spywear + crashes + geen internet = frustratie! Wie helpt?

willem29 · 3 okt 2004

Hallo allemaal,

Hopelijk kunnen jullie me helpen... Heb gisteren ADSL aansluiting (van Wanadoo) gekregen. Omdat ik de optie van een automatische firewall bij had gekocht ging ik er van uit dat ik enigszins veilig internet op kon, om eindelijk eens mijn windows-updates te halen e.d.
Kort en goed (slecht eigenlijk): zo ging het dus niet (was misschien ook wel erg naief gedacht van me) Toen ik de ADSL-verbinding opende is mijn computer meteen aangevallen door allerlei spybots e.d. Sterker nog: het lukt me niet eens om internet op te komen ook niet als ik dat probeer met mijn oude vertrouwde telefoonlijntje.
Wat toen gedaan: AVG, AdAware, ZoneAlarm en Spybot geinstalleerd (met nieuwste updates) en gerund. Hebben er wel flink wat dingen uit gehaald, maar de problemen zijn zeker niet minder geworden. Ik krijg nog steeds een melding in beeld:

Virus Trojan Horse BackDoor.Afcore.AV
is found in file C:\WINDOWS\system32: xcgpecf.dll
To remove this virus, please run AVG for Windows

AVG haalt het virus er alleen niet uit (ook niet met systeem herstel uit), dus dat is niet goed. Ik heb nog geprobeerd om het te uninstallen met dit command (rundll32 C:\Windows\system32:xcgpecf.dll,Uninstall) maar dat werkt niet omdat geen access tot de file mogelijk is.

Tenslotte nog een flink probleem: mijn systeem lijkt erg instabiel geworden te zijn. Het scherm gaat vaak abrupt op zwart en de computer start opnieuw op.

En nog steeds geen internet-verbinding dus...

Gelukkig heb ik van iemand een laptop kunnen lenen: zo heb ik dus nog deze vraag kunnen stellen. Alle advies wordt zeer op prijs gesteld.

Tot slot nog de HijackThis-log. Misschien kan je daar wat mee:

Logfile of HijackThis v1.98.2
Scan saved at 15:37:03, on 3-10-2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\SonicWALL\SonicWALL VPN Client\IreIKE.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\Program Files\McAfee\McAfee VirusScan\Avsynmgr.exe
C:\Program Files\SonicWALL\SonicWALL VPN Client\IPSecMon.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe
C:\Program Files\McAfee\McAfee VirusScan\VsStat.exe
C:\Program Files\McAfee\McAfee VirusScan\Vshwin32.exe
C:\Program Files\McAfee\McAfee VirusScan\Webscanx.exe
C:\Program Files\McAfee\McAfee VirusScan\Avconsol.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\winsvc.exe
C:\WINDOWS\System32\winssv.exe
C:\WINDOWS\System32\svchosting.exe
C:\Program Files\Microsoft Works\WksSb.exe
C:\Program Files\McAfee\McAfee VirusScan\alogserv.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Program Files\Winamp\Winampa.exe
C:\Program Files\Trust\Ami Mouse 300 Wireless Dual Scroll\Amoumain.exe
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\WINDOWS\System32\msn32.exe
C:\WINDOWS\System32\winmplayer.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
C:\WINDOWS\System32\devldr32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Common Files\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
C:\Program Files\SonicWALL\SonicWALL VPN Client\SafeCfg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\twain_32\CIS600X\WATCH.exe
C:\Program Files\Common Files\Network Associates\McShield\Mcshield.exe
C:\Program Files\Hijack This\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.defaultsearch.com/search...ie/searchba.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.defaultsearch.com/search...ie/searchmn.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.paradigit.nl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.defaultsearch.com/search...ie/searchmn.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.defaultsearch.com/search...ie/searchba.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.defaultsearch.com/search...ie/searchmn.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.defaultsearch.com/search...ie/searchsa.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.defaultsearch.com/search...ie/searchcs.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Alogserv] C:\Program Files\McAfee\McAfee VirusScan\alogserv.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [WheelMouse] Amoumain.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [Media Load] msn32.exe
O4 - HKLM\..\Run: [Win32 USB2 Driver] svchosting.exe
O4 - HKLM\..\Run: [autoupdate] winsvc.exe
O4 - HKLM\..\Run: [Windows SSL File] winssv.exe
O4 - HKLM\..\Run: [Microsoft media services] winmplayer.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\RunServices: [Media Load] msn32.exe
O4 - HKLM\..\RunServices: [Win32 USB2 Driver] svchosting.exe
O4 - HKLM\..\RunServices: [autoupdate] winsvc.exe
O4 - HKLM\..\RunServices: [Windows SSL File] winssv.exe
O4 - HKLM\..\RunServices: [Microsoft media services] winmplayer.exe
O4 - HKLM\..\RunOnce: [autoupdate] winsvc.exe
O4 - HKLM\..\RunOnce: [Windows SSL File] winssv.exe
O4 - HKLM\..\RunOnce: [Win32 USB2 Driver] svchosting.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /startmonitor
O4 - HKCU\..\Run: [Win32 USB2 Driver] svchosting.exe
O4 - HKCU\..\Run: [autoupdate] winsvc.exe
O4 - HKCU\..\Run: [Windows SSL File] winssv.exe
O4 - HKCU\..\RunOnce: [Win32 USB2 Driver] svchosting.exe
O4 - HKCU\..\RunOnce: [Windows SSL File] winssv.exe
O4 - HKCU\..\RunOnce: [autoupdate] winsvc.exe
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\CIS600X\WATCH.exe
O4 - Global Startup: Herinneringen van Microsoft Works Agenda.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
O4 - Global Startup: SonicWALL VPN Client.lnk = C:\Program Files\SonicWALL\SonicWALL VPN Client\SafeCfg.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.paradigit.nl
O16 - DPF: axscanner - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: axscannerruntime - http://www.pestscan.com/scanner/axscannerruntime.cab
O16 - DPF: mscomctl - http://www.pestscan.com/scanner/mscomctl.cab
O16 - DPF: msvcp71 - http://download.pestpatrol.com/Down...nts/msvcp71.cab
O16 - DPF: msvcr71 - http://download.pestpatrol.com/Down...nts/msvcr71.cab
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/nl/b...g/GoogleNav.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\windows: NameServer = 69.57.146.14,69.57.147.175
O17 - HKLM\System\CS1\Services\Tcpip\..\windows: NameServer = 69.57.146.14,69.57.147.175
O17 - HKLM\System\CS2\Services\Tcpip\..\windows: NameServer = 69.57.146.14,69.57.147.175

