[Centraal] Spyware & Adware [3]

[Jochem12]

Citaat:

freyk schreef op 20-12-2005 @ 18:41 :
Omdat je al niks kan doen in de veilige modus maar wel bestanden kan verwijderen (en dus ook kopieeren).
Raad ik je aan om alle bestanden die je wil houden te kopieeren naar een andere computer en de besmette computer te formateren, boer.

Zover ik het weet bestaan er geen andere programma's, dan windows systeemherstel die die " paar uurtjes " kunnen terugzetten.
In iedergeval raad je ik je aan om tijdelijk je virusscanner uit te zetten en een logje te maken met hijackthis en deze hier te posten, Jochem12.

naja het probleem is dat ik niets kan downloaden, omdat zodra ik het internet kabeltje erin steek hij e-mails probeert te gaan sturen. Maar ik kan nu wel systeemherstel doen, want als ik niet op internet ben aangesloten kan ik dat wel doen(waar pas na die post achter kwam).

ik zit nu trouwens op een andere pc

[boer]

bedankt freyk, ik ga het proberen

[freyk]

Je kent het gezegde wel: "er leiden meerdere wegen naar rome".
Dus dan raad ik je aan om hijackthis ergens anders te downloaden, deze uit te pakken op een diskette/usb/enz en dan op je besmette computer op te starten.
De log wat je dan maakt sla je weer op en post dan die log met je andere computer hier op het forum, Jochem12.

[Spacemonkey]

Ook mijn computer wil niet meer zoals eerst, ben bang dta er toch iets op zit, ondanks dat er vrij regelmatig een scan overgaat.
Hier is mijn log, als iemand er even naar zou willen kijken zou dat heel fijn zijn

Logfile of HijackThis v1.99.1
Scan saved at 12:58:31, on 21-12-05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2614.3500)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAM FILES\PLUS!\VIRUSCAN\VSHWIN32.EXE
C:\PROGRAM FILES\NORTON UTILITIES\NPROTECT.EXE
C:\PROGRAM FILES\MESSENGER PLUS! 2\MSGPLUS.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\TBRIDGE\FLATBED.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\HPZTSB09.EXE
C:\WINDOWS\DIT.EXE
C:\PROGRAM FILES\GRISOFT\AVG FREE\AVGCC.EXE
C:\PROGRAM FILES\GRISOFT\AVG FREE\AVGEMC.EXE
C:\PROGRAM FILES\GRISOFT\AVG FREE\AVGAMSVR.EXE
C:\PROGRAM FILES\NORTON UTILITIES\SYSDOC32.EXE
C:\PROGRAM FILES\ULEAD SYSTEMS\ULEAD PHOTO EXPRESS 4.0 SE\CALCHECK.EXE
C:\PROGRAM FILES\NIKON\NKVIEW6\NKVMON.EXE
C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TEMP\TD_0001.DIR\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.nl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
F1 - win.ini: load=C:\TBridge\Flatbed.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: . - {587DBF2D-9145-4c9e-92C2-1F953DA73773} - C:\WINDOWS\APPLICATION DATA\WINWA\WINWA32.DLL (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [Taakcontrole] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG.EXE -off
O4 - HKLM\..\Run: [VsecomrEXE] C:\PROGRA~1\PLUS!\Viruscan\VSECOMR.EXE
O4 - HKLM\..\Run: [Vshwin32EXE] C:\PROGRA~1\PLUS!\Viruscan\VSHWIN32.EXE
O4 - HKLM\..\Run: [NPROTECT] C:\Program Files\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb09.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGCC.EXE /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGEMC.EXE
O4 - HKLM\..\Run: [AVG7_AMSVR] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGAMSVR.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [Vshwin32EXE] C:\PROGRA~1\PLUS!\Viruscan\VSHWIN32.EXE /NoSplash
O4 - HKLM\..\RunServices: [NPROTECT] C:\Program Files\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\RunServices: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKCU\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [mslagent] C:\WINDOWS\mslagent\MSLAGENT_.EXE
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE" /background
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Norton System Doctor.lnk = C:\Program Files\Norton Utilities\SYSDOC32.EXE
O4 - Startup: Ulead Photo Express 4.0 SE Calendar Checker .lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O4 - Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView6\NkvMon.exe
O4 - Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .pdf: C:\PROGRA~1\Intern~1\PLUGINS\nppdf32.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab30149.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab30149.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab31267.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://www.hema.nl/site/xupload/XUpload.ocx

