Vraag & Antwoord

Beveiliging & privacy

Hijackthis

5 antwoorden
  • Mijn PC heeft aardig de kuren. Ik kan het systeemherstel niet meer gebruiken en ik kan geen windows updates binnenhalen. Hij geeft iedere keer aan: Mod registry_IniGetString (Sfile=system.ini,sSection=boot,Svalue=shell) Hieronder vermeld hij nog volgende: error =//53 file not found Kunnen jullie hier naar kijken en mij hiermee helpen. Groetjes, Wil Logfile of HijackThis v1.99.1 Scan saved at 2:04:27, on 4-6-2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe C:\Program Files\Norton AntiVirus\navapsvc.exe C:\Program Files\Norton AntiVirus\SAVScan.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe C:\WINDOWS\htpatch.exe C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\Dit.exe C:\Program Files\Medion Home CinemaXL\PowerCinema\PCMService.exe C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe C:\Program Files\Real\RealPlayer\RealPlay.exe C:\Program Files\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe D:\Winamp\winampa.exe C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\PROGRA~1\Aquatica\AQ3HEL~1.EXE C:\WINDOWS\DitExp.exe D:\MSN-PLUS7\MsgPlus1.exe C:\Program Files\Microsoft AntiSpyware\gcasServ.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Messenger\msmsgs.exe C:\cdfoon\cdftray.exe C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\SoftwareDistribution\Download\Install\NDP1.0sp3-KB886906-X86-Nld.exe C:\WINDOWS\TEMP\SL9.tmp C:\WINDOWS\system32\msiexec.exe C:\WINDOWS\system32\MsiExec.exe c:\progra~1\intern~1\iexplore.exe C:\DOCUME~1\clevers\LOCALS~1\Temp\Tijdelijke map 11 voor hijackthis.zip\HijackThis.exe C:\PROGRA~1\MICROS~4\Office10\OUTLOOK.EXE C:\Program Files\Microsoft Office\Office10\WINWORD.EXE C:\Program Files\Microsoft AntiSpyware\GIANTAntiSpywareMain.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen R3 - URLSearchHook: (no name) - _{00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file) F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe O2 - BHO: (no name) - {613B1DCF-4594-F0C6-E786-813EB1CEE600} - C:\DOCUME~1\nick\APPLIC~1\SITENU~1\Doeserror.exe (file missing) O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg O4 - HKLM\..\Run: [PCMService] C:\Program Files\Medion Home CinemaXL\PowerCinema\PCMService.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [Ulead Memory Card Detector] C:\Program Files\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe O4 - HKLM\..\Run: [WinampAgent] D:\Winamp\winampa.exe O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [AQ3HelperStartUp] C:\PROGRA~1\Aquatica\AQ3HEL~1.EXE /partner AQ3 O4 - HKLM\..\Run: [bitjrxcibcm] C:\WINDOWS\System32\wuukimcf.exe O4 - HKLM\..\Run: [upload regs warn joy] C:\Documents and Settings\All Users\Application Data\show mode upload regs\intramess.exe O4 - HKLM\..\Run: [AXGi0xM] C:\WINDOWS\eiecl.exe O4 - HKLM\..\Run: [AXGi09¿Ì*ú]Mú*ÀaîžaC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\eiecl.exe O4 - HKLM\..\Run: [AXGi09¿Ì*ú*ÀaîžaaøYC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\eiecl.exe O4 - HKLM\..\Run: [AXGi09¿Ì*ú*ÀaîžaaîžC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\eiecl.exe O4 - HKLM\..\Run: [AXGi09¿Ì*ÀaîžaaøY§C:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\eiecl.exe O4 - HKLM\..\Run: [AXGi09¿Ì*ÀaîžaaîžaaC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\eiecl.exe O4 - HKLM\..\Run: [- ] C:\WINDOWS\eiecl.exe O4 - HKLM\..\Run: [Lcibtplm] C:\Program Files\Oiqfea\Gdxg.exe O4 - HKLM\..\Run: [MessengerPlus3] "D:\MSN-PLUS7\MsgPlus1.exe" O4 - HKLM\..\Run: [Isass] C:\WINDOWS\system32\Isass.exe O4 - HKLM\..\Run: [TeamSaveTheChin] C:\Documents and Settings\All Users\Application Data\skip flap team save\Rect That.exe O4 - HKLM\..