[Centraal] Spy-, adware & virussen [4]

[M@rco]

Centraal spy-, adware & virussen topic - deel 4

Welkom! In dit topic kun je discussiëren over allerlei vormen van spyware, adware en ook virussen. Als je bijvoorbeeld last hebt van een hardnekkige infectie kun je in dit topic om hulp vragen.

Wat is spyware/adware?

Spyware is de naam voor computerprogramma's (of delen daarvan) die informatie vergaren over een computergebruiker en deze doorsturen naar een externe partij. Het doel van spyware is meestal om geld te verdienen. De term komt van het Engelse woord 'spy', wat 'spion' betekent, en het achtervoegsel '-ware', dat aangeeft dat het om software gaat. [Bron]

Adware laat reclame boodschappen aan de gebruiker zien. Deze kunnen door middel van spyware op de gebruiker afgestemd zijn, maar dat is niet altijd het geval. Adware bevat dus soms een spywarefunctionaliteit maar niet altijd. [Bron]

Wat is een virus?

Een computervirus (in het dagelijks taalgebruik wordt meestal kortweg over virus gesproken) is een vorm van schadelijke software (malware). Het is een computerprogramma dat zich in een bestand kan nestelen, bijvoorbeeld in bestanden van een besturingssysteem. Computervirussen worden als schadelijk beschouwd, want ze nemen schijfruimte en computertijd in beslag van de besmette computers; in ernstige gevallen kunnen ze in de computer schade aanrichten (zoals het wissen en verspreiden van (gevoelige) gegevens). Ze zijn gemaakt om zichzelf te dupliceren en te verspreiden om zo meer en meer computersystemen te infecteren. [Bron]

Hoe kan ik een infectie voorkomen?

• Draai een recente versie van Windows, namelijk 2000 of XP. Windows 9x is verouderd, wordt vrijwel niet meer ondersteund en is mede daardoor bijzonder onveilig.
• Houd Windows up to date; installeer Service Pack 2 en zet Automatische Updates aan, zodat je altijd verzekerd bent van de laatste updates.
• Maak als het even kan gebruik van een router met NAT; dit zorgt ervoor dat je computer niet zomaar te benaderen is vanaf het internet. Als je computer direct aan het modem hangt, maak dan gebruik van een firewall. Een goede zit standaard in XP SP2; gratis alternatieven zijn o.a. te vinden in de vorm van Kerio Personal Firewall 2.1.5 en ZoneAlarm.
• Draai altijd een fatsoenlijke virusscanner. Producten van Norton en McAfee worden vaak afgeraden omdat ze je systeem sterk vertragen. Goede alternatieven zijn bijvoorbeeld Kaspersky AntiVirus, NOD32 en eTrust EZ Antivirus. Voor de arme/gierige scholier zijn er ook prima gratis scanners te vinden; voorbeelden hiervan zijn AntiVir, avast! Home Edition en AVG Free Edition.
• Ga voorzichtig om met gratis spullen van internet. Van sommige programma's, zoals bijvoorbeeld KaZaA en MSN Plus!, is bekend dat er spyware wordt meegeleverd; pas dus goed op tijdens de installatie. Wees ook voorzichtig met gratis screensavers, spelletjes en sites met een commercieel karakter (ringtones, gratis programmaatjes, dating, erotische sites, etc.).
• Indien je gebruik maakt van Internet Explorer is het extra belangrijk om je Windows-installatie up-to-date te houden! Eventueel kun je overwegen gebruik te maken van alternatieve browsers als Mozilla Firefox en Opera.

Zelf verwijderen

Probeer altijd eerst zelf deze stappen te doorlopen, voor je in het topic om raad vraagt!

1. Verwijderen via configuratiescherm
   
   Vaak kan een groot deel van de spyware gewoon via het menu "Software" in het Configuratiescherm worden verwijderd. Klik hier voor een uitgebreide lijst van verdachte items.
   
2. Spy- en adware verwijderen met tools
   
   De achtergebleven spyware/virussen kun je proberen te verwijderen met de volgende programma's:
   
   - CCleaner (N.B. Dit programma verwijdert geen spyware, maar het kan nooit kwaad om overbodige dingen te verwijderen!)
   - Ad-Aware SE
   - Spybot S&D
   - Microsoft Windows Defender (oude naam: Microsoft AntiSpyware)
   - Microsoft Windows Malicious Software Removal Tool
   
3. Online scannen op virussen
   
   Als de virusscanner op je computer het virus niet wegkrijgt, of deze doet het op de één of andere manier niet meer, dan kun je deze online scanners proberen.
   
   - BitDefender
   - Panda ActiveScan
   - Trend Micro HouseCall

Ik denk dat het nog steeds niet weg is!

Geen nood, daar is dit topic voor. Je kunt er o.a. voor kiezen om een Hijack This!-log te plaatsen, zodat andere mensen in dit topic kunnen zien wat er allemaal voor processen op je systeem draaien en wat er eventueel mis is.

