Helpmij tegen spyware offensief (deel 6)

[buffy]

Geplaatst door XP_PC
Reken maar! Dat heeft verholpen wat ik dacht dat het zou doen!

Bedankt :thumb:.

Stom zeg

Verder issie clean toch? (ik heb nogal een lange aanmeldtijd)

Ja hoor, helemaal schoon.

Met "lange aanmeldtijd" bedoel je dat het opstarten lang duurt?
Er start natuurlijk het nodige van Norton op, dat kan soms even duren. Persoonlijk zou ik dat MSN-gedoe niet laten opstarten, maar dat is een kwestie van smaak.

 

[Eagle Creek]

Nee, na "uw persoonlijke instellingen worden geladen" staat 'ie soms wel 10 seconden op die melding.
Daarna gaat het boeltje allemaal wel weer vlotjes. Dus de accountaanmelding bij Windows echt.

Is zo sinds mijn netwerkje ligt dus ik dacht eerst aan virus; maar ik ga even verder zoeken.

Bedankt.

 

[G.I. Jane]

Re: G.I. Jane

Geplaatst door buffy



Hallo G.I. Jane,


1. Ga om te beginnen naar configuratiescherm -> software en verwijder daar (indien aanwezig):
- Altnet
- P2P Networking
(gewoon op de gebruikelijke manier via "programma's toevoegen/verwijderen".)
Het maakt niet uit of dat nu lukt of niet, de volgende stappen moet je hoe dan ook uitvoeren.

2. Scan opnieuw met HijackThis, vink alle bovenstaande items (zie quote) aan, sluit alle vensters behalve HijackThis zelf en klik op "Fix checked".

3. Herstart de pc in veilige modus. Als je niet weet hoe dat moet, kijk dan hier.

Zorg in de Verkenner, via Extra -> Mapopties -> Weergave, dat verborgen bestanden en mappen worden weergegeven.

Verwijder nu, in veilige modus dus, de volgende bestanden en mappen (voor zover nog aanwezig):

Dit bestand:
C:\windows\system32\msdmxm.exe

Al deze mappen:
C:\WINDOWS\System32\P2P Networking
C:\Program Files\Altnet
C:\Program Files\PerfectNav
C:\PROGRA~1\METAGR~1\flaplies.exe <- d.w.z. die hele map waar "flaplies.exe" in zit
C:\PROGRA~1\STORES~1\trust mags.exe <- d.w.z. die hele map waar "trust mags.exe" in zit
C:\Documents and Settings\All Users\Application Data\Bitsantebindway

4. Herstart de pc in 'normale modus'.

5. Scan nog eens met AdAware; maak en plaats daarna een nieuw HijackThis-log, want er blijft vast nog wel wat rotzooi over.


Groetjes,

Buffy

Alles gedaan, opnieuw gescand met Ad-Aware + S&D.
Nieuwe HijackThis jog:
Logfile of HijackThis v1.98.0
Scan saved at 13:22:59, on 30-7-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\windows\system\hpsysdrv.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\WINDOWS\System32\hphmon05.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\ALCXMNTR.EXE
C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
C:\PROGRA~1\Java\J2RE14~1.2\bin\jusched.exe
C:\NORMAN\Nvc\BIN\ZLH.EXE
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Norman\NVC\BIN\Zanda.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\WINDOWS\System32\rundll32.exe
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\SpywareGuard\sgmain.exe
C:\Program Files\SpywareGuard\sgbhp.exe
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\Documents and Settings\Eigenaar\Mijn documenten\Spyware & Logfiles\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet aangeboden door Jacob & Monique
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [CamMonitor] c:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [Reminder] "C:\Windows\Creator\Remind_XP.exe"
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\PROGRA~1\Java\J2RE14~1.2\bin\jusched.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - Startup: Snelkoppeling naar msimn.lnk = C:\Program Files\Outlook Express\msimn.exe
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {1239CC52-59EF-4DFA-8C61-90FFA846DF7E} (Musicnotes Viewer) - http://www.musicnotes.com/download/mnviewer.cab
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/software/win/ActiveXPlugin.cab
O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab

Groeten van Jane

P.S. alvast bedankt voor deze service

 

