Vraag & Antwoord

Beveiliging & privacy

(opgelost) MSN virus met WKSSVC32.exe

54 antwoorden
  • Het lijkt me het beste dat je ook even een HijackThis log plaatst hier, dan kunnen we even meekijken wat er allemaal mis is als gevolg van dat virus vr.gr.smeenk :wink:
  • Bedankt voor de aangeboden hulp, ik kan er zelf echt niet uitkomen. Ook ik had na de start een foutmelding, maar daarna de scan verder laten gaan. Hier is het: Logfile of HijackThis v1.99.1 Scan saved at 18:37:40, on 10-6-2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Nieuwe map\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.nl/0SENLNL/SAOS01 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\nl\msntb.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\nl\msntb.dll O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM\..\Run: [TotalRecorderScheduler] "C:\Program Files\HighCriteria\TotalRecorder\TotRecSched.exe" O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\nl\msnappau.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\Home Cinema\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe" O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Home Cinema\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [Windows Workstation Service (32-bits)] wkssvc32.exe O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\APVXDWIN.EXE" /s O4 - HKLM\..\RunServices: [Windows Workstation Service (32-bits)] wkssvc32.exe O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe" O4 - HKCU\..\Run: [Windows Workstation Service (32-bits)] wkssvc32.exe O4 - Global Startup: Adobe Reader Snelle start.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Elsevier Bedrijfsinformatie bv.lnk = C:\Program Files\Elsevier Bedrijfsinformatie bv\Kramers Talen cd-rom 2.0\KT_quickstart.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Common Files\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O15 - Trusted Zone: http://www.orange.nl O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game13.zylomgames.com/activex/zylomgamesplayer.cab O23 - Service: CA License Client (CA_LIC_CLNT) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA License Server (CA_LIC_SRVR) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\Firewall\PavFires.exe O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software - C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\PavFnSvr.exe O23 - Service: Panda Pavkre (Pavkre) - Panda Software - C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\Pavkre.exe O23 - Service: Panda PavProt (PavProt) - Panda Software - C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\PavProt.exe O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\pavsrv51.exe O23 - Service: Panda Preventium+ Service (PREVSRV) - Panda Software - C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\prevsrv.exe O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\PsImSvc.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe Ik ben benieuwd...
  • Als ik even mag Smeenk....(sorry hoor) Download the hoster: http://www.funkytoad.com/download/hoster.zip Unzip het programma, run het, klik op Restore Original Hosts, klik op OK en sluit het programma af. Download gencturkfix.zip: http://users.telenet.be/marcvn/tools/gencturkfix.zip Unzip de bestanden in GencTurk.zip naar je bureaublad. Dubbelklik op removeserv.bat. Er verschijnt even een dosscherm. Wanneer dit sluit herstart je de computer. Na de computer opnieuw gestart te hebben, dubbelklik je op delfiles.bat. Herstart de computer nog een keer en maak een nieuwe hijackthislog. Post deze.
  • M@rc, bedankt, ik ga morgen de suggesties uitvoeren. BTW: de Hijackscan was in de veilige modus omdat ik na een paar keer proberen nog steeds niet in de normale modus kwam. Moet ik deze scan dan ook in de veilige modus doen of maakt het niet uit? Verder nog wat info over de verschijnselen (zijn overigens heel erg hetzelfde als bij andere items in dit forum): Systeemherstel niet te benaderen, geen System & System32 mappen in Veilige of gewone modus zichtbaar (ondanks instelling dat Verborgen Bestanden getoond moeten worden; als ik bij de scan de bestanden volg, lijken ze ook niet gezien te worden door Panda), alles met on- & offline virusscans & -sites onmogelijk (behalve dus Panda gek genoeg; dat is tocg geen slinkse methode om klanten te werven?!?), bestanden zoeken in XP geeft alleen het hondje, geen gebruikeraccounts om instellingen te wijzigen, Regedit werkt niet) en nog wat andere zaken.
  • Problemen zijn me bekend hoor. Na dat je de instructies in mijn vorige post opgevolgd hebt, moet de grootste schade hersteld zijn: - de "system" mappen / bestanden zullen weer verschijnen. - regedit gaat het weer doen - hijackthis zal werken in normale modus (graag een logje uit normale win modus dus.) - de bestanden die deze infectie veroorzaken zijn dan verdwenen. - een aantal registersleutels worden opgekuist.