Archief

• Deel 1
• Deel 2
• Deel 3

Tips, ideeën en opmerkingen m.b.t. deze startpost graag via PM!
freyk ging u voor en kwam met enkele nuttige toevoegingen, waarvoor uiteraard mijn dank. Ook heb ik wat dingetjes overgenomen uit de oude startpost van ons aller Enlightenment.

[Quasi]

ik heb een virus en deze krijg ik er niet af. Het is een worm. Volgens mij is het deze: Iworm_attck_v122.02A

Ik heb de laatste nieuwe update van Norman Virus Control, maar deze verwijderd hem niet. Ik heb mijn pc ook gescand op spyware en alle gevonden objecten verwijderd maar hij zit er nog steeds. Heeft iemand een idee hoe ik em weg kan krijgen?

Het gaat om een Win.XP machine

Je kunt ook naar sites van andere fabrikanten, bijv. van Symantec (het security response center heet dat geloof ik). Daar staan vaak ook instructies over hoe het handmatig te verwijderen, handig als je eigen scanner hem niet automatisch pakt.

[Quasi]

Citaat:

nare man schreef op 06-02-2006 @ 17:12 :
Je kunt ook naar sites van andere fabrikanten, bijv. van Symantec (het security response center heet dat geloof ik). Daar staan vaak ook instructies over hoe het handmatig te verwijderen, handig als je eigen scanner hem niet automatisch pakt.

geen antwoord gevonden. de site kent mijn virus niet. Iemand anders suggesties??

[M@rco]

Via Google kwam ik hier terecht, probeer dat maar eens...

[Quasi]

okey bedankt.. maar het is net iets te laat... herinstallatie uitgevoerd... ik kan niet zonder pc... dus dan z.s.m. oplossen
toch bedankt voor de moeite

[namnatulco]

ik heb een meer algemene vraag: als ik een virus (en alle andere onderdelen ervan) met een programma als IBProcMan kill, kan ik dan het virus verwijderen, of levert dit extra gevaren op?

[M@rco]

Dan zou je het moeten kunnen verwijderen ja, zie niet in waarom dat extra gevaren zou opleveren

[freyk]

Citaat:

namnatulco schreef op 17-02-2006 @ 08:20 :
of levert dit extra gevaren op?

Je "killt" met ibprocman het virus niet, je kan alleen het programma/proces ermee afsluiten.
Eenmaal afgesloten, kan het programma dus niet meer doen.
Je kan het dus zonder problemen het weer verwijderen.

[namnatulco]

Citaat:

freyk schreef op 18-02-2006 @ 12:59 :
Je "killt" met ibprocman het virus niet, je kan alleen het programma/proces ermee afsluiten.
Eenmaal afgesloten, kan het programma dus niet meer doen.
Je kan het dus zonder problemen het weer verwijderen.

dat bedoelde ik

[Maradinus]

Ik heb mcAfee laten draaien kon niks vinden
Ik heb adware laten draaien kon niks vinden
Het proberen te fixen met hijackthis werkte ook niet
Ik heb NOD32 laten draaien kon ook niks vinden

hijackthis log:

Logfile of HijackThis v1.99.1
Scan saved at 21:06:02, on 19-2-2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\PROGRA~1\NETWOR~1\COMMON~1\naPrdMgr.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Common Files\Network Associates\TalkBack\TBMon.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\WebRebates4\webrebates.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\WebRebates4\w11150.exe
D:\Program Files\Steam\steam.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Documents and Settings\Marinus Visser.MARINUS\Bureaublad\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Program Files\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Common Files\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [webrebates] "C:\Program Files\WebRebates4\webrebates.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Web Rebates. - file://C:\Program Files\WebRebates4\websrebates\webtrebates\toprC0.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1139261397311
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Ik kan m ook niet via msconfig --> opstarten uitzetten dat helt iig niks.

maradinus

[M@rco]

En via Start/Configuratiescherm/Software? Daar zou 'ie bij moeten staan.

[Maradinus]

Citaat:

M@rco schreef op 19-02-2006 @ 21:18 :
En via Start/Configuratiescherm/Software? Daar zou 'ie bij moeten staan.

staat hij ook bij maar ik kan m daar weg niet verwijderen

[freyk]

Omdat ik aan neem dat je wel iets meer gevorderd bent dan de de andere mensen die hier posten, Maradinus, houd ik het kort:
De draaiende programma's webrebates.exe en w11150.exe killen in je taakbeheer (of met ibprocman) en dan de gehele map webrates in je program files map verwijderen.