buffy · 3 okt 2004

Geplaatst door willem29

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.defaultsearch.com/search...ie/searchba.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.defaultsearch.com/search...ie/searchmn.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.defaultsearch.com/search...ie/searchmn.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.defaultsearch.com/search...ie/searchba.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.defaultsearch.com/search...ie/searchmn.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.defaultsearch.com/search...ie/searchsa.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.defaultsearch.com/search...ie/searchcs.htm

O4 - HKLM\..\Run: [Media Load] msn32.exe
O4 - HKLM\..\Run: [Win32 USB2 Driver] svchosting.exe
O4 - HKLM\..\Run: [autoupdate] winsvc.exe
O4 - HKLM\..\Run: [Windows SSL File] winssv.exe
O4 - HKLM\..\Run: [Microsoft media services] winmplayer.exe
O4 - HKLM\..\RunServices: [Media Load] msn32.exe
O4 - HKLM\..\RunServices: [Win32 USB2 Driver] svchosting.exe
O4 - HKLM\..\RunServices: [autoupdate] winsvc.exe
O4 - HKLM\..\RunServices: [Windows SSL File] winssv.exe
O4 - HKLM\..\RunServices: [Microsoft media services] winmplayer.exe
O4 - HKLM\..\RunOnce: [autoupdate] winsvc.exe
O4 - HKLM\..\RunOnce: [Windows SSL File] winssv.exe
O4 - HKLM\..\RunOnce: [Win32 USB2 Driver] svchosting.exe
O4 - HKCU\..\Run: [Win32 USB2 Driver] svchosting.exe
O4 - HKCU\..\Run: [autoupdate] winsvc.exe
O4 - HKCU\..\Run: [Windows SSL File] winssv.exe
O4 - HKCU\..\RunOnce: [Win32 USB2 Driver] svchosting.exe
O4 - HKCU\..\RunOnce: [Windows SSL File] winssv.exe
O4 - HKCU\..\RunOnce: [autoupdate] winsvc.exe

Ai. Wat spyware inderdaad, maar vooral ook erg veel virussen.

Ik zie dat jij AVG én McAfee gebruikt. Het is zeer onverstandig twee antivirusprogramma's tegelijkertijd te gebruiken, die zitten elkaar al gauw in de weg. Met één virusscanner ben je beter beschermd dan met twee! Verwijder AVG dus, dat programma is sowieso niet best.

1. Scan met HijackThis, vink de bovenstaande items (zie quote) aan, sluit alle vensters behalve HijackThis zelf en klik op "Fix checked".