  • Het ging allemaal gladjes (even snel gekeken naar system-mappen: zijn er weer!), hier de hijackthislog in normale modus. Ik ben benieuwd welke dingen ik nog meer moet doen en of het er zo netjes uitziet!! Logfile of HijackThis v1.99.1 Scan saved at 8:45:41, on 11-6-2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\PavProt.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\System32\SCardSvr.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\svchost.exe C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\WINDOWS\system32\nvsvc32.exe C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\Firewall\PavFires.exe C:\WINDOWS\CNYHKey.exe C:\WINDOWS\Dit.exe C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\mHotkey.exe C:\WINDOWS\AGRSMMSG.exe C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe C:\Program Files\HighCriteria\TotalRecorder\TotRecSched.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\RunDLL32.exe C:\Program Files\MSN Apps\Updater\01.02.3000.1001\nl\msnappau.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\Program Files\Home Cinema\PowerDVD\PDVDServ.exe C:\Program Files\Microsoft AntiSpyware\gcasServ.exe C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe C:\Program Files\Home Cinema\PowerCinema\PCMService.exe C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\APVXDWIN.EXE C:\Program Files\Ahead\Nero BackItUp\NBJ.exe C:\WINDOWS\system32\rundll32.exe C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\Program Files\Elsevier Bedrijfsinformatie bv\Kramers Talen cd-rom 2.0\KT_quickstart.exe C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\PavFnSvr.exe C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\Pavkre.exe C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\pavsrv51.exe C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\prevsrv.exe C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\PsImSvc.exe C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\AVENGINE.EXE C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\WebProxy.exe C:\Nieuwe map\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.nl/0SENLNL/SAOS01 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\nl\msntb.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\nl\msntb.dll O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM\..\Run: [TotalRecorderScheduler] "C:\Program Files\HighCriteria\TotalRecorder\TotRecSched.exe" O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\nl\msnappau.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\Home Cinema\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe" O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Home Cinema\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\APVXDWIN.EXE" /s O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe" O4 - Global Startup: Adobe Reader Snelle start.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Elsevier Bedrijfsinformatie bv.lnk = C:\Program Files\Elsevier Bedrijfsinformatie bv\Kramers Talen cd-rom 2.0\KT_quickstart.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Common Files\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O15 - Trusted Zone: http://www.orange.nl O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game13.zylomgames.com/activex/zylomgamesplayer.cab O23 - Service: CA License Client (CA_LIC_CLNT) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA License Server (CA_LIC_SRVR) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\Firewall\PavFires.exe O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software - C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\PavFnSvr.exe O23 - Service: Panda Pavkre (Pavkre) - Panda Software - C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\Pavkre.exe O23 - Service: Panda PavProt (PavProt) - Panda Software - C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\PavProt.exe O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\pavsrv51.exe O23 - Service: Panda Preventium+ Service (PREVSRV) - Panda Software - C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\prevsrv.exe O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - C:\Program Files\Panda Software\Panda Titanium Antivirus 2005\PsImSvc.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
  • P.S.: ECHT GEWELDIG deze hulp van jou/ jullie!
  • Weet ik nog even vergat te zeggen: nadat ik Defile.bat had gedaan signaleerde & desinfecteerde Panda weer het Gaobot.GXJ virus en een nieuwe: Bck/backdef.AC. En nu blijkt dat Systeemherstel, en Gebruikeraccounts lege schermen geven en Zoeken alleen het hondje. :cry: Er is nog iets niet goed? Ik wacht de reactie(s) af.
  • Mooi zo. Logje ziet er goed uit. Nu moet het opstarttype van een aantal services teruggezet worden naar de standaard-windows-waarde. Open nu de map gencturkfix. Dubbelklik op: - update.reg - security_center.reg - msdtc.reg - indexing_service - wf_ics.reg Telkens je op één van deze bestanden klikt zal je vraag krijgen of de wijzigingen aan het register toegevoegd mogen worden. Sta dit toe. Herstart de computer. Surf wat, kijk eens of er problemen zijn en meld je dan even terug.