[Maradinus]

Citaat:

freyk schreef op 19-02-2006 @ 22:08 :
Omdat ik aan neem dat je wel iets meer gevorderd bent dan de de andere mensen die hier posten, Maradinus, houd ik het kort:
De draaiende programma's webrebates.exe en w11150.exe killen in je taakbeheer (of met ibprocman) en dan de gehele map webrates in je program files map verwijderen.

ik kan ze wel wegklikken maar zijn weer terug om het moment dat ik ze weg klik.

het is waar dat het erg ingewikkeld om uit te leggen hoe dat dan werkt met zo'n 'losse process manager'?


Ik kan alles verwijder in die map behalve behalvewebrebates2.dll

[freyk]

Citaat:

Maradinus schreef op 19-02-2006 @ 22:29 :
het is waar dat het erg ingewikkeld om uit te leggen hoe dat dan werkt met zo'n 'losse process manager'?

Ibprocman heeft geen uitleg nodig,...

Citaat:

Maradinus schreef op 19-02-2006 @ 22:29 :
Ik kan alles verwijder in die map behalve behalvewebrebates2.dll

regsvr32 /u C:\Program Files\WebRebates4\webrebates2.dll
(maar deze oplossing vond je ook, als je nou eens de zoekfunctie gebruikte )

[Maradinus]

Thnx Freyk alles is weg

[no pain n death]

Blijkbaar heb ik nog wat spy- en adware op mijn pc staan, want AdAware vind behoorlijk wat. Hij loopt echter vast na een tijd (volgens mij bij het deep scannen van de registry) en wil dan ook niet de al gevonden ware verwijderen. Daarom heb ik een ander anti-adware prog. gebruikt: NoAdware, deze heeft ook wat gevonden en succesvol verwijdert. AdAware blijft hierna echter nog steeds ware vinden en vervolgens vastlopen.

Moet ik al die dingen die die vind handmatig verwijderen en hopen dat hij dan niet meer vastloopt?
Een custom scan (bijv alleen partitie D) helpt ook niet, want hij blijft vastlopen bij hetzelfde gedeelte, ook als ik aangeef niet de C partitie te scannen...

Hijack-This-logje dan maar plaatsen?

edit: het gaat wsl niet om een virus, want de volledig geupdate norton 2006 vind niks.

Ik heb sinds een aantal dagen dat ik constant word lastiggevallen met een pop-up rechtsonderin. Komt steeds weer. Staat er dat mijn computer geinfecteerd is.
Plotseling zie ik Spyfalcon 2.0. Allemaal van die dingen die ik niet wil.

Mijn startpagina kan ik niet meer instellen. ik tik als startpagina www.google.com en als ik IE opstart kom ik op http://www.securityprecaution.net/



Ik heb CC cleaner geprobeerd maar werkte niet.
Ook hitmanpro2, maar werkte niet.

[freyk]

Dan volgen jullie beide de volgende stap, no pain n death en spinneman: een hijackthis-log plaatsen.

[SimplyABoy19]

Ik krijg constant spyware in mijn scherm met een waarschijnlijk spaans brabbeltaaltje over of ik lid wil worden of iets dergelijks. Soms flitst het in 1 sec voorbij, soms blijft het staan tot dat ik klik op annuleren (neem aan dat dat er staat). En anderszijds verschijnt er opeens een pop up in beeld met een soort foutmelding (ook in het spaans/italiaans). Ik heb van alles geprobeerd het weg te scannen. Er worden wel steeds problemen aangegeven dan, maar vervolgens wordt het niet verwijderd

Dit is een hijackthis log die ik dan kan plaatsen denk ik?