\Run: [ImInstaller_IncrediMail] C:\DOCUME~1\maike\LOCALS~1\Temp\ImInstaller\IncrediMail\incredimail_install.exe -startup -product IncrediMail -skip_dialog language -skip_dialog info O4 - HKLM\..\Run: [Windows Workstation Service (32-bits)] wkssvc32.exe O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe" O4 - HKLM\..\Run: [Spyware Stormer] C:\Program Files\Spyware Stormer\SpywareStormer.Exe O4 - HKLM\..\RunServices: [Isass] C:\WINDOWS\system32\Isass.exe O4 - HKLM\..\RunServices: [Windows Workstation Service (32-bits)] wkssvc32.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [CDFoon System-Tray] C:\cdfoon\cdftray.exe O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart O4 - HKCU\..\Run: [areslite] "C:\Documents and Settings\clevers\Mijn documenten\Mijn muziek\Ares Lite Edition\AresLite.exe" -h O4 - HKCU\..\Run: [modeping] C:\DOCUME~1\clevers\APPLIC~1\DVDMFC~1\eq trust deaf.exe O4 - HKCU\..\Run: [WeatherCast] "C:\Program Files\WeatherCast\Weather.exe" /q O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZSzeb029 O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Gelijkwaardige pagina's - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html O8 - Extra context menu item: Koppelingspagina's - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Opgeslagen momentopname van de pagina - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O12 - Plugin for .png: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll O12 - Plugin for ôå: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab O16 - DPF: {3F2705D0-C9D8-4020-A15C-E495A0050EC6} (Easywebinstaller Control) - http://s7.blingblingcontent.com/toolbarcash/activex/easywebinstaller.ocx O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab30149.cab O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe O23 - Service: Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
  • Kan je dat niet beter in Beveiliging & privacy posten? Vraag een moderator of 'ie je topic kan verplaatsen...
  • Waarschijnlijk ook op die link geklikt die via de Messenger kwam binnenwaaien, er zijn inmiddels een aantal topics hier met deze infectie. [b:de7f66f5d5]O4 - HKLM\..\RunServices: [Windows Workstation Service (32-bits)] wkssvc32.exe O4 - HKLM\..\Run: [Windows Workstation Service (32-bits)] wkssvc32.exe [/b:de7f66f5d5] De foutmeldingen die je krijgt zijn heel kenmerkend voor deze infectie. Lees ook hier: http://forum.computertotaal.nl/phpBB/viewtopic.php?t=145184 In je log zijn ook een aantal andere infecties zichtbaar
  • Download the hoster: http://www.funkytoad.com/download/hoster.zip . Unzip het programma, run het, klik op Restore Original Hosts, klik op OK en sluit het programma af. Download Pocket Killbox: http://www.bleepingcomputer.com/files/spyware/KillBox.zip Plaats killbox.exe op je bureaublad. Dubbelklik op killbox.exe om het programma te starten. Selecteer de optie “Delete on reboot”. Kopieer onderstaande bestanden: [code:1:b636125987]C:\a.bat C:\b.bat C:\sirh0t32.pif C:\system.ini C:\system.exe C:\WINDOWS\System32\wkssvc32.exe[/code:1:b636125987] Kies in het menu File voor “Paste from clipboard”. Klik op de rode knop met het witte kruis om de bestanden te verwijderen. Wanneer je de melding krijgt “All listed files will be deleted on next reboot”, klik je op Yes. In het scherm “files will be removed on reboot, do you want to reboot now?” klik je op Yes. Als Killbox deze vraag niet stelt, of als je een foutmelding krijgt, herstart je de computer zelf. Verwijder de map c:\windows\system32\software. Ga naar start – uitvoeren en tik in: [code:1:b636125987] sc delete GencTurK RootKit Driver [/code:1:b636125987] Klik op OK Darna geef je het volgende commando in: [code:1:b636125987]sc delete GencTurK RootKit[/code:1:b636125987] Klik op OK Open een klablokbestand. Kopieer onderstaande code in dit kladblokbestand. Ga naar Bestand - Opslaan als. Bij "Opslaan in" kies je: Bureaublad Bij "Bestandsnaam" zet je: fix.reg Bij "Opslaan als type" selecteer je: Alle bestanden (*.