arggggggg help

[huibsel]

hoi allemaal wie kan me uit deze ellende helpen

kijk en huiver Logfile of HijackThis v1.97.7
Scan saved at 21:20:42, on 4-12-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\atlcm32.exe
C:\WINNT\Explorer.EXE
C:\WINNT\Mixer.exe
C:\WINNT\system32\cdplayer.exe
C:\Program Files\Windows TaskAd\WinTaskAd.exe
C:\Program Files\Windows TaskAd\WinSched.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINNT\system32\apiyb.exe
C:\Program Files\Windows AdControl\WinAdCtl.exe
C:\documents and settings\administrator.weijn\local settings\temp\zC.exe
C:\Program Files\Windows AdControl\WinAdAlt.exe
C:\Program Files\Windows AdService\WinAdServ.exe
C:\WINNT\system32\internat.exe
C:\Program Files\Windows AdService\WinAdSlave.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\DOCUME~1\ADMINI~1.WEI\LOCALS~1\Temp\mshtm.exe
C:\DOCUME~1\ADMINI~1.WEI\LOCALS~1\Temp\real.exe
C:\Documents and Settings\Administrator.WEIJN\Bureaublad\Nieuwe map\HijackThis.exe
C:\WINNT\Downloaded Program Files\CONFLICT.132\rdgNL1332.exe
C:\WINNT\logon.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\nlxge.dll/sp.html#37680
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.buldog-search.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.buldog-search.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\nlxge.dll/sp.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\nlxge.dll/sp.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\nlxge.dll/sp.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\nlxge.dll/sp.html#37680
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\nlxge.dll/sp.html#37680
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {13D30ADF-EB48-9C24-DCDE-D982D22B852E} - C:\WINNT\sdkow.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [d3du32.exe] C:\WINNT\system32\d3du32.exe
O4 - HKLM\..\Run: [xp_system] C:\WINNT\inetg\services.exe
O4 - HKLM\..\Run: [hcjqyxxgvb] C:\WINNT\System32\pstnfr.exe
O4 - HKLM\..\Run: [SysA] C:\winnt\system32\winhop32.exe
O4 - HKLM\..\Run: [DeluxeCD] C:\WINNT\system32\cdplayer.exe -tray
O4 - HKLM\..\Run: [Golum] C:\WINNT\system32\golum\services.exe
O4 - HKLM\..\Run: [Windows TaskAd] C:\Program Files\Windows TaskAd\WinTaskAd.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [apiyb.exe] C:\WINNT\system32\apiyb.exe
O4 - HKLM\..\Run: [Windows AdControl] C:\Program Files\Windows AdControl\WinAdCtl.exe
O4 - HKLM\..\Run: [zC] C:\documents and settings\administrator.weijn\local settings\temp\zC.exe
O4 - HKLM\..\Run: [kalvsys] C:\winnt\system32\kalvxlm32.exe
O4 - HKLM\..\Run: [Windows AdService] C:\Program Files\Windows AdService\WinAdServ.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSAgent] C:\DOCUME~1\ADMINI~1.WEI\LOCALS~1\Temp\mshtm.exe
O9 - Extra button: Microsoft® VBScript® Console (HKLM)
O9 - Extra 'Tools' menuitem: VBScript Terminal (HKLM)
O9 - Extra button: Microsoft® VBScript® Terminal (HKCU)
O9 - Extra 'Tools' menuitem: VBScript Terminal (HKCU)
O16 - DPF: {0000000A-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/d/4/4/d446e8a9-3a86-4b59-bb19-f5bd11b40367/wmavax.CAB
O16 - DPF: {018A066F-584A-422F-AC4C-0B1F5FE5C040} (VacPro.olanda_ver3) - http://www.globalphon.com/dialer/olanda_ver3.CAB
O16 - DPF: {0191ABF4-9421-435E-9FFD-CD827A2A82D8} (SBITAX7Ctrl Class) - http://download.tibsystems.com/tl7000_certid14.dll
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab30149.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {64E8FBE0-B35A-02C7-B6AD-61C726F81A6C} - http://69.50.177.100/1/rdgNL1332.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38226.0975462963
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.230.146.53/EPlugin_NL.cab



groetjes huib

 

[buffy]

Ai, dit is heel erg. Dit is zo'n beetje de ingewikkeldste CWS-variant die we kennen, dus bereid je erop voor dat het een heel gedoe wordt om het te verwijderen.