2. Herstart de pc in veilige modus.
Mocht je niet weten hoe dat moet, kijk dan hier even: http://www.virushelp.nl/veilige_modus.htm

Zorg ervoor dat verborgen bestanden en mappen worden weergegeven.
Hier kun je lezen hoe dat moet: http://users.telenet.be/marcvn/spyware/1117602.htm

Verwijder nu, in veilige modus dus, de volgende bestanden:

C:\WINDOWS\System32\winsvc.exe
C:\WINDOWS\System32\winssv.exe
C:\WINDOWS\System32\svchosting.exe
C:\WINDOWS\System32\msn32.exe
C:\WINDOWS\System32\winmplayer.exe

3. Herstart de pc in 'normale modus'.

4. Als je internetverbinding nu weer werkt, doe dan een online scan op virussen:
Housecall: http://housecall.trendmicro.com/
Panda: http://www.pandasoftware.com/activescan/com/activescan_principal.htm
Start na het scannen de pc opnieuw op.

5. Maak een nieuw HijackThis-log en plaats dat hier.

willem29 · 3 okt 2004

Heel erg bedankt! Ga er aan werken, maar eerst even een prakje eten en Studio Sport kijken. Over een dik uurtje geef ik een update...

willem29 · 3 okt 2004

Nogmaals bedankt voor je hulp Buffy! Stel het erg op prijs. Eerst even waarom ik 2 virusscanners heb: die McAfee is al lang niet meer geupdate en daarom heb ik gisteren toen de problemen begonnen AVG erop gezet. Als alles weer werkt zal ik dat weer in orde maken.

Verder heb ik alles uitgevoerd wat je hebt aangeraden. Tot op zekere hoogte succes: ZoneAlarm vindt geen rare dingen meer die verbinding willen maken met internet bijv. Helaas krijg ik nog steeds die melding van Backdoor.Afcore.AV dus dat is nog niet opgelost. En mijn internet doet het ook nog steeds niet. Dat is toch wel erg raar: zowel Mozilla (dat ik als standaardbrowser gebruik) en IE doen het niet. Het lijkt wel of het modem en de browser elkaar "niet verstaan:". Misschien modem opnieuw installeren...?

Tips zijn dus nog altijd welkom!

Hier de HijackThis-log

Logfile of HijackThis v1.98.2
Scan saved at 20:40:38, on 3-10-2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\SonicWALL\SonicWALL VPN Client\IreIKE.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\Program Files\McAfee\McAfee VirusScan\Avsynmgr.exe
C:\Program Files\SonicWALL\SonicWALL VPN Client\IPSecMon.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe
C:\Program Files\McAfee\McAfee VirusScan\VsStat.exe
C:\Program Files\McAfee\McAfee VirusScan\Vshwin32.exe
C:\Program Files\McAfee\McAfee VirusScan\Webscanx.exe
C:\Program Files\McAfee\McAfee VirusScan\Avconsol.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Microsoft Works\WksSb.exe
C:\Program Files\McAfee\McAfee VirusScan\alogserv.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Program Files\Winamp\Winampa.exe
C:\Program Files\Trust\Ami Mouse 300 Wireless Dual Scroll\Amoumain.exe
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Common Files\Microsoft Shared\Works Shared\wkcalrem.exe
C:\WINDOWS\System32\devldr32.exe
C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
C:\Program Files\SonicWALL\SonicWALL VPN Client\SafeCfg.exe
C:\WINDOWS\twain_32\CIS600X\WATCH.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Network Associates\McShield\Mcshield.exe
C:\PROGRA~1\MOZILLA.ORG\MOZILLA\MOZILLA.EXE
C:\Program Files\Hijack This\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.paradigit.nl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Alogserv] C:\Program Files\McAfee\McAfee VirusScan\alogserv.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [WheelMouse] Amoumain.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /startmonitor
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\CIS600X\WATCH.exe
O4 - Global Startup: Herinneringen van Microsoft Works Agenda.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
O4 - Global Startup: SonicWALL VPN Client.lnk = C:\Program Files\SonicWALL\SonicWALL VPN Client\SafeCfg.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.paradigit.nl
O16 - DPF: axscanner - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: axscannerruntime - http://www.pestscan.com/scanner/axscannerruntime.cab
O16 - DPF: mscomctl - http://www.pestscan.com/scanner/mscomctl.cab
O16 - DPF: msvcp71 - http://download.pestpatrol.com/Downloads/Components/msvcp71.cab
O16 - DPF: msvcr71 - http://download.pestpatrol.com/Downloads/Components/msvcr71.cab
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/nl/big/1.1.62-big/GoogleNav.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\windows: NameServer = 69.57.146.14,69.57.147.175
O17 - HKLM\System\CS1\Services\Tcpip\..\windows: NameServer = 69.57.146.14,69.57.147.175
O17 - HKLM\System\CS2\Services\Tcpip\..\windows: NameServer = 69.57.146.14,69.57.147.175

buffy · 3 okt 2004

Geplaatst door willem29
Nogmaals bedankt voor je hulp Buffy! Stel het erg op prijs. Eerst even waarom ik 2 virusscanners heb: die McAfee is al lang niet meer geupdate en daarom heb ik gisteren toen de problemen begonnen AVG erop gezet. Als alles weer werkt zal ik dat weer in orde maken.