Logfile of HijackThis v1.99.1
Scan saved at 2:57:05, on 26-2-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\ISafe.exe
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Program Files\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\VetMsg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\ltmoh\Ltmoh.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\PowerKey.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\CtrlVol.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\Program Files\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\CAVTray.exe
C:\Program Files\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\CAVRID.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\TEMP\ddl644.tmp.exe
C:\WINDOWS\TEMP\ddl696.tmp.exe
C:\WINDOWS\TEMP\ddl69C.tmp.exe
C:\WINDOWS\TEMP\ddl6A0.tmp.exe
C:\WINDOWS\TEMP\ddl6A9.tmp.exe
C:\WINDOWS\TEMP\ddl6DA.tmp.exe
C:\WINDOWS\TEMP\ddl6E4.tmp.exe
C:\WINDOWS\TEMP\ddl6FF.tmp.exe
C:\WINDOWS\TEMP\ddl709.tmp.exe
C:\WINDOWS\TEMP\ddl70D.tmp.exe
C:\WINDOWS\TEMP\ddl718.tmp.exe
C:\WINDOWS\TEMP\ddl723.tmp.exe
C:\WINDOWS\TEMP\ddl72B.tmp.exe
C:\WINDOWS\TEMP\ddl733.tmp.exe
C:\WINDOWS\TEMP\ddl744.tmp.exe
C:\WINDOWS\TEMP\ddl747.tmp.exe
C:\WINDOWS\TEMP\ddl74E.tmp.exe
C:\WINDOWS\TEMP\ddl752.tmp.exe
C:\WINDOWS\TEMP\ddl765.tmp.exe
C:\WINDOWS\TEMP\ddl769.tmp.exe
C:\WINDOWS\TEMP\ddl76D.tmp.exe
C:\WINDOWS\TEMP\ddl771.tmp.exe
C:\WINDOWS\TEMP\ddl775.tmp.exe
C:\WINDOWS\TEMP\ddl779.tmp.exe
C:\WINDOWS\TEMP\ddl77D.tmp.exe
C:\WINDOWS\TEMP\ddl781.tmp.exe
C:\WINDOWS\TEMP\ddl785.tmp.exe
C:\WINDOWS\TEMP\ddl789.tmp.exe
C:\WINDOWS\TEMP\ddl78D.tmp.exe
C:\WINDOWS\TEMP\ddl791.tmp.exe
C:\WINDOWS\TEMP\ddl795.tmp.exe
C:\WINDOWS\TEMP\ddl799.tmp.exe
C:\WINDOWS\TEMP\ddl79D.tmp.exe
C:\WINDOWS\TEMP\ddl7A1.tmp.exe
C:\WINDOWS\TEMP\ddl7A5.tmp.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\TEMP\ddl7A7.tmp.exe
C:\WINDOWS\TEMP\ddl7AB.tmp.exe
C:\Program Files\K-Lite Codec Pack\Media Player Classic\mplayerc.exe
C:\WINDOWS\TEMP\ddl7BB.tmp.exe
C:\WINDOWS\TEMP\ddl7BF.tmp.exe
C:\WINDOWS\TEMP\win1FE.tmp.exe
C:\WINDOWS\System32\msiexec.exe
C:\WINDOWS\TEMP\win36.tmp.exe
C:\WINDOWS\TEMP\ddl7C7.tmp.exe
C:\WINDOWS\TEMP\win1FE.tmp.exe
C:\WINDOWS\TEMP\ddl7E5.tmp.exe
C:\WINDOWS\TEMP\win36.tmp.exe
C:\WINDOWS\TEMP\ddl7E8.tmp.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\GEBRUI~1\LOCALS~1\Temp\Rar$EX00.281\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.comingsoon.net/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Program Files\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [HotkeyApp] C:\Program Files\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [CaAvTray] "C:\Program Files\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\CAVTray.exe"
O4 - HKLM\..\Run: [CAVRID] "C:\Program Files\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\CAVRID.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Zoeken - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Woord vertalen in het Nederlands - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Gelijkwaardige pagina's - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Koppelingspagina's - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Opgeslagen momentopname van de pagina - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~2\tools\iesdpb.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/reso...an8/oscan8.cab
O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} - http://yax-download.yazzle.net/Yazzl...cab?refid=1123
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab31267.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: MsgPlusLoader.dll
O20 - Winlogon Notify: winmmt32 - C:\WINDOWS\SYSTEM32\winmmt32.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: CAISafe - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\ISafe.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: VET Message Service (VETMSGNT) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\VetMsg.exe

Hoop dat iemand mij verder kan helpen, wanneer nog nodig probeer ik ook wel een screenshot te regelen...

[freyk]

Doe het volgende:

1. ga naar je processenlijst (ctrl+alt+del) -> taakbeheer -> tabblad processen.
2. Sluit daar alle ddl(willekeurige cijfer).tmp.exe.
3. Klik op mijn computer -> c-schijf -> mapje windows -> mapje temp en verwijder daar alle ddl(willekeurige cijfer).tmp.exe

Gooi er desnoods nog ff een virusscanner eroverheen.

[SimplyABoy19]

Citaat:

freyk schreef op 26-02-2006 @ 12:17 :
Doe het volgende:

1. ga naar je processenlijst (ctrl+alt+del) -> taakbeheer -> tabblad processen.
2. Sluit daar alle ddl(willekeurige cijfer).tmp.exe.
3. Klik op mijn computer -> c-schijf -> mapje windows -> mapje temp en verwijder daar alle ddl(willekeurige cijfer).tmp.exe

Gooi er desnoods nog ff een virusscanner eroverheen.

Meerdere keren geprobeerd, maar het blijft terugkomen

[M@rco]

Adaware, Spybot en MS Antispyware al geprobeerd?

Probeer ook niet meer dan één virusscanner te draaien, twee of meer gaan elkaar vaak in de weg zitten en vertragen je systeem.

[freyk]

Wat je ook misschien nog kan doen is, SimplyABoy19:

1. start -> uitvoeren -> cmd
2. in het zwarte venster typ je in:
   regsvr32 /u C:\WINDOWS\SYSTEM32\winmmt32.dll
   Druk dan op de enter-toets en wacht op het berichtje dat wnmnt32 is uitgeschakeld.
   Lukt dat niet, dan kan je nog het proberen met ibprocman.
3. Daarna ga je naar deze computer > c-schijf > mapje windows > mapje system32 en daarin verwijder je winmmt32.dll.