Om te beginnen moet ik weten welke foute service hier actief is. Doe daarom het volgende:

Download GetServices.zip

Pak het uit naar een nieuwe map op je bureaublad. Dubbelklik op GetService.bat om het te draaien. Dit zal een nieuw tekstbestand maken en openen, genaamd "getservice.txt". Dit wordt geplaatst in dezelfde map van waaruit je GetService.bat draaide.

Getservice.txt zal een lijst maken van alle actieve services. Kopieer en plak de inhoud hiervan in je volgende antwoord.


Plaats in dat volgende antwoord ook een nieuw HijackThis-log, gemaakt met de nieuwste versie van HijackThis (1.98.2): http://www.spywareinfo.com/~merijn/files/hijackthis.zip

 

[huibsel]

oeps sorry voor deze uitdaging hahaha
ja het is echt een bende hier
Logfile of HijackThis v1.98.2
Scan saved at 21:57:09, on 4-12-2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZONELABS\vsmon.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\atlcm32.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Program Files\Windows AdService\WinAdServ.exe
C:\Program Files\Windows AdControl\WinAdCtl.exe
C:\Program Files\Windows AdService\WinAdSlave.exe
C:\Program Files\Windows TaskAd\WinTaskAd.exe
C:\Program Files\Windows AdControl\WinAdAlt.exe
C:\Program Files\ISTsvc\istsvc.exe
C:\Program Files\Windows TaskAd\WinSched.exe
C:\WINNT\system32\cdplayer.exe
C:\WINNT\system32\internat.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\DOCUME~1\ADMINI~1.WEI\LOCALS~1\Temp\mshtm.exe
C:\PROGRA~1\COMMON~1\tsa\tsm2.exe
C:\PROGRA~1\COMMON~1\tsa\ts2.exe
C:\WINNT\system32\apiyb.exe
C:\PROGRA~1\COMMON~1\tsa\tsl2.exe
C:\Documents and Settings\Administrator.WEIJN\Bureaublad\Nieuwe map\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\islmq.dll/sp.html#37680
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.buldog-search.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.buldog-search.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\islmq.dll/sp.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\islmq.dll/sp.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\islmq.dll/sp.html#37680
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\islmq.dll/sp.html#37680
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://ls0.net/srchasst.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\islmq.dll/sp.html#37680
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://search-all.net/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.buldog-search.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {91BB2785-CC5A-1226-4509-177D8039AB79} - C:\WINNT\system32\ntlm.dll
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\PROGRA~1\ISTbar\istbar.dll
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSAgent] C:\DOCUME~1\ADMINI~1.WEI\LOCALS~1\Temp\mshtm.exe
O4 - HKCU\..\Run: [Tsa2] C:\PROGRA~1\COMMON~1\tsa\tsm2.exe
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Program Files\SideFind\sidefind.dll
O9 - Extra button: Microsoft® VBScript® Console - {2B2F05AB-7986-4565-81ED-6DD29BC3AED0} - (no file)
O9 - Extra 'Tools' menuitem: VBScript Terminal - {2B2F05AB-7986-4565-81ED-6DD29BC3AED0} - (no file)
O9 - Extra button: Microsoft® VBScript® Terminal - {2B2F05AB-7986-4565-81ED-6DD29BC3AED0} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: VBScript Terminal - {2B2F05AB-7986-4565-81ED-6DD29BC3AED0} - (no file) (HKCU)
O16 - DPF: {018A066F-584A-422F-AC4C-0B1F5FE5C040} (VacPro.olanda_ver3) - http://www.globalphon.com/dialer/olanda_ver3.CAB
O16 - DPF: {0191ABF4-9421-435E-9FFD-CD827A2A82D8} (SBITAX7Ctrl Class) - http://download.tibsystems.com/tl7000_certid14.dll
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab30149.cab
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {64E8FBE0-B35A-02C7-B6AD-61C726F81A6C} - http://69.50.177.100/1/rdgNL1332.exe
O16 - DPF: {771A1334-6B08-4A6B-AEDC-CF994BA2CEBE} (Installer Class) - http://www.ysbweb.com/ist/softwares/v4.0/ysb_regular.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab
O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.230.146.53/EPlugin_NL.cab









PsService v1.1 - local and remote services viewer/controller
Copyright (C) 2001-2003 Mark Russinovich
Sysinternals - www.sysinternals.com