[freyk]

Het valt me op dat je niet klaagt over de traagheid van je systeem.
Want je draait 3 virusscanners (avg, mcaffee en virusbeveiliging van windows) tegelijk, scootgirl.

Ik vond maar één verdacht object:

• Fix het volgende met hijackthis:
  O4 - HKCU\..\Run: [mslagent] C:\WINDOWS\mslagent\MSLAGENT_.EXE
• klik dan op "mijn computer" -> c-schijf -> mapje windows en verwijder daar het mapje mslagent (met inhoud)

[Spacemonkey]

Citaat:

freyk schreef op 21-12-2005 @ 14:07 :
Het valt me op dat je niet klaagt over de traagheid van je systeem.
Want je draait 3 virusscanners (avg, mcaffee en virusbeveiliging van windows) tegelijk, scootgirl.

Ik vond maar één verdacht object:

• Fix het volgende met hijackthis:
  O4 - HKCU\..\Run: [mslagent] C:\WINDOWS\mslagent\MSLAGENT_.EXE
• klik dan op "mijn computer" -> c-schijf -> mapje windows en verwijder daar het mapje mslagent (met inhoud)

Ik ben niet anders gewend denk ik, zo kreeg ik die computer aangeleverd!

[Swlabr]

Hoi,

Wil iemand hier ff naar kijken, ik denk dat er wel iets vreemds in zit:

Logfile of HijackThis v1.99.1
Scan saved at 12:05:43, on 31-12-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Panda Software\Panda Platinum 2006 Internet Security\TPSrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Panda Software\Panda Platinum 2006 Internet Security\PavFnSvr.exe
C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
C:\Program Files\Panda Software\Panda Platinum 2006 Internet Security\pavsrv51.exe
C:\Program Files\Panda Software\Panda Platinum 2006 Internet Security\AVENGINE.EXE
C:\Program Files\Panda Software\Panda Platinum 2006 Internet Security\AntiSpam\pskmssvc.exe
C:\Program Files\Panda Software\Panda Platinum 2006 Internet Security\FIREWALL\PNMSRV.EXE
C:\Program Files\Panda Software\Panda Platinum 2006 Internet Security\PsImSvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Panda Software\Panda Platinum 2006 Internet Security\APVXDWIN.EXE
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\Program Files\Spyware Doctor\swdoctor.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\Panda Software\Panda Platinum 2006 Internet Security\SRVLOAD.EXE
C:\Program Files\Panda Software\Panda Platinum 2006 Internet Security\WebProxy.exe
C:\WINDOWS\system32\mmc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\DfrgNtfs.exe
C:\Program Files\Panda Software\Panda Platinum 2006 Internet Security\avciman.exe
C:\Program Files\Panda Software\Panda Platinum 2006 Internet Security\psimreal.exe
C:\Documents and Settings\Ahmed.ALI\Local Settings\Temporary Internet Files\Content.IE5\Q1GX8FAF\hijackthis_199[1]\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.nl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.nl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jeugdjournaal.nl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.nl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.nl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.nl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jeugdjournaal.nl
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Platinum 2006 Internet Security\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [SCANINICIO] "C:\Program Files\Panda Software\Panda Platinum 2006 Internet Security\Inicio.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Program Files\Spyware Doctor\swdoctor.exe" /Q
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.planet.nl
O15 - Trusted Zone: http://www.onlinesoccermanager.nl
O16 - DPF: {10ABC6DB-E091-4EAE-98DD-21B5A2460714} (DetInstaller Class) - http://www.pandasoftware.es/avchecke.../AvDetInst.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{A50BF895-3C3C-4AD0-A166-AB38DE9C190D}: NameServer = 195.121.1.34 195.121.1.66
O23 - Service: Inverse IP InSight Client (InverseLaunchIPI) - Unknown owner - C:\Program Files\IP Insight\LaunchIPI.exe (file missing)
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software - C:\Program Files\Panda Software\Panda Platinum 2006 Internet Security\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Program Files\Panda Software\Panda Platinum 2006 Internet Security\pavsrv51.exe
O23 - Service: Panda Antispam Engine (pmshellsrv) - PANDA SOFTWARE - C:\Program Files\Panda Software\Panda Platinum 2006 Internet Security\AntiSpam\pskmssvc.exe
O23 - Service: Panda Network Manager (PNMSRV) - Panda Software - C:\Program Files\Panda Software\Panda Platinum 2006 Internet Security\FIREWALL\PNMSRV.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - C:\Program Files\Panda Software\Panda Platinum 2006 Internet Security\PsImSvc.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Software - C:\Program Files\Panda Software\Panda Platinum 2006 Internet Security\TPSrv.exe