Kan je ze niet vinden, dan kunnen ze verborgen zijn.
deze computer -> extra -> mapopties -> weergave -> verborgen bestanden weergeven.

hier staat mijn hijackthis log.
Succes ermee:

http://home.planet.nl/~kazem034/files/hijackthis.log

[freyk]

Doe het volgende, spinneman:

1. druk op ctrl-alt-del -> taakbeheer -> processen en sluit daar spyfalcon.exe.
   Of sluit deze af met ibprocman.
2. Ga naar deze computer > c-schijf > mapje program files > en verwijder daar de map spyfalcon (met inhoud).

ok gedaan.

Hier is de hijackthis-log:

Logfile of HijackThis v1.99.1
Scan saved at 18:44:03, on 26-2-2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\mssearchnet.exe
C:\WINDOWS\System32\nvctrl.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\SpyFalcon\SpyFalcon.exe
C:\Program Files\SpyFalcon\SpyFalcon.exe
C:\Documents and Settings\Sina\Desktop\hijackthis\HijackThis.exe

O2 - BHO: HomepageBHO - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\System32\hp93B6.tmp
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [SpyFalcon] C:\Program Files\SpyFalcon\SpyFalcon.exe /h
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/1413cbbc...p/RdxIE601.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2EAE19F0-FD24-4E13-8171-5317DA33312C}: NameServer = 195.121.1.34 195.121.1.66
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

[freyk]

Citaat:

freyk schreef op 26-02-2006 @ 18:57 :
Doe het volgende, spinneman:

1. druk op ctrl-alt-del -> taakbeheer -> processen en sluit daar spyfalcon.exe.
   Of sluit deze af met ibprocman.
2. Ga naar deze computer > c-schijf > mapje program files > en verwijder daar de map spyfalcon (met inhoud).

[Multilot]

Ik heb mn hele pc doorzocht, maar ik kan niks vinden. Virusscanner kan niks vinden, hitmanpro ook niet. Eerst kon ik de pc niet meer opstarten, er stond een foutmelding dat:
C://windows/system32/windows/config (volgens mij was het zo0 niet bestond of beschadigd was. Met behulp van de windows xp cd heb ik hem weer op kunnun starten, toch doet hij nog steeds vreemd en sloom. Hopelijk kunnen jullie me helpen!

Logfile of HijackThis v1.99.1
Scan saved at 17:02:26, on 27-2-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\ISafe.exe
C:\WINDOWS\system32\HPConfig.exe
C:\Program Files\HPQ\Notebook Utilities\HPWirelessMgr.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\carpserv.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\bcmwltry.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe
C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\DOCUME~1\MORSIN~1\LOCALS~1\Temp\Tijdelijke map 1 voor hijackthis[1].zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/2Q00CPT/0413/bF8.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [Display Settings] C:\Program Files\HPQ\Notebook Utilities\hptasks.exe /s
O4 - HKLM\..\Run: [QT4HPOT] C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [bcmwltry] bcmwltry.exe
O4 - HKLM\..\Run: [RemoveCpl] RemoveCpl.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [CaAvTray] "C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe"
O4 - HKLM\..\Run: [CAVRID] "C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Kodak EasyShare software.lnk = C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: Kodak software updater.lnk = C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~2\tools\iesdpb.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {1663ed61-23eb-11d2-b92f-008048fdd814} (MeadCo ScriptX Basic) - http://www.meadroid.com/scriptx/ScriptX.cab
O16 - DPF: {1E2941E3-8E63-11D4-9D5A-00902742D6E0} (iNotes Class) - https://ebmsg03.saxion.nl/iNotes.cab
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.mijnalbum.nl/skin/system/...eUploader3.cab
O16 - DPF: {D83C1BD1-DCBB-11D4-9425-0050BF33FA6E} (CycloScopeLite Control) - http://www.cyclomedia.nl/download/co...oScopeLite.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{65CD7A71-622F-4C57-A2AD-64EABA04D042}: NameServer = 157.157.191.109
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: CAISafe - Computer Associates International, Inc. - C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\ISafe.exe
O23 - Service: HP Configuration Interface Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\system32\HPConfig.exe
O23 - Service: HPWirelessMgr - Hewlett-Packard Co. - C:\Program Files\HPQ\Notebook Utilities\HPWirelessMgr.exe
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: VET Message Service (VETMSGNT) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe

[M@rco]

Ik zie ook niks vreemds.