SERVICE_NAME: Alerter
Hiermee kunnen geselecteerde gebruikers en computers worden gewaarschuwd bij beheerderssignalen.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINNT\System32\services.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Alerter
DEPENDENCIES : LanmanWorkstation
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: AppMgmt
Hiermee worden services voor installatie van software geboden, zoals Toewijzen, Uitgeven en Verwijderen.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINNT\system32\services.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Application Management
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: BITS
Downloadt bestanden op de achtergrond. Hierbij wordt gebruikgemaakt van de niet-benutte netwerkbandbreedte. Als deze service wordt uitgeschakeld, kunnen alle services die expliciet afhankelijk zijn van deze service, zoals Windows Update en MSN Explorer geen programma's en andere gegevens meer downloaden.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINNT\System32\svchost.exe -k BITSgroup
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Intelligente achtergrondsoverdrachtservice
DEPENDENCIES : LanmanWorkstation
: Rpcss
: SENS
: Wmi
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: Browser
Hiermee wordt een bijgewerkte lijst bijgehouden met computers op het netwerk en wordt deze lijst aangeboden aan programma's die hierom vragen.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINNT\System32\services.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Computer Browser
DEPENDENCIES : LanmanWorkstation
: LanmanServer
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: ccEvtMgr
Symantec Event Manager
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 0 IGNORE
BINARY_PATH_NAME : "C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe"
LOAD_ORDER_GROUP : Symantec Services
TAG : 0
DISPLAY_NAME : Symantec Event Manager
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: ccPwdSvc
(null)
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 0 IGNORE
BINARY_PATH_NAME : "C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe"
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Symantec Password Validation Service
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: cisvc
(null)
TYPE : 120 WIN32_SHARE_PROCESS INTERACTIVE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINNT\System32\cisvc.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Indexing-service
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: ClipSrv
Hiermee wordt ondersteuning geboden voor Plakboeken, zodat pagina's kunnen worden weergegeven door externe exemplaren van Plakboek
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINNT\system32\clipsrv.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : ClipBook
DEPENDENCIES : NetDDE
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: Dhcp
Hiermee wordt de netwerkconfiguratie beheerd via het registreren en bijwerken van IP-adressen en DNS-namen.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINNT\System32\services.exe
LOAD_ORDER_GROUP : TDI
TAG : 0
DISPLAY_NAME : DHCP Client
DEPENDENCIES : Tcpip
: Afd
: NetBT
: SYMTDI
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: dmadmin
Dit is de beheerservice voor schijfbeheeraanvragen
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINNT\System32\dmadmin.exe /com
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Logical Disk Manager Administrative-service
DEPENDENCIES : RpcSs
: PlugPlay
: DmServer
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: dmserver
Logical Disk Manager Watchdog-service
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINNT\System32\services.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Logical Disk Manager
DEPENDENCIES : RpcSs
: PlugPlay
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: Dnscache
Hiermee worden DNS-namen omgezet en in cache opgeslagen.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINNT\System32\services.exe
LOAD_ORDER_GROUP : TDI
TAG : 0
DISPLAY_NAME : DNS Client
DEPENDENCIES : Tcpip
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: Eventlog
Hiermee worden gebeurtenisberichten in het logboek opgeslagen, die worden uitgegeven door programma's en door Windows. Deze berichten in Gebeurtenislogboek bevatten gegevens die kunnen worden gebruikt voor het oplossen van problemen. De berichten kunnen worden weergegeven in Logboeken.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINNT\system32\services.exe
LOAD_ORDER_GROUP : Event log
TAG : 0
DISPLAY_NAME : Event Log
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: EventSystem
Verzorgt automatische distributie van gebeurtenissen naar geabonneerde COM-componenten.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINNT\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP : Network
TAG : 0
DISPLAY_NAME : COM+-gebeurtenissysteem
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: Fax
Hiermee wordt hulp geboden bij het verzenden en ontvangen van faxberichten
TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINNT\system32\faxsvc.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Fax-service
DEPENDENCIES : TapiSrv
: RpcSs
: PlugPlay
: Spooler
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: ISEXEng
(null)
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINNT\system32\angelex.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : ISEXEng
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: lanmanserver
Hiermee worden RPC-ondersteuning en functies voor het delen van bestanden, printers en named pipes geboden.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINNT\System32\services.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Server
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: lanmanworkstation
Hiermee worden netwerkverbindingen en netwerkcommunicatie verzorgd.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINNT\System32\services.exe
LOAD_ORDER_GROUP : NetworkProvider
TAG : 0
DISPLAY_NAME : Workstation
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: LmHosts
Hiermee wordt ondersteuning geboden voor NetBIOS via TCP/IP (NetBT) en NetBIOS-naamomzetting inschakelen.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINNT\System32\services.exe
LOAD_ORDER_GROUP : TDI
TAG : 0
DISPLAY_NAME : TCP/IP NetBIOS Helper-service
DEPENDENCIES : NetBT
: Afd
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: Messenger
Hiermee worden berichten verzonden en ontvangen die zijn verzonden door beheerders of door de Alerter-service.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINNT\System32\services.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Messenger
DEPENDENCIES : LanmanWorkstation
: NetBIOS
: RpcSS
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: mnmsrvc