Verder heb ik alles uitgevoerd wat je hebt aangeraden. Tot op zekere hoogte succes: ZoneAlarm vindt geen rare dingen meer die verbinding willen maken met internet bijv. Helaas krijg ik nog steeds die melding van Backdoor.Afcore.AV dus dat is nog niet opgelost. En mijn internet doet het ook nog steeds niet. Dat is toch wel erg raar: zowel Mozilla (dat ik als standaardbrowser gebruik) en IE doen het niet. Het lijkt wel of het modem en de browser elkaar "niet verstaan:". Misschien modem opnieuw installeren...?

Tips zijn dus nog altijd welkom!

Wow, alle virussen zijn al weg.:thumb: Ik had niet verwacht dat het in één keer allemaal zou lukken.

De modem opnieuw installeren lijkt me een goed idee.

Probeer dat bestand dat AVG vindt te verwijderen met TheKillbox:

- Download en unzip TheKillbox: http://www.downloads.subratam.org/KillBox.zip

- Vul bij "Full Path of File to Delete" het juiste pad in (dus C:\Windows\System32\xcgpecf.dll, denk ik); je kunt ook via de bladerknop naar het te verwijderen bestand bladeren en het selecteren door erop te dubbelklikken.

- Vink "Delete on Reboot" aan.

- Klik op de rode knop met het witte kruis.

Je moet nu de pc opnieuw opstarten. Als het goed is wordt het foute bestand dan verwijderd.

willem29 · 3 okt 2004

Ik heb geprobeerd xcgpecf.dll weg te halen met Killbox, maar dat is niet gelukt, omdat ik die file niet kan vinden (niet zelf en niet door de zoek-functie van xp). Het gaat dus om C:\windows\system32:xcgpecf.dll
Die dubbele punt vind ik raar... mis ik hier iets?

Ik ga nu naar bed, maar lees dit morgen zeker weer, dus als ik terug ben van mijn werk ga ik er verder mee aan de slag...

En ik vermoed nog steeds dat een van de virussen/trojans/worms de instellingen van mijn internet-browsers zo hebben veranderd dat ik dus geen contact kan maken ook al staat de ADSL of telefoonpoort open... Hoe kan ik dit checken.

Alvast bedankt en tot morgen!

buffy · 3 okt 2004

Het zou dus om een bestand gaan dat "system32:xcgpecf.dll" heet en dat in de map C:\Windows staat.

Vind je dat bestand in de map C:\Windows, als je in de Verkenner (Extra -> Mapopties -> Weergave) aangeeft dat verborgen bestanden en mappen weergegeven moeten worden?

Als het je lukt om je internetverbinding te herstellen, kijk dan eens of online-scans iets vinden:
Housecall: http://housecall.trendmicro.com/
Panda: http://www.pandasoftware.com/activescan/com/activescan_principal.htm
BitDefender: http://www.bitdefender.com/scan/licence.php

(AVG kennende zou het best vals alarm kunnen zijn. AVG is helaas beter in het 'vinden' van virussen die er niet zijn dan in het vinden van virussen die er wel zijn.)

Wat je internetverbinding betreft: probeer eens alles daarvan te verwijderen (modem en bijbehorende drivers) en daarna alles opnieuw te installeren.

willem29 · 4 okt 2004

Nou... weinig nieuws. Die file kan ik echt niet vinden en ook niet verwijderen. AVG geuninstalled en ik krijg dus in ieder geval nu die vervelende melding niet de hele tijd! Dat is dus op zich wel :thumb:

Maar helaas... nog steeds geen internet-verbinding mogelijk... Is mijn browser soms gehackt en hoe kan ik dat zien? Ik ga hierover maar een vraag stellen in het ADSL forum... daar is het denk ik wat meer op zijn plaats.

willem29 · 4 okt 2004

De discussie over de ADSL aansluiting is verder hier te volgen: http://www.helpmij.nl/forum/showthread.php?threadid=181426

spywear + crashes + geen internet = frustratie! Wie helpt?

willem29

Gebruiker

buffy

Meubilair

willem29

Gebruiker

willem29

Gebruiker

buffy

Meubilair

willem29

Gebruiker

buffy

Meubilair

willem29

Gebruiker

willem29

Gebruiker

Nieuwste berichten

Wij waarderen jouw privacy