[buffy]

volume

Geplaatst door volume

O4 - HKLM\..\Run: [Local Service] runddl32.exe
O4 - HKLM\..\Run: [Microsoft Update] snlogsvc.exe
O4 - HKLM\..\RunServices: [Local Service] runddl32.exe
O4 - HKLM\..\RunServices: [Microsoft Update] snlogsvc.exe
O4 - HKCU\..\Run: [Local Service] runddl32.exe
O4 - HKCU\..\Run: [Microsoft Update] snlogsvc.exe

Hallo Volume,

Twee van de drie boosdoeners zijn nu verdwenen uit je lopende processen, hartstikke goed!
Je kon windowssvc.exe nu dus wel vinden in system32, begrijp ik. Dat is mooi, dat lag het eerder blijkbaar toch aan de instellingen in de Verkenner. Zorg dat die instellingen nu nog steeds staan zoals ik in mijn vorige bericht aangaf.


1. Scan opnieuw met HijackThis, vink de bovenstaande items (zie quote) aan, zorg dat alle vensters behalve HijackThis zelf zijn gesloten en klik op "Fix Checked".

2. Herstart de pc in veilige modus.
Verwijder het bestand:

C:\WINDOWS\System32\windowssvc.exe

3. Herstart de pc in 'normale modus'.

4. Doe schijfopruiming. (Start -> Alle programma's -> Bureau-accessoires -> Systeemwerkset -> Schijfopruiming. Het "berekenen" kan even duren. Vink alle opties aan.)

5. Maak en plaats een nieuw, hopelijk schoon, log!


Groetjes,

Buffy

 

[volume]

Dag Buffy,

Heb dit uitgevoerd, maar kan zelfs in veilige modus windowssvc.exe niet verwijderen ! Heb gepoogd proces te beeindigen, maar start telkens opnieuw op.
Maar (en hopelijk blijft het zo) is die popup verdwenen.


Hierbij nog een Hijack. Heb wel de schijfopruiming nog niet gedaan (tijdsgebrek moet nu effe weg), maar misschien brengt dit toch weer iets meer duidelijkheid.

Logfile of HijackThis v1.98.0
Scan saved at 13:47:46, on 30/07/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\windowssvc.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
C:\WINDOWS\System32\ati2vid.exe
C:\Program Files\The Cleaner\tca.exe
C:\Program Files\The Cleaner\tcm.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\OpenOffice.org1.1.2\program\soffice.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_SICN03.EXE
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\Mark\LOCALS~1\Temp\Rar$EX01.296\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Schoemaker's verkenning door het Wereldwijde Web
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: Popup Manager - {08E74C67-99A6-45C7-94DA-A397A8FD8082} - C:\Program Files\Popup Manager\PopupMgr_1.0.2.1P.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ATI VIDEO REGKEY] ati2vid.exe
O4 - HKLM\..\Run: [tcactive] C:\Program Files\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Program Files\The Cleaner\tcm.exe
O4 - HKLM\..\RunServices: [ATI VIDEO REGKEY] ati2vid.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [ATI VIDEO REGKEY] ati2vid.exe
O4 - Startup: OpenOffice.org 1.1.2.lnk = C:\Program Files\OpenOffice.org1.1.2\program\quickstart.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab

 

[buffy]

dazzling

Geplaatst door dazzling

O2 - BHO: twaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll (file missing)

O4 - HKLM\..\Run: [WindUpdates] C:\Program Files\WindUpdates\WinUpdt.exe

O4 - HKLM\..\Run: [kqpsahx] C:\WINDOWS\System32\byvcxhrv.exe

Hallo Dazzling,


1. Scan opnieuw met HijackThis, vink de bovenstaande drie items (zie quote) aan en klik op "Fix checked".

2. Herstart de pc in veilige modus (weer even geduld hebben dus ) en verwijder, indien nog aanwezig:

C:\WINDOWS\System32\byvcxhrv.exe <- dat bestand
C:\Program Files\WindUpdates <- die map

3. Herstart de pc in 'normale modus'.


Groetjes,

Buffy

 

[buffy]

volume

Geplaatst door volume

O4 - HKLM\..\Run: [ATI VIDEO REGKEY] ati2vid.exe
O4 - HKLM\..\RunServices: [ATI VIDEO REGKEY] ati2vid.exe
O4 - HKCU\..\Run: [ATI VIDEO REGKEY] ati2vid.exe

Hoi Volume,

Dat me dít nog niet eerder was opgevallen! Ik keek nog eens goed naar de 04-items op zoek naar de oorzaak voor het steeds terugkeren van windowssvc.exe en toen zag ik het: die items van "ATI video regkey"! Dat bestand ati2vid.exe móet wel foute boel zijn. Als het echt iets van ATI (bekende producent van videokaarten) was, zou dit bestand op Google wel bekend zijn. Jij hebt trouwens ook geen videokaart van ATI maar eentje van nVidia. Volgens mij hebben we nu ook de laatste boosdoener te pakken!