Hiermee kunnen gemachtigde personen dit Windows-bureaublad extern benaderen via NetMeeting.
TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINNT\System32\mnmsrvc.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : NetMeeting Remote Desktop Sharing
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: MSDTC
Coördineert transacties die zijn gedistribueerd over twee of meer databases, berichtwachtrijen, bestandssystemen of andere voor transacties beschermde bronnenbeheerders.
TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINNT\System32\msdtc.exe
LOAD_ORDER_GROUP : MS Transactions
TAG : 0
DISPLAY_NAME : Distributed Transaction Coordinator
DEPENDENCIES : RPCSS
: SamSS
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: MSIServer
Hiermee wordt software volgens de instructies in .MSI-bestanden geïnstalleerd, gerepareerd en verwijderd.
TYPE : 120 WIN32_SHARE_PROCESS INTERACTIVE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINNT\System32\MsiExec.exe /V
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Windows Installer
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: navapsvc
Handles Norton AntiVirus Auto-Protect events.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : "C:\Program Files\Norton AntiVirus\navapsvc.exe"
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Norton AntiVirus Auto Protect Service
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: NetDDE
Hiermee wordt netwerktransport en beveiliging geboden voor dynamische gegevensuitwisseling (DDE)
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINNT\system32\netdde.exe
LOAD_ORDER_GROUP : NetDDEGroup
TAG : 0
DISPLAY_NAME : Network DDE
DEPENDENCIES : NetDDEDSDM
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: NetDDEdsdm
Hiermee wordt gedeelde dynamische gegevensuitwisseling beheerd. Deze service wordt gebruikt door Network DDE
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINNT\system32\netdde.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Network DDE DSDM
DEPENDENCIES :
: EGrLocalSystem
: Network DDE DSDM
: etwork DDE
: on AntiVirus Auto Protect Service
: e-service
: h
: 
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: Netlogon
Hiermee wordt ondersteuning geboden voor indirecte verificatie van accountaanmeldingsgebeurtenissen voor computers in een domein.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINNT\System32\lsass.exe
LOAD_ORDER_GROUP : RemoteValidation
TAG : 0
DISPLAY_NAME : Net Logon
DEPENDENCIES : LanmanWorkstation
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: Netman
Hiermee worden objecten beheerd in de map Netwerk- en inbelverbindingen, waarin u zowel LAN- als externe verbindingen kunt weergeven
TYPE : 120 WIN32_SHARE_PROCESS INTERACTIVE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINNT\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Network Connections
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: NtLmSsp
Hiermee wordt beveiliging geboden voor RPC-programma's (Remote procedure call) die andere transporten gebruiken dan named pipes.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINNT\System32\lsass.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : NT LM Security Support Provider
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: NtmsSvc
Hiermee worden verwisselbare media, stations en mediawisselaars beheerd
TYPE : 120 WIN32_SHARE_PROCESS INTERACTIVE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINNT\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Removable Storage
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: NVSvc
Provides system and desktop level support to the NVIDIA display driver
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINNT\system32\nvsvc32.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : NVIDIA Display Driver Service
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: PlugPlay
Hiermee wordt de installatie en configuratie van apparaten beheerd en worden programma's gewaarschuwd bij apparaatwijzigingen
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINNT\system32\services.exe
LOAD_ORDER_GROUP : PlugPlay
TAG : 0
DISPLAY_NAME : Plug and Play
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: pnpsvc
Provides plug and play svc devices support
TYPE : 120 WIN32_SHARE_PROCESS INTERACTIVE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINNT\system32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Plug and Play svc service
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: PolicyAgent
Hiermee worden het IP-beveiligingsbeleid beheerd en de stuurprogramma's voor ISAKMP/Oakley (IKE) en IP-beveiliging gestart.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINNT\System32\lsass.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : IPSEC Policy Agent
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: ProtectedStorage
Hiermee wordt beveiligde opslag voor vertrouwelijke gegevens, zoals persoonlijke sleutels, geboden om toegang door niet-gemachtigde services, processen of gebruikers te voorkomen
TYPE : 120 WIN32_SHARE_PROCESS INTERACTIVE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINNT\system32\services.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Protected Storage
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: RasAuto
Hiermee wordt een verbinding gemaakt met een extern netwerk als een programma verwijst naar een extern(e) DNS- of NetBIOS-naam of -adres.
TYPE : 120 WIN32_SHARE_PROCESS INTERACTIVE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINNT\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Remote Access Auto Connection Manager
DEPENDENCIES : RasMan
: Tapisrv
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: RasMan
Hiermee kunnen netwerkverbindingen worden gemaakt.
TYPE : 120 WIN32_SHARE_PROCESS INTERACTIVE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINNT\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Remote Access Connection Manager
DEPENDENCIES : Tapisrv
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: RemoteAccess
Hiermee worden routeringsservices aangeboden aan bedrijven in LAN- en WAN-omgevingen.
TYPE : 120 WIN32_SHARE_PROCESS INTERACTIVE_PROCESS
START_TYPE : 4 DISABLED
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINNT\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Routing and Remote Access
DEPENDENCIES : RpcSS
: +NetBIOSGroup
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: RemoteRegistry
Hiermee kan het register extern worden gewijzigd
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINNT\system32\regsvc.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Remote Registry-service
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem
FAIL_RESET_PERIOD : 0 seconds
FAILURE_ACTIONS : Restart DELAY: 1000 seconds