Citaat:

Darkiekurd schreef op 31-12-2005 @ 12:09 :

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O23 - Service: Inverse IP InSight Client (InverseLaunchIPI) - Unknown owner - C:\Program Files\IP Insight\LaunchIPI.exe (file missing)

Nouja, je kan acroread uitzetten bij het starten, maar ik zag er voor de rest niets bijzonders in.

Behalve dat van de inserse IP insight client dan. Maar wat ik erover vond is dat het iets is wat tiscali gebruikt en de volgende twee dingen:
"After you have connected to the Internet, the Client uploads quality of service metrics, detailed below, to a server at your ISP or corporate site, or at Visual, where it is then provided to your network manager."

"A Visual IP InSight Client which has been activated by the Visual IP InSight Activator may be a short-lived, temporary Client, or it may be designated as a permanent test and diagnostic tool."

Nouja, Ik zou het verwijderen.

Tjo, ik had laatst een trojan gedownload en geinstalleerd. Niet expres overigens, het was een redelijk domme actie, maar niet expres.
Hij heet win32.delf

In de vorm van dit:


Problemen: af en toe is er een process dat zichzelf gewoon msn messenger (msnmgsr staat er volgens mij letterlijk in de taskmanager.) noemt, dat zit dan gigantisch veel CPU te vreten. We hebben het niet over 50 %, maar 98%.
En ik heb gehijackedthis, cccleaner gerund, kaspersky gerund, zonealarm laten scannen, hitmanpro gerund, ad-aware, cwscanner, hijjack free en spybot.
Wat ik tot nu toe over de trojan heb gelezen, is dat het zich als systemprocess laat zien, wat klopt.
Hier issie, draaiend en wel en ik kan 'em niet afsluiten.


Een hijak thisje:
Logfile of HijackThis v1.99.1
Scan saved at 10:01:41 AM, on 1/22/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe
C:\Program Files\Google\Gmail Notifier\gnotify.exe
C:\Program Files\Apoint\Apoint.exe
C:\Program Files\Dell\QuickSet\quickset.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Apoint\Apntex.exe
C:\Program Files\Pulse\Pulse.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINDOWS\system32\wisptis.exe
C:\Program Files\Azureus\Azureus.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Alcohol\Alcohol 120\Alcohol.exe
Z:\Programs\nu2menu\nu2menu.exe
Z:\Programs\Hijack\Hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Program Files\Google\Gmail Notifier\gnotify.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [Pulse] C:\Program Files\Pulse\Pulse.exe -splash
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1136142574906
O20 - Winlogon Notify: IntelWireless - C:\Program Files\Intel\Wireless\Bin\LgNotify.dll
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



Help.

[freyk]

Probeer het maar eens met Itty Bitty Process Manager (van de maker van hijackthis) om de boel te killen.
Misschien is Startuplist 2 nog handig om uit te zoeken welk bestand die deze pijn veroorzaakt.