Ik zie wel dat je 2 virusscanners draait (eTrust Antivirus en NOD32), dat komt de prestaties van je computer ook niet ten goede. Beter kies je er één uit die je wilt houden, en verwijder je de andere

[namnatulco]

help!
hijackthis

ik heb een systeemscan gedaan met:
avast! antivirus
hitman pro

ik heb zelf met taskmgr, hijackthis, hijackthis log analyzer, startuplist en eigen kennis rondgekeken, maar niets gevonden.

ik kreeg deze error op het moment dat ik firefox probeerde te restarten.

ik draai winXP SP2 (home) met firefox 1.5.0.1

alvast bedankt voor de hulp

[M@rco]

Je hebt geen spyware en ook geen virussen. Die foutmelding komt - als ik me niet vergis - van Winamp, ik heb hem zelf ook weleens gehad.

[namnatulco]

Citaat:

M@rco schreef op 27-02-2006 @ 23:41 :
Je hebt geen spyware en ook geen virussen. Die foutmelding komt - als ik me niet vergis - van Winamp, ik heb hem zelf ook weleens gehad.

huh, ik draaide winamp nieteens komt waarschijnlijk door die foxytunes plugin dan

[freyk]

Als je de fout error eens op google zoekt, zie je dat het een plugin is voor winamp.
Toen je dit logje maakte, had je wel winamp aanstaan vanwege
"C:\Program Files\Winamp\Winamp.exe" bij je draaiende processen, namnatulco.

[SimplyABoy19]

M@rco en Freyk, tnx, volgens mij ben ik van het gedoe af

[Rachel]

Hoi, ik zit ook weer met een probleempje. Ik was iets aan het downloaden vanmiddag en toen gaf hij een viruswaarschuwing. Hij zei dat hij het weggegooid had, maar (achteraf) was dat niet zo, want er werd meteen iets geinstalleerd. Nu is het zo dat LimeWire heel de tijd zelf opstart en 2 dingen krijg ik niet weg met Spybot. En ik krijg de hele tijd pop-ups met vage dingen erin.

Deze krijg ik niet meer weg: (of naja, dat netwerk monitor heb ik gewoon verwijderd bij program files, maar of dat nut heeft...)


Naja, hier mijn HijackThis-ding


Logfile of HijackThis v1.99.1
Scan saved at 21:20:45, on 28-2-2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\UmFjaGVs\command.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\soundman.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe
C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\outlook\outlook.exe
C:\WINDOWS\System32\winlog.exe
C:\Program Files\Netropa\Onscreen Display\OSD.exe
C:\winsysban12.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Pulse\Pulse.exe
C:\Program Files\Samsung\Digimax Viewer 2.0\STImgBrowser.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\Program Files\LimeWire\LimeWire.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Rachel Oomen\Mijn documenten\Programma's\HijackThis.exe
C:\Program Files\Messenger\msmsgs.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.home.nl
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.2607.0\nl\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [MMTray] C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [mmtask] C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [outlook] C:\Program Files\outlook\outlook.exe /auto
O4 - HKLM\..\Run: [winlog] winlog.exe
O4 - HKLM\..\Run: [winsysupd] C:\\winsysupd12.exe
O4 - HKLM\..\Run: [winsysban] C:\\winsysban12.exe
O4 - HKLM\..\Run: [gimmygames] C:\\gimmygames12.exe
O4 - HKLM\..\RunServices: [winlog] winlog.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [Pulse] C:\Program Files\Pulse\Pulse.exe -splash
O4 - HKCU\..\Run: [mwuk] C:\PROGRA~1\COMMON~1\mwuk\mwukm.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Digimax Viewer 2.0.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Snelstart HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: *.musicmatch.com
O15 - Trusted Zone: *.musicmatch.com (HKLM)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab28578.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab30149.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {18D9C485-7EEC-4395-95DA-DC3875B10E81} (TEInstallPlugIn) - http://www.skylinesoft.com/interacti...tallPlugIn.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab28578.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://207.188.7.150/038ee7240e2da38...p/RdxIE601.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://virusscan.zdnet.nl/housecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab
O16 - DPF: {9AA73F41-EC64-489E-9A73-9CD52E528BC4} (ZoneAxRcMgr Class) - http://messenger.zone.msn.com/binary/ZAxRcMgr.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab30149.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary...t.cab30149.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game16.zylomgames.com/activex...amesplayer.cab
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/f/532/6712/.../Installer.exe
O16 - DPF: {C9A703E2-3145-11D8-813C-005022E14DE2} (Installer Class) - http://www.looknmeet.be:8080/lnm_v4/...tInstaller.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game16.zylomgames.com/activex/zylomloader.cab
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://asp02.photoprintit.de/microsi...ex/XUpload.ocx
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...20/mcfscan.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...reShowdown.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: ShellServiceObjectDelayLoad - C:\WINDOWS\system32\mvjul9191.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\UmFjaGVs\command.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe


Ik ben zelf overigens niet zo heeél handig, dus ik durf zelf niet aan bepaalde dingen te zitten als ik niet zeker weet dat ik het goed doe
Oja, doe ik er nu verstandig aan om LimeWire heel de tijd (eigenwijs) terug af te sluiten of kan het geen kwaad als ik hem aan/open laat staan?