*). Klik op de knop Opslaan. [code:1:b636125987]REGEDIT4 [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\GencTurK RootKit Driver] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\GencTurK RootKit] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Safeboot\Minimal\GencTurK RootKit] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Safeboot\Network\GencTurK RootKit] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GencTurk RootKit] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GencTurk RootKit Driver] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Safeboot\Minimal\GencTurK RootKit] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Safeboot\Network\GencTurK RootKit] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\GencTurk RootKit] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\GencTurk RootKit Driver] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Safeboot\Minimal\GencTurK RootKit] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Safeboot\Network\GencTurK RootKit] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\GencTurk RootKit] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\GencTurk RootKit Driver] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Windows Workstation Service (32-bits)"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] "Windows Workstation Service (32-bits)"=- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "Windows Workstation Service (32-bits)"=- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess] "Start"=dword:00000002 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CiSvc] "Start"=dword:00000003 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSDTC] "Start"=dword:00000003 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc] "Start"=dword:00000002 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv] "Start"=dword:00000002 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole] "EnableDCOM"="Y" "EnableRemoteConnect"="Y" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] "restrictanonymous"=dword:00000000 [HKEY_CURRENT_USER\Software\Kazaa\LocalContent] "Dir0"=- [/code:1:b636125987] Dubbelklik op de fix.reg file en laat de wijzigingen aan het register toevoegen. Herstart de computer . Download en installeer [url=http://www.ccleaner.com/]CCleaner[/url]. Gebruik het programma nog niet. Je hebt HijackThis gestart vanuit de zip in je Temp-map. Unzip HijackThis, en plaats HijackThis.exe in een eigen map (vb.: c:\hijackthis). Start HijackThis uit deze map. De reden hiervoor is dat HijackThis backups maakt van de sleutels die je verwijdert, en misschien kunnen we deze backups wel eens een keer nodig hebben. In je Temp-map gaan deze backups heel makkelijk verloren. Start de computer op in veilige modus. Hoe je dit doet kan je [url=http://users.telenet.be/marcvn/spyware/1378056.htm]hier[/url] lezen. Sluit alle open vensters, run HijackThis nog een keer en plaats een vinkje bij de volgende items: [b:b636125987]R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R3 - URLSearchHook: (no name) - _{00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file) F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe O2 - BHO: (no name) - {613B1DCF-4594-F0C6-E786-813EB1CEE600} - C:\DOCUME~1\nick\APPLIC~1\SITENU~1\Doeserror.exe (file missing) O4 - HKLM\..\Run: [bitjrxcibcm] C:\WINDOWS\System32\wuukimcf.exe O4 - HKLM\..\Run: [upload regs warn joy] C:\Documents and Settings\All Users\Application Data\show mode upload regs\intramess.exe O4 - HKLM\..\Run: [AXGi0xM] C:\WINDOWS\eiecl.exe O4 - HKLM\..\Run: [AXGi09¿Ì*ú]Mú*ÀaîžaC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\eiecl.exe O4 - HKLM\..