SERVICE_NAME: RpcLocator
Hiermee wordt de database van de RPC Name-service beheerd.
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINNT\System32\locator.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Remote Procedure Call (RPC) Locator
DEPENDENCIES : LanmanWorkstation
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: RpcSs
Hiermee worden endpoint-toewijzing en andere RPC-services geboden
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINNT\system32\svchost -k rpcss
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Remote Procedure Call (RPC)
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: RSVP
Hiermee wordt functionaliteit voor de configuratie van netwerksignalen en besturings van lokaal verkeer verkregen voor programma's en besturingshulpprogramma's die geschikt zijn voor QoS
TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINNT\System32\rsvp.exe -s
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : QoS RSVP
DEPENDENCIES : TcpIp
: Afd
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: SamSs
Hiermee worden beveiligingsgegevens voor lokale gebruikersaccounts opgeslagen
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINNT\system32\lsass.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Security Accounts Manager
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: SBService
(null)
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : ScriptBlocking Service
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: scagent
(null)
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 0 IGNORE
BINARY_PATH_NAME : "C:\WINNT\system32\scagent.exe" start
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Security Agent
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: SCardDrv
Hiermee wordt ondersteuning geboden voor oudere smartcardlezers die aan de computer zijn gekoppeld
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 0 IGNORE
BINARY_PATH_NAME : C:\WINNT\System32\SCardSvr.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Smart Card Helper
DEPENDENCIES : +Smart Card Reader
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: SCardSvr
Hiermee wordt de toegang tot een smartcard beheerd die in een smartcardlezer is geplaatst die aan de computer is gekoppeld
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 0 IGNORE
BINARY_PATH_NAME : C:\WINNT\System32\SCardSvr.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Smart Card
DEPENDENCIES : PlugPlay
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: Schedule
Hiermee kunt u een programma uitvoeren op een vooraf-bepaalde tijd.
TYPE : 120 WIN32_SHARE_PROCESS INTERACTIVE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINNT\system32\MSTask.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Task Scheduler
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: seclogon
Hiermee worden startprocessen ingeschakeld met alternatieve referenties
TYPE : 120 WIN32_SHARE_PROCESS INTERACTIVE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 0 IGNORE
BINARY_PATH_NAME : C:\WINNT\system32\services.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : RunAs-service
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: SENS
Hiermee worden systeemgebeurtenissen, zoals Windows-aanmelding, netwerk- en energiegebeurtenissen getraceerd en worden abonnees van het COM+-gebeurtenissysteem gewaarschuwd als deze gebeurtenissen optreden
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINNT\system32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP : Network
TAG : 0
DISPLAY_NAME : System Event Notification
DEPENDENCIES : EventSystem
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: SharedAccess
Hiermee wordt netwerkadresomzetting, adressering en naamomzettingsservices geboden voor alle computers in het thuisnetwerk via een inbelverbinding.
TYPE : 120 WIN32_SHARE_PROCESS INTERACTIVE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINNT\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Internet Connection Sharing
DEPENDENCIES : RasMan
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: Spooler
Hiermee worden bestanden in het geheugen geladen om later te worden afgedrukt
TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINNT\system32\spoolsv.exe
LOAD_ORDER_GROUP : SpoolerGroup
TAG : 0
DISPLAY_NAME : Print Spooler
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: SysmonLog
Hiermee worden prestatielogboeken en signalen geconfigureerd
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINNT\system32\smlogsvc.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Performance Logs and Alerts
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: TapiSrv
Hiermee wordt ondersteuning geboden voor Telefoon-API (TAPI) voor programma's die telefoonapparaten en op IP gebaseerde spraakverbindingen bestuurd op de lokale computer en, via het LAN, op servers die de service ook uitvoeren
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINNT\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Telephony
DEPENDENCIES : PlugPlay
: RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: TlntSvr
Hiermee kan een externe gebruiker zich bij het systeem aanmelden en consoleprogramma's via de opdrachtregel uitvoeren
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINNT\system32\tlntsvr.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Telnet
DEPENDENCIES : RpcSs
: TcpIp
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: TrkWks
Hiermee worden waarschuwingen verzonden als bestanden tussen NTFS-volumes in een netwerkdomein worden verplaatst
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINNT\system32\services.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Distributed Link Tracking Client
DEPENDENCIES : RpcSs
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: UPS
Hiermee wordt een noodvoeding (UPS) beheerd die op de computer is aangesloten
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINNT\System32\ups.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Uninterruptible Power Supply
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: UtilMan
Hiermee worden hulpprogramma's voor toegankelijkheid vanuit een venster gestart en geconfigureerd
TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINNT\System32\UtilMan.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Utility Manager
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: vsmon
Monitors internet traffic and generates alerts for disallowed access.
TYPE : 110 WIN32_OWN_PROCESS INTERACTIVE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINNT\system32\ZONELABS\vsmon.exe -service
LOAD_ORDER_GROUP : TrueVector Group
TAG : 0
DISPLAY_NAME : TrueVector Internet Monitor
DEPENDENCIES : Afd
: RpcSs
: vsdatant
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: W32Time
Hiermee wordt de computerklok ingesteld
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINNT\System32\services.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Windows Time
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: WinMgmt
Hiermee wordt informatie over systeembeheer verkregen
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 0 IGNORE
BINARY_PATH_NAME : C:\WINNT\System32\WBEM\WinMgmt.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Windows Management Instrumentation
DEPENDENCIES : RPCSS
SERVICE_START_NAME: LocalSystem
FAIL_RESET_PERIOD : 86400 seconds
FAILURE_ACTIONS : Restart DELAY: 60000 seconds
: Restart DELAY: 60000 seconds