[M@rco]

Heb je al in de startpost gekeken bij "Zelf verwijderen"? Daar staan iig alvast een aantal dingen die je kunt proberen.

Verder is Norton behoorlijk waardeloos en heb je niet eens Service Pack 2 (voor Windows XP) geïnstalleerd, dat is ook iets wat het risico op zulke problemen behoorlijk vergroot.

[Rachel]

Citaat:

M@rco schreef op 28-02-2006 @ 21:40 :
Heb je al in de startpost gekeken bij "Zelf verwijderen"? Daar staan iig alvast een aantal dingen die je kunt proberen.

Verder is Norton behoorlijk waardeloos en heb je niet eens Service Pack 2 (voor Windows XP) geïnstalleerd, dat is ook iets wat het risico op zulke problemen behoorlijk vergroot.

Ik heb dat inderdaad niet gedaan, omdat ik hoorde dat dat 3x niets was (en aangezien ik een leek ben)
En ja, in die beginpost kan ik wel kijken, maar ik ben niet iemand die daar veel geduld voor heeft & helemaal niet als ik mijzelf ergens dood aan erger

[namnatulco]

ik heb even gezocht op de naam van je verdachte bestand:
C:\winsysban12.exe
raar trouwens dat ik via google maar 1 result kreeg
wat je kunt proberen is ctrl+alt+delete drukken, dan het tabblad processen openen en winsysban12.exe verwijderen (klikken en dan delete en dan ja)
ik denk dat dit erbij hoort:
C:\WINDOWS\UmFjaGVs\command.exe

als het bovenstaande niet werkt kan je het proberen met ibprocman
starten,
C:\winsysban12.exe en
C:\WINDOWS\UmFjaGVs\command.exe
aanklikken, dan kill processes klikken. vervolgens die twee bestanden verwijderen dmv een vriusscanner of gewoon met windows verkenner.

Citaat:

M@rco schreef op 28-02-2006 @ 21:40 :
Heb je al in de startpost gekeken bij "Zelf verwijderen"? Daar staan iig alvast een aantal dingen die je kunt proberen.

Verder is Norton behoorlijk waardeloos en heb je niet eens Service Pack 2 (voor Windows XP) geïnstalleerd, dat is ook iets wat het risico op zulke problemen behoorlijk vergroot.

dat eerste valt te proberen, maar googlen heeft niet zo veel zin, volgens mij valt er niet zo veel te vinden.
verder heeft M@rco wel gelijk als het gaat om Service Pack 2 en norton

over limewire: het kan zijn dat je via hier je virus hebt, maar het is volgens mij niet gevaarlijk om em aan te laten staan (behalve als je ziet datie ineens allemaal rare dingen download )

[Rachel]

- ad-aware is nu aan het draaien
- via die lijst kon ik niets vinden
- ctrl/alt/del werkte net niet, zal het zometeen nog eens proberen

En ja, limewire laat ik nu ook aan, want ik kan bezig blijven met het uitzetten, haha

[freyk]

Doe het volgende, rachel:

1. Fix het volgende met hijackthis:
   C:\WINDOWS\UmFjaGVs\command.exe
   O4 - HKLM\..\Run: [winsysupd] C:\\winsysupd12.exe
   O4 - HKLM\..\Run: [winsysban] C:\\winsysban12.exe
   O4 - HKLM\..\Run: [gimmygames] C:\\gimmygames12.exe
   O4 - HKCU\..\Run: [mwuk] C:\PROGRA~1\COMMON~1\mwuk\mwukm.exe
   O15 - Trusted Zone: *.musicmatch.com
   O15 - Trusted Zone: *.musicmatch.com (HKLM)
   O20 - Winlogon Notify: ShellServiceObjectDelayLoad - C:\WINDOWS\system32\mvjul9191.dll
   O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\UmFjaGVs\command.exe
2. Start -> uitvoeren -> services.msc en zoek daar "Command line Service" en stop het door met de rechtermuisknop erop te klikken en dan "stoppen" te selecteren.
   
   Of je klikt op start -> uitvoeren -> cmd -> sc delete Command Service
3. Start -> uitvoeren -> cmd ->
   regsvr /u C:\WINDOWS\system32\mvjul9191.dll
4. Ga nu naar mijn computer -> c-schijf en verwijder daar de bestanden winsysupd12, winsysban12 en gimmygames12
5. Ga dan naar mapje windows en verwijder daar de map UmFjaGVs met inhoud.
6. Ga nu naar mapje system32 en verwijder daar mvjul9191.dll

Limewire moet uitblijven staan, omdat de virus (of adware) zichzelf probeert te versturen via het programma.