1. Scan opnieuw met HijackThis, vink de bovenstaande items (zie quote) aan, sluit alle vensters behalve HijackThis zelf en klik op "Fix checked".

2. Herstart de pc in veilige modus en verwijder:
C:\WINDOWS\System32\ati2vid.exe
C:\WINDOWS\System32\windowssvc.exe
(die laatste kan na het fixen van bovenstaande 04-items waarschijnlijk wél verwijderd worden)

3. Herstart de pc in 'normale modus'.

4. Plaats maar weer een nieuw log, nu hopelijk écht schoon.

Groetjes,

Buffy

 

[buffy]

Re: Re: G.I. Jane

Geplaatst door G.I. Jane

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe

Hallo G.I. Jane,


Alle spyware is al weg.:thumb: Hierboven heb ik enkele items aangeduid die naar mijn mening niet per se hoeven op te starten; die mag je dus fixen met HijackThis.


Groetjes,

Buffy

 

[G.I. Jane]

Re: Re: Re: G.I. Jane

Geplaatst door buffy



Hallo G.I. Jane,


Alle spyware is al weg.:thumb: Hierboven heb ik enkele items aangeduid die naar mijn mening niet per se hoeven op te starten; die mag je dus fixen met HijackThis.


Groetjes,

Buffy

Bedankt weer voor jullie geweldige hulp!!!

 

[dazzling]

Geplaatst door dazzling


oh okee ... beetje ongeduldig inderdaad want nu lukte het





alle stappen uitgevoerd en dit is mijn nieuwe logje:

Logfile of HijackThis v1.98.0
Scan saved at 13:11:32, on 30-7-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Progra~1\Launch Manager\LaunchAp.exe
C:\Progra~1\Launch Manager\PowerKey.exe
C:\Progra~1\Launch Manager\HotkeyApp.exe
C:\Progra~1\Launch Manager\CtrlVol.exe
C:\Progra~1\Launch Manager\Wbutton.exe
C:\Program Files\Acer\Notebook Manager\almxptray.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Program Files\COOL! Remote Control\RemoteServer.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\VCM\vcm_exe.exe
C:\Program Files\COOL! Remote Control\ScreenS.exe
C:\Proggies\HiJackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: twaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Progra~1\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Progra~1\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] C:\Progra~1\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Progra~1\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Progra~1\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Program Files\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [RemoteServer] C:\Program Files\COOL! Remote Control\RemoteServer
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WindUpdates] C:\Program Files\WindUpdates\WinUpdt.exe
O4 - HKLM\..\Run: [kqpsahx] C:\WINDOWS\System32\byvcxhrv.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - Startup: VCM.lnk = C:\Program Files\VCM\vcm_exe.exe
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://gto.postbank.nl/GTO/PBGNX.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0E1734D2-E5E1-445B-B9AE-D575874A227E}: NameServer = 192.168.1.1

volgens mij zie ik nog steeds dingen die niet kloppen .... wat denken jullie??

grtz,

dazz

 

[buffy]

Geplaatst door dazzling



volgens mij zie ik nog steeds dingen die niet kloppen .... wat denken jullie??

grtz,

dazz

Ditzelfde log had je al geplaatst Dazzling. Het antwoord staat een stukje hierboven.