SERVICE_NAME: Wmi
Hiermee worden systeembeheergegevens geleverd aan en verkregen van stuurprogramma's
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINNT\system32\Services.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Windows Management Instrumentation Driver Extensions
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: wuauserv
Schakelt de mogelijkheid in om essentiële Windows-updates via Windows Update te downloaden en te installeren. Als deze services is uitgeschakeld, kan het besturingssysteem handmatig worden bijgewerkt via de website Windows Update.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINNT\system32\svchost.exe -k wugroup
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Automatische updates
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: WZCSVC
Biedt geverifieerd netwerktoegangsbeheer met behulp van IEEE 802.1x voor bekabelde en draadloze Ethernet-netwerken.
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 3 DEMAND_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINNT\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP : TDI
TAG : 0
DISPLAY_NAME : Draadloze configuratie
DEPENDENCIES : RpcSs
: Ndisuio
: ProtectedStorage
: WMI
SERVICE_START_NAME: LocalSystem

SERVICE_NAME: %AF夶À¨
(null)
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 0 IGNORE
BINARY_PATH_NAME : C:\WINNT\system32\atlcm32.exe /s
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Network Security Service
DEPENDENCIES :
SERVICE_START_NAME: LocalSystem

 

[buffy]

Jeetje, dit is wel heel erg. Hopelijk krijg ik vannacht geen nachtmerries van dit log.

Ik doe mijn best, maar mochten er belangrijke bestanden op deze pc staan, maak daar dan nu wel even back-ups van.

Daar gaan we dan. Dit wordt een hele klus. Deze variant zit ongelooflijk ingewikkeld in elkaar, er is een lange procedure voor nodig om het te verwijderen.

Doe echt heel precies wat hieronder staat. Print de instructies maar even uit, want gedurende een groot deel van de procedure ben je in veilige modus en kun je deze site dus niet raadplegen. Je moet echt ál deze stappen uitvoeren, anders gaat het niet lukken.