[Rachel]

Freek is mijn held

Ik ga dat even doen

[namnatulco]

Citaat:

freyk schreef op 28-02-2006 @ 22:02 :
Limewire moet uitblijven staan, omdat de virus (of adware) zichzelf probeert te versturen via het programma.

Dat lijkt me vrij onmogelijk, aangezien gebruikers het zelf moeten downloaden. Echter toch een goed idee om hem uit te zetten, maar hoezo krijg je em niet uit, start ie automatisch weer op ofzo?

Citaat:

Rachel schreef op 28-02-2006 @ 22:06 :
Freek is mijn held

Ik ga dat even doen

[Rachel]

Citaat:

namnatulco schreef op 28-02-2006 @ 22:07 :
Dat lijkt me vrij onmogelijk, aangezien gebruikers het zelf moeten downloaden. Echter toch een goed idee om hem uit te zetten, maar hoezo krijg je em niet uit, start ie automatisch weer op ofzo?

Ja :/
Ik zet hem uit en 2 minuten later (ofzo) start hij weer op.
Maar wat hij zegt, dat dacht ik dus ook

[Rachel]

Probleem..
ctrl alt del > wat jij zegt kan ik niet vinden, maar bedoel je dan winlogon.exe? (zoja, dat kan ik niet verwijderen zegt hij)

[freyk]

Foutje van moi,
Het verwijderen van winlogon (stap 2) is een proces van windows, dus dat is niet nodig om dat te doen.

Offtopic:

Citaat:

namnatulco schreef op 28-02-2006 @ 22:07 :
Dat lijkt me vrij onmogelijk

Neu hoor, hij zal wel zo slim zijn om als willekeurige bestandsnamen in limewire te verschijnen.
Zoals ieder andere p2p-virus

[Rachel]

Citaat:

freyk schreef op 28-02-2006 @ 22:02 :
Doe het volgende, rachel:

1. Fix het volgende met hijackthis:
   C:\WINDOWS\UmFjaGVs\command.exe
   niet gevonden
2. Start -> uitvoeren -> services.msc en zoek daar "Command line Service" en stop het door met de rechtermuisknop erop te klikken en dan "stoppen" te selecteren.
   
   Of je klikt op start -> uitvoeren -> cmd -> sc delete Command Service
   
   als ik dat cmd intyp; krijg ik een fout en als ik dat services.msc kies dan staat er command service, maar ik kan niet met rest op stoppen drukken (die optie kan ik niet selecteren
3. Start -> uitvoeren -> cmd ->
   regsvr /u C:\WINDOWS\system32\mvjul9191.dll
4. Ga nu naar mijn computer -> c-schijf en verwijder daar de bestanden winsysupd12, winsysban12 en gimmygames12
5. Ga dan naar mapje windows en verwijder daar de map UmFjaGVs met inhoud.
6. Ga nu naar mapje system32 en verwijder daar mvjul9191.dll

Limewire moet uitblijven staan, omdat de virus (of adware) zichzelf probeert te versturen via het programma.

Zie het onderstreepte
Ik ga nu ook naar bed, maár nu - na 10 minuten ofzo - is LimeWire niet meer zelf opgestart :/

Ik check morgenavond dit topic weer wel

Mijn pc doet nogal vaag de laatste tijd (zie oa het topic over mn usb probleem). Ik heb mn windows opnieuw geinstalleerd eergisteren en sindsdien duurt het opstarten van XP 2 keer zo lang als eerst. Ik snap eigenlijk niet hoe dat kan. Heb bootvis erover heen gegooit, spyware en virussen gechecked, maar dat hielp allemaal niet.

mijn log:
Logfile of HijackThis v1.99.1
Scan saved at 0:41:46, on 1-3-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton Internet Security\NISUM.EXE
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Norton Internet Security\ccPxySvc.exe
C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\CASEMA~1\SMARTB~1\MotiveSB.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\USBToolbox\Res.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Common Files\Real\Update_OB\rnathchk.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\Eigenaar\LOCALS~1\Temp\Rar$EX00.500\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.nl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\CASEMA~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [USB Storage Toolbox] C:\Program Files\USBToolbox\Res.EXE
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Casema SnelHelp.lnk = C:\Program Files\Casema SnelHelp\bin\matcli.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://C:\Program Files\Google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.mijnalbum.nl/skin/system/...eUploader3.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O16 - DPF: {EFAEF0E4-F044-4D57-9900-1C3FF18524C9} (AV Class) - http://www.pcpitstop.com/antivirus/PitPav.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab31267.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\ccPxySvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Program Files\Norton Internet Security\NISUM.EXE
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

hopenlijk kan iemand me helpen, of heeft iemand nog tips om het opstarten sneller te maken.

[M@rco]

Gooi die Norton meuk er eens af. Weer zo één met twee virusscanners