\Run: [AXGi09¿Ì*ú*ÀaîžaaøYC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\eiecl.exe O4 - HKLM\..\Run: [AXGi09¿Ì*ú*ÀaîžaaîžC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\eiecl.exe O4 - HKLM\..\Run: [AXGi09¿Ì*ÀaîžaaøY§C:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\eiecl.exe O4 - HKLM\..\Run: [AXGi09¿Ì*ÀaîžaaîžaaC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\eiecl.exe O4 - HKLM\..\Run: [- ] C:\WINDOWS\eiecl.exe O4 - HKLM\..\Run: [Lcibtplm] C:\Program Files\Oiqfea\Gdxg.exe O4 - HKLM\..\Run: [Isass] C:\WINDOWS\system32\Isass.exe O4 - HKLM\..\Run: [TeamSaveTheChin] C:\Documents and Settings\All Users\Application Data\skip flap team save\Rect That.exe O4 - HKLM\..\Run: [Spyware Stormer] C:\Program Files\Spyware Stormer\SpywareStormer.Exe O4 - HKLM\..\RunServices: [Isass] C:\WINDOWS\system32\Isass.exe O4 - HKCU\..\Run: [modeping] C:\DOCUME~1\clevers\APPLIC~1\DVDMFC~1\eq trust deaf.exe O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZSzeb029 O16 - DPF: {3F2705D0-C9D8-4020-A15C-E495A0050EC6} (Easywebinstaller Control) - http://s7.blingblingcontent.com/toolbarcash/activex/easywebinstaller.ocx[/b:b636125987] Klik daarna op "Fix checked" en sluit HijackThis af. Herstart de computer. Start HijackThis opnieuw, maak een nieuwe log en post deze. Open een klablokbestand. Kopieer onderstaande code in dit kladblokbestand. Ga naar Bestand - Opslaan als. Bij "Opslaan in" kies je: Bureaublad Bij "Bestandsnaam" zet je: vindjob.bat Bij "Opslaan als type" selecteer je: Alle bestanden (*.*). Klik op de knop Opslaan. [code:1:b636125987]dir %Windir%\tasks /a:h > files.txt notepad files.txt[/code:1:b636125987] Dubbelklik op vindjob.bat. Er opent een kladblokbestand. Post de inhoud van dit kladblokbestand.
  • Samen met M@rc ben ik het afgelopen weekend bezig geweest om te analiseren welke impact deze trojan had op de PC. Dit ging met -tig mailtjes heen en weer. Uiteindelijk heeft M@rc enkele bestanden in elkaar gezet en in een zip-file geplaatst. Download het bestand [url=http://users.pandora.be/marcvn/tools/gencturkfix.zip]GencTurk.zip[/url] Pak het uit op je op het bureaublad. Er wordt een folder [b:f4a0650e98]gencturkfix[/b:f4a0650e98] aangemaakt. Dubbelklik op deze folder en klik op [b:f4a0650e98]removeserv.bat[/b:f4a0650e98] Dit verwijdert de opstartsleutels en de ongewenste services uit het register en het past een aantal instellingen aan die door de infectie veroorzaakt zijn. Er verschijnt even een dosscherm. Wanneer dit sluit herstart je de computer. Na de computer opnieuw gestart te hebben, dubbelklik je op [b:f4a0650e98]delfiles.bat[/b:f4a0650e98]. Hierdoor worden de bestanden van de trojan verwijderd. Nu heb je nog de mogelijkheid om de start-status van enkele services aab te passen. Dit kan door op het bijbehorende reg-bestand te klikken en de wijzigingen aan het register toe te laten voegen. [b:f4a0650e98]update.reg[/b:f4a0650e98]: Schakelt de Automatische updates service weer in. [b:f4a0650e98]security_center.reg[/b:f4a0650e98]: Schakelt het Security Center weer in. Alleen voor SP2 [b:f4a0650e98]msdtc.reg[/b:f4a0650e98]: zet de service Distributed Transaction Coördinator op handmatig. [b:f4a0650e98]indexing_service.reg[/b:f4a0650e98]: zet de Indexing Service op handmatig. [b:f4a0650e98]wf_ics.reg[/b:f4a0650e98]: zet de service Windows Firewall (WF) / Internet-verbinding delen (ICS) weer op ingeschakeld. [b:f4a0650e98]netwerk_shares.reg[/b:f4a0650e98]: herstelt netwerkshares voor als je via een netwerk de bestanden deelt. Om deze services werkelijk te activeren zul je de PC nogmaals moeten herstarten. Sjaak & M@rc

Beantwoord deze vraag

Weet jij het antwoord op deze vraag? Registreer of meld je aan met je account

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.