 

[dazzling]

Geplaatst door buffy


Ditzelfde log had je al geplaatst Dazzling. Het antwoord staat een stukje hierboven.

sorry, ik heb last van de warmte denk ik ...
thanx, ik ga het meteen proberen!

grtz,

dazz

 

[dazzling]

volgens mij is het nu dan toch eindelijk gelukt (na 4 dagen ploeteren .... kan ik die lui een rekening sturen??!!)

dit is mijn nieuwe log:


Logfile of HijackThis v1.98.0
Scan saved at 15:25:14, on 30-7-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\SYSTEM32\Userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Progra~1\Launch Manager\LaunchAp.exe
C:\Progra~1\Launch Manager\PowerKey.exe
C:\Progra~1\Launch Manager\HotkeyApp.exe
C:\Progra~1\Launch Manager\CtrlVol.exe
C:\Progra~1\Launch Manager\Wbutton.exe
C:\Program Files\Acer\Notebook Manager\almxptray.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Program Files\COOL! Remote Control\RemoteServer.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\VCM\vcm_exe.exe
C:\Program Files\COOL! Remote Control\ScreenS.exe
C:\Proggies\HiJackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Progra~1\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Progra~1\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] C:\Progra~1\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Progra~1\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Progra~1\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Program Files\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [RemoteServer] C:\Program Files\COOL! Remote Control\RemoteServer
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - Startup: VCM.lnk = C:\Program Files\VCM\vcm_exe.exe
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://gto.postbank.nl/GTO/PBGNX.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0E1734D2-E5E1-445B-B9AE-D575874A227E}: NameServer = 192.168.1.1



allemaal hartstikke bedankt!!!!

nog een laatste vraagje:

hoe kan ik Spy Bot zodanig instellen dat de computer beschermd is tijdens het surfen? ik zie een knopje immuniseer maar weet niet wat er gebeurt als ik daarop klik

grtz,

dazz

 

[Eagle Creek]

Immuniseer zorgt ervoor dat je instellingen kan plegen om SW te voorkomen. Klik er rustig op .

Daar kan je dus bv een download blokkeerder instellen en meer.

Ook kan je Ad-Watch van Ad-aware installeren om dat te voorkomen .

 

[buffy]

Geplaatst door dazzling
volgens mij is het nu dan toch eindelijk gelukt (na 4 dagen ploeteren .... kan ik die lui een rekening sturen??!!)

dit is mijn nieuwe log:


Logfile of HijackThis v1.98.0
Scan saved at 15:25:14, on 30-7-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
.....

Schoon.:thumb:

Uitleg van Spybot: http://www.bleepingcomputer.com/forums/index.php?showtutorial=43

Maar als het om preventie gaat, zou ik je vooral SpywareBlaster aanraden: http://home.planet.nl/~kleyn080/Spywareinfonl.html#spywareblaster

 

[zuiderling]

Hallo allemaal,

Ik ben mijn pc aan het verschonen met ad-aware, is gelukt, nu wilde ik na lange tijd alle beveiligingsupdates van xp downloaden en installeren. Bij een update krijg ik dit te zijn. Volgens mij is het spyware of een worm of iets anders.

Als dit niet hier past, dan hoor ik het graag. In ieder geval weet ik niet wat ik moet doen ermee.

Straks ga ik zonealarm en trojan-shield downloaden tegen mensen die het "leük" vinden om mij lastig te vallen met rotzooi=****.

Groeten,

Danny aka zuiderling

[KB839643.log]
0.046: ================================================================================
0.046: 2004/07/30 16:35:16.718 (local)
0.046: c:\299c0a6b65e24952f17b\sp2\update\update.exe (version 5.4.15.0)
0.046: Service Pack is met de volgende opdrachtregelopdracht gestart:
0.046: SOFTWARE\Microsoft\DirectX\Version is Not Equal To Specified Value
0.046: Condition Check for Line 1 of PreRequisite returned FALSE
0.062: ReadStringFromInf: SetupGetLineText failed: 0xe0000102
0.062: Setup van KB839643 heeft een fout ontdekt: Setup kan niet doorgaan omdat aan een of meer van de vereisten voor de installatie van KB839643 niet is voldaan. Raadpleeg logboekbestand D:\WINDOW\KB839643.log voor meer details.
0.062: ReadStringFromInf: SetupGetLineText failed: 0xe0000102
0.062: Setup kan niet doorgaan omdat aan een of meer van de vereisten voor de installatie van KB839643 niet is voldaan. Raadpleeg logboekbestand D:\WINDOW\KB839643.log voor meer details.
68.109: Message displayed to the user: Setup kan niet doorgaan omdat aan een of meer van de vereisten voor de installatie van KB839643 niet is voldaan. Raadpleeg logboekbestand D:\WINDOW\KB839643.log voor meer details.
68.109: User Input: OK
68.109: Update.exe extended error code = 0xf0f4
68.109: Update.exe return code was masked to 0x643 for MSI custom action compliance.

