor.Agent.B Removal Tool 1.0.1.2

C:\System Volume Information: (not scanned)
Backdoor.Agent.B has not been found on your computer.

Laatst bewerkt: 15 nov 2004

V

versprillec

Gebruiker

15 nov 2004

#38

ik durf het bijna niet te geloven maar het lijkt erop dat de problemen opgelost zijn.

buffy

Meubilair

15 nov 2004

#39

Het ziet er inderdaad goed uit nu.:thumb:

Scan nog een keertje met HijackThis en vink het volgende item aan:

R3 - Default URLSearchHook is missing

Sluit alle vensters behalve HijackThis zelf en klik op "Fix checked".

Het kan zijn dat deze trojan bepaalde bestanden van de pc heeft verwijderd, dus dat moet je nu even controleren.

- Kijk of control.exe nog op je pc staat. Dit bestand hoort te staan in C:\Windows\System32. Staat het daar niet, download het dan hier en plaats het in C:\Windows\System32: http://www.spywareinfo.com/~merijn/winfiles.html#control

- Kijk of Hosts (zonder extensie) nog op je pc staat. Dit bestand hoort te staan in C:\Windows\System32\drivers\etc. Staat het daar niet, download dan The Hoster: http://members.aol.com/toadbee/hoster.zip
Unzip het, start het, klik op "Restore Original Hosts" en klik op OK.

- Kijk of shell.dll nog in C:\Windows\System32 staat. Staat dat er niet meer, zoek shell.dll dan op in C:\Windows\System32\dllcache en kopieer het naar C:\Windows\System32.

V

versprillec

Gebruiker

15 nov 2004

#40

oke ,heb alles gedaan alleen shel.dll stond er nog op derest heb ik gedownload hier is mijn nieuwe log ,hoop dat het nu goed is .Logfile of HijackThis v1.98.2
Scan saved at 11:30:33, on 15-11-2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\brss01a.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\PD6000SM.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
C:\Program Files\InterMute\SpySubtract\SpySub.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
C:\WINDOWS\system32\pctspk.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE
C:\Program Files\Panda Software\Panda Antivirus Platinum\pavProxy.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\unzipped\hijackthis[1]\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.zeelandnet.nl/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = www.zeelandnet.nl
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SCANINICIO] "C:\Program Files\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PD6000StatusMonitor] C:\WINDOWS\System32\PD6000SM.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [MPTBox] "C:\Program Files\Canon\MultiPASS\MPTBox.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - Startup: SpySubtract.lnk = C:\Program Files\InterMute\SpySubtract\SpySub.exe
O4 - Global Startup: Kodak EasyShare software.lnk = C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: Kodak software updater.lnk = C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\InterMute\SpySubtract\SpySub.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {427273CC-764E-11D3-823D-006097F90453} (Pixami Image Editor Control) - http://www.imagestation.com/common/classes/BPImageEditor.cab?ver=1,1,0,32
O16 - DPF: {5E943D9C-F8DC-4258-8E3F-A61BB3405A33} (ZingBatchAXDwnl Class) - http://www.imagestation.com/common/classes/batchdwnl.cab?version=4,3,2,20802
O16 - DPF: {6F750200-1362-4815-A476-88533DE61D0C} (Ofoto Upload Manager Class) - http://www.ofoto.eu.com/downloads/BUM/BUM_WIN_IE_1/axofupld.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

Status: Niet open voor verdere reacties.

Steun Ons

Nieuwste berichten

Cellen selecteren met bepaalde tekst in cel (vba)
- Nieuwste: Albatros
- een moment geleden
Excel
S
Berekening over 3 periodes.
- Nieuwste: Senso
- 22 minuten geleden
Excel
E
dropdown in verticaal zoeken
- Nieuwste: emields
- 24 minuten geleden
Excel
Opgelost Tekst laten veranderen op Titelpagina Powerpoint
- Nieuwste: puppie
- 43 minuten geleden
Overige Office vragen
A
Formulieren automatisch vullen met data
- Nieuwste: Alex007
- Vandaag om 10:59
Excel

Wij waarderen jouw privacy

We gebruiken essentiële cookies om deze site te laten werken, en optionele cookies om de ervaring te verbeteren.

Meer informatie en configureer jouw voorkeuren

Accepteer alle cookies Weiger optionele cookies
Essentiële cookies

Deze cookies zijn vereist om basisfunctionaliteit mogelijk te maken, zoals beveiliging, netwerkbeheer en toegankelijkheid. Deze kunnen niet worden afgewezen.

Optionele cookies

We bieden verbeterde functionaliteit voor jouw bezoek op onze site door deze cookies te gebruiken. Als je ze afwijst, is verbeterde functionaliteit helaas niet beschikbaar.

Cookies van derden

Cookies die door derden zijn geplaatst, kunnen nodig zijn om functionaliteit mogelijk te maken in samenwerking met verschillende serviceproviders voor beveiligings-, analyse-, prestatie- of advertentiedoeleinden.

Gedetailleerd cookiegebruik

Privacybeleid

Bovenaan Onderaan