  • [quote:faa679a9c8="H.Meinders"]Weet ik nog even vergat te zeggen: nadat ik Defile.bat had gedaan signaleerde & desinfecteerde Panda weer het Gaobot.GXJ virus en een nieuwe: Bck/backdef.AC. En nu blijkt dat Systeemherstel, en Gebruikeraccounts lege schermen geven en Zoeken alleen het hondje. :cry: Er is nog iets niet goed? Ik wacht de reactie(s) af.[/quote:faa679a9c8]Kan zijn. Delfile.bat verwijdert de bestanden die verantwoordelijk zijn voor deze infectie. Het kan zijn dat Panda reageert op het moment dat de bestanden aangesproken worden. Controleer eens of er in de map system32 een map software staat. Meld je even terug.
  • Bewerkingen liepen prima. Na herstart kwam melding van Beveiligingscentrum Windows met de melding dat de antivirusdefinities van Panda verouderd zijn (6-6-05) en een melding van de firewaal van Panda dat system32\drivers\ipnat.sys inkomende verbinding legt, staat als alleen uitgaand geboekt. Ik heb die melding gewoon laten staan, nog geen actie ondernomen. Verder lijkt het systeem sneller geworden. Maar, nog de problemen met Systeemherstel, Gebruikersaccount en Zoeken zijn nog htezelfde. Verder heb ik voordat ik hulp zocht Norton Systemworks 2004 een aantal keren geprobeerd te verwijderen en herinstalleren, wat uiteraard niet lukte. Nu was ik op het punt dat bijna alles weg was. Daar heb ik nog even naar gekeken en Liveupdate kan als laatste Symantec onderdeel in de lijst van Software, niet verwijderd worden omdat Norton Systemworks en Firewall er nog gebruik van zouden maken. Het blijjkt dat er ook nog een venster van Systemworks komt als ik op een link op het bureaublad druk, maar er is geen actieve inhoud. Kan dat nog problemen geven? Moet ik nog meer dingen uitzoeken mbt de virussen?
  • U bent er overigens ook al weer vroeg bij!! Fantastisch!
  • Hallo, Ik raad niet aan om 2 anti-virusprogramma's te gebruiken. Twee Softwarematige firwalls is ook geen aanrader. Die programma's gaan vele van je systeem vragen en elkaar in de weg zitten. Bedoeling is dat Norton er volledig afgaat? Zo ja, probeer de uninstall in veilige modus uit te voeren. Problemen met Systeemherstel: Schakel systeemherstel uit, herstart de computer, schakel systeemherstel weer in. Wat houden de problemen in met "zoeken" en met de gebruikersaccounts?
  • Ik heb precies het zelfde probleem met panda is dit een nieuw en heel gevaarlijk virus of zo ? gr HDL
  • [quote:ed94acd308="HDl"]Ik heb precies het zelfde probleem met panda is dit een nieuw en heel gevaarlijk virus of zo ? gr HDL[/quote:ed94acd308]Ja, als je zelf ook veel problemen hebt die lijken op de problemen hier, zou je ook even een HijackThis log kunnen plaatsen. Kijk even in de FAQ hoe dat moet. Open hiervoor wel een nieuw topic. vr.gr.smeenk :wink:
  • Er bestaat geen map Software in System32, wel Software Distribution met nog een sub- & submap, beiden leeg. Wat betreft Systeemherstel: als ik daar via Configuratiescherm etc. naartoe ga, krijg ik na de eerste klik geen reactie, na de tweede klik een compleet leeg venster met in de balk 'Systeemherstel'. Dus weet ik niet hoe ik Systeemherstel uit kan zetten. Ook Gebruikersaccounts aanklikken geeft een geheel leeg venster. Via Start op Help drukken geeft geen enkele reactie, als ik op Zoeken druk (ook als ik dat doe in Verkenner), krijg ik alleen het hondje in de linker kolom, verder geen tekst om te kunnen aangeven wat ik zoek e.d. Regedit doet het overigens wel weer. Wat kan ik hieraan nu verder nog doen :-? Wat betreft de antivirus- & firewallsoftware: daarin was ik wellicht niet helemaal duidelijk. Ik heb Norton Systemworks, wil dat ook weer terug en had Panda alleen geinstalleerd omdat Norton Antivirus/ Firewall en de rest geloof ik ook niet niet meer werkte en Panda wel. Norton Antivirus was toen ik Panda installeerde al verwijderd (ik ga ervanuit dat dat nu ook helemaal het geval is), evenals de Norton Firewall. Voor zover ik weet draaien die nu beiden ook niet.