Let's go:


1. Eerst gaan we even een bestandje maken dat je later nodig hebt.
Open Kladblok. Kopieer de onderstaande vetgedrukte tekst en plak dit in een nieuw document:


REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SE]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SW]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\%AF夶À¨]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\%AF夶À¨]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\%AF夶À¨]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\%AF夶À¨]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_%AF夶À¨]


Kies Bestand -> Opslaan.
Kies bij "Opslaan in" voor "Bureaublad".
Vul bij "Bestandsnaam" in: cwsuninst.reg
Kies bij "Opslaan als type" voor "Alle bestanden".
Klik op "Opslaan".


2. Download CWShredder 2.0 alvast: http://cwshredder.net/bin/CWSInstall.exe
Gebruik dit programma nog niet.


3. Download AboutBuster alvast: http://tools.zerosrealm.com/AboutBuster.zip
Unzip het naar een eigen map. Dubbelklik op about :buster.exe en op "Update". Haal de eventuele updates binnen. Sluit About Buster daarna af.


4. Download AdsSpy alvast: http://www.richardthelionhearted.com/~merijn/files/adsspy.zip
Unzip het naar een eigen map. Gebruik het nog niet.


5. Open de Verkenner. Kies Extra -> Mapopties -> Weergave en zorg voor de volgende instellingen:

- géén vinkje voor "Beveiligde besturingssysteembestanden verbergen (aanbevolen);
- géén vinkje voor "Extensies voor bekende bestandstypen verbergen";
- wél een vinkje voor "Verborgen bestanden en mappen weergeven".

Klik "Toepassen" en klik "OK".


6. Herstart de pc in veilige modus. Hier kun je lezen hoe dat moet: http://www.virushelp.nl/veilige_modus.htm

Voer nu de stappen 7 t/m 17 achter elkaar uit, allemaal in veilige modus dus. Onderbreek de procedure beslist niet! Lukt er bij een bepaalde stap iets niet, ga dan gewoon verder met de volgende stap, maar niet stoppen totdat je alle stappen hebt uitgevoerd.


7. Open Taakbeheer. Kijk of de volgende processen er staan en, zo ja, beëindig die dan:

angelex.exe
atlcm32.exe
scagent.exe


8. Ga naar Start -> Uitvoeren, type of plak het volgende in de balk: services.msc. Klik OK.
Scroll door de lijst met services en zoek Network Security Service op. Dubbelklik daarop. Klik in het venster dat verschijnt op "Stoppen" en kies bij "opstarttype" voor "uitgeschakeld".
Klik "Toepassen".

Scroll vervolgens door dezelfde lijst met services en zoek Security Agent op. Dubbelklik daarop. Klik in het venster dat verschijnt op "Stoppen" en kies bij "opstarttype" voor "uitgeschakeld".
Klik "Toepassen".

Scroll nog eens door de lijst met services en zoek ISEXEng op. Dubbelklik daarop. Klik in het venster dat verschijnt op "Stoppen" en kies bij "opstarttype" voor "uitgeschakeld".
Klik "Toepassen".

Klik "OK".


9. Sluit alle vensters die eventueel open staan. Start HijackThis en scan ermee. Vink de volgende items aan:


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\islmq.dll/sp.html#37680
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.buldog-search.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.buldog-search.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\islmq.dll/sp.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\islmq.dll/sp.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\islmq.dll/sp.html#37680
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\islmq.dll/sp.html#37680
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://ls0.net/srchasst.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\islmq.dll/sp.html#37680
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://search-all.net/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.buldog-search.com/

R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {91BB2785-CC5A-1226-4509-177D8039AB79} - C:\WINNT\system32\ntlm.dll

O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\PROGRA~1\ISTbar\istbar.dll

O4 - HKCU\..\Run: [MSAgent] C:\DOCUME~1\ADMINI~1.WEI\LOCALS~1\Temp\mshtm.exe
O4 - HKCU\..\Run: [Tsa2] C:\PROGRA~1\COMMON~1\tsa\tsm2.exe

O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Program Files\SideFind\sidefind.dll

O16 - DPF: {018A066F-584A-422F-AC4C-0B1F5FE5C040} (VacPro.olanda_ver3) - http://www.globalphon.com/dialer/olanda_ver3.CAB
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {64E8FBE0-B35A-02C7-B6AD-61C726F81A6C} - http://69.50.177.100/1/rdgNL1332.exe
O16 - DPF: {771A1334-6B08-4A6B-AEDC-CF994BA2CEBE} (Installer Class) - http://www.ysbweb.com/ist/softwares/v4.0/ysb_regular.cab
O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.230.146.53/EPlugin_NL.cab


Controleer nog even of je precies díe items hebt aangevinkt.
Klik dan op "Fix checked".
(Klik "Ja" als HijackThis vraagt of je dat zeker weet.)
Is HijackThis klaar met fixen (dat duurt maar een paar tellen), dan kun je HijackThis sluiten.