 

[buffy]

Geplaatst door zuiderling
Als dit niet hier past, dan hoor ik het graag.

Dit past hier niet. Deze topic is voor HijackThis-logs. Lees het eerste bericht maar eens goed.

 

[LFFG]

Hallo helpmij-medewerkers,

Mijn computer probeert spontaan een (onzichtbare?) inbelverbinding te maken. Het lukt hem niet meer omdat ik intussen een ADSLverbinding heb en de gewone telefoonstekker eruit heb getrokken.
Norton antivirus, Ad-aware, Spybot, FSG's Dialer Detect (allemaal vandaag ge-update) lossen het probleem niet op.
Misschien zien jullie iets verdachts in dit Hijackthis log:

Logfile of HijackThis v1.98.0
Scan saved at 14:02:07, on 30-7-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0H2.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\netstat.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Documents and Settings\Louis\Mijn documenten\hijackthis 2\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.wanadoo.nl:9090/frontoffice/adsl/algemeen.jsp?OFFER=F11841&budget=1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [EPSON Stylus Photo R200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0H2.EXE /P30 "EPSON Stylus Photo R200 Series" /O6 "USB001" /M "Stylus Photo R200"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Windows cfg] ascv.exe
O4 - HKLM\..\Run: [Microsoft Update Configuration] WIN32SNC.exe
O4 - HKLM\..\Run: [Microsoft Update] smss32.exe
O4 - HKLM\..\Run: [nstat] C:\WINDOWS\netstat.exe
O4 - HKLM\..\RunServices: [Windows cfg] ascv.exe
O4 - HKLM\..\RunServices: [Microsoft Update Configuration] WIN32SNC.exe
O4 - HKLM\..\RunServices: [Microsoft Update] smss32.exe
O4 - HKCU\..\Run: [Microsoft Update Configuration] WIN32SNC.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.wanadoo.nl:9090/frontoffice/adsl/algemeen.jsp?OFFER=F11841&budget=1
O16 - DPF: {18D9C485-7EEC-4395-95DA-DC3875B10E81} (TEInstallPlugIn) - http://www.skylinesoft.com/interactive/TerraExplorer/Install/TEInstallPlugIn.cab

Alle op- of aanmerkingen zijn welkom! (Dit is de eerste keer dat ik een bericht in een forum plaats).
Groetjes van LFFG.

 

[dazzling]

XP_PC en buffy, en verder iedereen die meegedacht heeft en tips gegeven heeft: thanx, het wordt enorm gewaardeerd!!!! :thumb:

grtz,

dazz

 

[buffy]

LFFG

Geplaatst door LFFG

O4 - HKLM\..\Run: [Windows cfg] ascv.exe
O4 - HKLM\..\Run: [Microsoft Update Configuration] WIN32SNC.exe
O4 - HKLM\..\Run: [Microsoft Update] smss32.exe
O4 - HKLM\..\Run: [nstat] C:\WINDOWS\netstat.exe
O4 - HKLM\..\RunServices: [Windows cfg] ascv.exe
O4 - HKLM\..\RunServices: [Microsoft Update Configuration] WIN32SNC.exe
O4 - HKLM\..\RunServices: [Microsoft Update] smss32.exe
O4 - HKCU\..\Run: [Microsoft Update Configuration] WIN32SNC.exe

Hallo LFFG,

en welkom op Helpmij!


1. Scan opnieuw met HijackThis, vink alle bovenstaande items (zie quote) aan, sluit alle vensters behalve HijackThis zelf en klik op "Fix checked".
(Let wel: die items hebben helemaal niets met updates van Windows of Microsoft te maken. Dat lijkt alleen maar zo.)

2. Herstart de pc in veilige modus. Als je niet weet hoe dat moet, kijk dan hier.

Zorg in de Verkenner, via Extra -> Mapopties -> Weergave, dat verborgen bestanden en mappen worden weergegeven.

Verwijder nu, in veilige modus dus, het volgende bestand:

C:\WINDOWS\netstat.exe

3. Herstart de pc in 'normale modus'.

4. Doe een online virusscan bij Housecall en/of BitDefender.

5. Maak en plaats een nieuw HijackThis-log.


Groetjes,

Buffy