  • De problemen die ontstaan met systeemherstel, de gebruikersaccounts en de zoekfunctie zijn in mijn ogen niet rechtstreeks het gevolg van deze infectie. Info over systeemherstel vind je hier: http://users.telenet.be/marcvn/spyware/1852808.htm Probeer dat even. Meld je terug met een update van de problemen. Hoe staat het met de je AV-programma's? Norton terug aan de praat gekregen? groeten, Marc
  • Systeemherstel heb ik uitgezet (via Deze Computer zoals je op je site hebt aangegeven) en na herstart weer aan. Daarna geprobeerd om Systeemherstel te bekijken, maar het probleem blijft hetzelfde: een geheel leeg venster. Dat geldt ook voor Start\Help en Start\Zoeken (of Ctrl-F). Die functies of links, of??? lijken uitgeschakeld te zijn. Je zegt dat ze niet direct door het virus zijn veroorzaakt, maar het probleem blijft. Zijn die programma's misschien erg beschadigd? Moet ik hulp vragen bij het Forum Software of OS Windows? Ik ben zelf onderhand geneigd (ivm alle uurtjes die er al inzitten) Windows opnieuw te installeren. Kun jij nog iets bedenken? Wat berteft Norton: na deinstallatie van Panda, het handmatig verwijderen van alle mappen vanb Norton en Symantec en vanaf de Norton CD 'Windoctor' alles te laten scannen & repareren, lukte het nog niet om Norton er weer op te krijgen: er komt direct een foutmelding dat er al een versie bestaat en die eerst verwijderd moet worden. En dit lukt dus juist niet, er staat ook niets meer bij Software. Dus nu maar Panda er weer opgezet en wachten op Norton Internet Security 2005 die ik besteld heb... Ik ben het behoorlijk zat, al die ellende door een enkel virus!!
  • Wat systeemherstel betreft, probeer je dit: Open een klablokbestand. Kopieer onderstaande code in dit kladblokbestand. Ga naar Bestand - Opslaan als. Bij "Opslaan in" kies je: Bureaublad Bij "Bestandsnaam" zet je: fix.reg Bij "Opslaan als type" selecteer je: Alle bestanden (*.*). Klik op de knop Opslaan. [code:1:b32aee49ed]Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore] "DisableConfig"=dword:00000000 "DisableSR"=dword:00000000 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoSaveSettings"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sr] "Type"=dword:00000002 "Start"=dword:00000000 "ErrorControl"=dword:00000001 "Tag"=dword:00000004 "ImagePath"=hex(2):53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\ 52,00,49,00,56,00,45,00,52,00,53,00,5c,00,73,00,72,00,2e,00,73,00,79,00,73,\ 00,00,00 "DisplayName"="System Restore Filter Driver" "Group"="FSFilter System Recovery" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sr\Parameters] "FirstRun"=dword:00000000 "DontBackup"=dword:00000000 "MachineGuid"="{EAAFAEEC-4AFE-42BE-83D9-C12FDD4942A6}" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sr\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sr\Enum] "0"="Root\\LEGACY_SR\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalMachine\Software\Policies\Microsoft\Windows NT\SystemRestore] "DisableSR"=dword:00000000 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalMachine\Software\Policies\Microsoft\Windows NT\SystemRestore] "DisableConfig"=dword:00000000 [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalMachine\Software\Policies\Microsoft\Windows NT\SystemRestore] [-HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalMachine\Software\Policies\Microsoft\Windows NT\SystemRestore] [/code:1:b32aee49ed] Dubbelklik op de fix.reg file en laat de wijzigingen aan het register toevoegen. Wat zoeken betreft: Probeer [url=http://www.kellys-korner-xp.com/regs_edits/noasstundo.vbs]dit[/url] eens. Wat Norton betreft: Er zijn uninstall progjes. Staan ergens op de site van symantec.
  • Beste mensen, 1 van mijn kinderen heeft een virus naar binnen gehaald met heel de zelfde verschijnselen als beschreven op dit forum. Daar ga ik nog mee aan de slag. Ik had Norton AV 2004 up to date, maar is ook geblokkeerd. Panda kennelijk niet, die geeft nu telkens bij opstatren weer opnieuw hits van het Gaobot.gxj virus aan. Die variant kom ik verder nergens tegen, dus ook geen verwijderfix van Symantec o.i.d. Is dit een neiuwe variant ofzo?

Beantwoord deze vraag

Weet jij het antwoord op deze vraag? Registreer of meld je aan met je account

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.