10. Dubbelklik op cwsuninst.reg, dat op je bureaublad staat. Ga ermee akkoord dat dit aan het register wordt toegevoegd.


11. Start de register-editor: kies Start -> Uitvoeren en type of plak het volgende in de balk: regedit. Klik OK.
Navigeer naar de volgende sleutels:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root

Kijk bij elk van die sleutels of je een entry met de naam %AF夶À¨ aantreft. Zo ja, rechtsklik dan op dat %AF夶À¨ en kies voor verwijderen. (Lukt dat verwijderen niet, dan zul je even via rechtsklikken -> eigenschappen -> machtigingen of rechtsklikken -> machtigingen moeten zorgen dat je gemachtigd wordt. Experimenteer met de instellingen totdat het verwijderen wel lukt).
Het zou trouwens kunnen dat je geen entries met %AF夶À¨ meer vindt.
Heb je de eventuele entries verwijderd of vind je deze niet, sluit de register-editor dan af.


12. Navigeer via de Verkenner naar de volgende bestanden en mappen en verwijder die (voor zover ze er nog zijn):

Bestanden:
C:\WINNT\system32\apiyb.exe
C:\WINNT\system32\atlcm32.exe
C:\WINNT\system32\d3du32.exe
C:\WINNT\System32\pstnfr.exe
C:\winnt\system32\winhop32.exe
C:\winnt\system32\kalvxlm32.exe
C:\WINNT\system32\angelex.exe
C:\WINNT\system32\scagent.exe
C:\WINNT\system32\islmq.dll
C:\WINNT\system32\ntlm.dll

Mappen:
C:\Program Files\Windows AdControl
C:\Program Files\Windows TaskAd
C:\Program Files\ISTsvc
C:\Program Files\SideFind
C:\Program Files\Common Files\Tsa
C:\WINNT\Downloaded Program Files\CONFLICT.132
C:\WINNT\system32\golum
C:\WINNT\inetg


13. Start AboutBuster, klik op Start en linksonder op OK.
AboutBuster zal nu je pc gaan scannen op foute bestanden.
Als hij klaar is zal hij vragen om een tweede scan.
Voer die ook uit, als hij klaar is klik dan op 'make log'.


14. Start AdsSpy, verwijder het vinkje bij 'quick scan' en laat hem scannen.
Worden er bestanden gevonden, vink die dan aan en klik op 'remove selected streams'.


15. Leeg de volgende mappen (de mappen zelf niet verwijderen, maar alles wat erin zit wel):

C:\WINNT\Temp

C:\Documents and Settings\gebruikersnaam\Local Settings\Temp
C:\Documents and Settings\gebruikersnaam\Local Settings\Temporary Internet Files

Die laatste twee mappen komen bij alle gebruikers van de pc voor; leeg deze mappen van alle gebruikers.

Windows wil enkele bestandjes uit de Temporary Internet Files misschien niet verwijderen. Dat geeft niets.


16. Ga naar Configuratiescherm -> Internetopties -> tabblad "Programma's". Klik op de knop "Webinstellingen herstellen".


17. Draai CWShredder. Gebruik de Fix knop.


18. Herstart de pc in 'normale modus'.


19. Draai AboutBuster nog een keer (zie de uitleg bij stap 13).


20. Draai CWShredder nog een keer (zie de uitleg bij stap 17).


21. Doe een volledige scan met AdAware SE Personal 1.05, laat alles verwijderen wat wordt gevonden: http://home.filternet.nl/~hansp21/adaware.exe


22. Scan online bij Housecall: http://housecall.trendmicro.com/housecall/start_corp.asp


23. Ga naar WindowsUpdate en upgrade Internet Explorer naar versie 6. Dit is bijzonder belangrijk; als je IE 5 blijft gebruiken, kom je nooit van deze problemen af.


24. Start de pc opnieuw op.


25. Maak een nieuw HijackThis-log en plaats dat hier. Plaats ook het recentste log van AboutBuster.


[EDIT: link naar AdsSpy werkte niet. Even aangepast.]