Citaat:

freyk schreef op 22-01-2006 @ 11:34 :
Probeer het maar eens met Itty Bitty Process Manager (van de maker van hijackthis) om de boel te killen.
Misschien is Startuplist 2 nog handig om uit te zoeken welk bestand die deze pijn veroorzaakt.

Met die process manager zie ik nog steeds 3x svchost draaien, maar bij twee is de path C:\WINDOWS\system32\svchost.exe 5.1.2600.2180 Microsoft Corporation
en bij eentje issie:
C:\WINDOWS\System32\svchost.exe 5.1.2600.2180 Microsoft Corporation
.
Ik kan het niet killen.



Process list saved on 11:45:45 AM, on 1/22/2006
Platform: WinNT 5.01.2600 SP2

[pid] [full path to filename] [file version] [company name]
964 C:\WINDOWS\System32\smss.exe 5.1.2600.2180 Microsoft Corporation
1344 C:\WINDOWS\SYSTEM32\winlogon.exe 5.1.2600.2180 Microsoft Corporation
1392 C:\WINDOWS\system32\services.exe 5.1.2600.2180 Microsoft Corporation
1404 C:\WINDOWS\system32\lsass.exe 5.1.2600.2180 Microsoft Corporation
1560 C:\WINDOWS\system32\svchost.exe 5.1.2600.2180 Microsoft Corporation
1804 C:\WINDOWS\System32\svchost.exe 5.1.2600.2180 Microsoft Corporation
720 C:\WINDOWS\system32\spoolsv.exe 5.1.2600.2696 Microsoft Corporation
1284 C:\Program Files\Intel\Wireless\Bin\EvtEng.exe 9.0.3.0 Intel Corporation
1596 C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe 1.0.0.1 Dell Inc.
1748 C:\WINDOWS\system32\nvsvc32.exe 6.14.10.6771 NVIDIA Corporation
1876 C:\WINDOWS\system32\svchost.exe 5.1.2600.2180 Microsoft Corporation
2800 C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe 9.0.3.0 Intel Corporation
3124 C:\Program Files\Google\Gmail Notifier\gnotify.exe 1.0.25.0 Google Inc.
3528 C:\Program Files\Apoint\Apoint.exe 5.5.101.141 Alps Electric Co., Ltd.
3644 C:\Program Files\Dell\QuickSet\quickset.exe 1.0.0.1
3756 C:\WINDOWS\System32\svchost.exe 5.1.2600.2180 Microsoft Corporation
3880 C:\Program Files\Apoint\Apntex.exe 5.5.1.19 Alps Electric Co., Ltd.
312 C:\Program Files\Pulse\Pulse.exe 1.0.0.1
1704 C:\WINDOWS\system32\ctfmon.exe 5.1.2600.2180 Microsoft Corporation
620 C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe 1.0.0.701 Microsoft Corporation
2452 C:\WINDOWS\system32\wisptis.exe 1.0.2201.0 Microsoft Corporation
3212 C:\Program Files\Azureus\Azureus.exe 1.0.0.0 Aelitis
2412 C:\WINDOWS\explorer.exe 6.0.2900.2180 Microsoft Corporation
2528 C:\Program Files\BSPlayer\bsplayer.exe 1.2.1.816 BST
1944 C:\Documents and Settings\Piloff\Desktop\startuplist\StartupList.exe 2.0.0.0
4076 C:\Documents and Settings\Piloff\Desktop\ibprocman\IBProcMan.exe 1.4.0.0
3040 C:\Program Files\Mozilla Firefox\firefox.exe 1.8.20051.11116 Mozilla Corporation
2848 C:\Documents and Settings\Piloff\Desktop\ibprocman\IBProcMan.exe 1.4.0.0

Oke, laat maar, ik heb windows opnieuw geinstalleerd. Ga dadelijk een image van de schijf maken zodat ik niet weer alles hoef te installeren, dat is om gek van te worden. :/