Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

Trojan horse door msdirectx.sys

Anoniem
steggel
15 antwoorden
  • Sinds gisteren hebben mijn ouders last van een trojan Horse genaamd "Trojan Horse Collected.5.L". De oorzaak hiervan ligt in het bestand C:\windows\system\msdirectx.sys en c:\documents and settings\user\msdirectx.sys.

    AVG herkent hem meteen. Ik kan het bestand deleten of in de virus-vault zetten. Dit gaat goed, echter kijkend in Windows Verkenner, dan komt het bestandje gewoon weer terug.

    Ik kan het bestand onder system niet verwijderen; onder documents and settings wel, maar die komt steeds weer terug.

    Ik heb Spybot, ccleaner, avg-virusscanner allen laten draaien, maar geen resultaat. Ik kom er niet vanaf.

    Ik kwam deze draad tegen: http://forum.computertotaal.nl/phpBB2/viewtopic.php?t=144804

    Is de oplossing van 'Steggel' de oplossing of kan het gemakkelijker?
  • Plaats hier maar een logje van HijackThis. In de link die je gaf zie ik geen oplossing van steggel staan, kijk dus even of je de goede link wel geplaatst hebt :wink:

    vr.gr.smeenk
  • Foutje idd. Ik bedoelde bijgaande draad:

    http://forum.computertotaal.nl/phpBB2/viewtopic.php?t=144944&highlight=msdirectx

    Ik zal vanavond eens een logje maken.
  • Ok, dan hier even een antwoord op je vraag:

    Je kan niet altijd de werkwijze uit een ander topic 1 op 1 overnemen omdat er meestal sprake is van meerdere spyware of virusinfecties, dit zal een HijackThis-log waarschijnlijk wel duidelijk maken.

    Het downloaden en gebruiken van CWShredder of het doen van een online scan met trend.micro is uiteraard helemaal niets mis mee. Wel adviseer ik je om pas een HijackThis log te maken en plaatsen nadat je deze 2 stappen uitgevoerd hebt omdat er anders zaken in je log kunnen staan die in werkelijkheid al verwijderd zijn.

    Het is een goede zaak om te vermelden welke programma's je allemaal al gedraaid hebt :wink:

    Veel suc6

    vr.gr.smeenk
  • Bij deze infectie wordt gebruik gemaakt van een bestand met een willekeurig gekozen naam.

    Best dat je even een hijackthislog maakt en deze post, zodat we hopelijk ook dit bestand te zien krijgen.
  • Gisteren nog geen tijd gehad om logje te maken. Ga ik straks even doen en op dit forum in deze draad posten.

    Vraag: omdat er de laatste weken niets spannends is gebeurd op de PC zou ik hem via systeemherstel terug kunnen zetten naar een hersteldatum van voor afgelopen maandag toen deze trojan horse actief werd. Zou dit werken of blijf ik er last van hebben???
  • Bijgaand de log. Wie kan me helpen?

    Logfile of HijackThis v1.99.1
    Scan saved at 16:57:23, on 6-7-2005
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\SYSTEM32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\xpjava.exe
    C:\WINDOWS\Explorer.EXE
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    C:\WINDOWS\System32
    vsvc32.exe
    C:\WINDOWS\System32\snmp.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
    C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
    C:\WINDOWS\System32\RUNDLL32.EXE
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
    C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Documents and Settings\Henk\Local Settings\Temp\Tijdelijke map 1 voor hijackthis.zip\HijackThis.exe
    C:\WINDOWS\System32\wuauclt.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.tiscali.nl
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.nl
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Tiscali
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.12move.nl:8080
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [Windows Automation] mslaugh.exe
    O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DOWNLO~1\DAP\DAP.EXE /STARTUP
    O4 - HKLM\..\Run: [VOBID] C:\Program Files\Pinnacle\InstantCDDVD\InstantDrive\InstantDrive.exe
    emount
    O4 - HKLM\..\Run: [IW ControlCenter] C:\Program Files\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
    O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
    O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
    O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
    O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
    O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    O4 - Global Startup: Microsoft Office Snelzoeken.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
    O4 - Global Startup: Snelstart HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
    O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DOWNLO~1\DAP\dapextie.htm
    O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DOWNLO~1\DAP\dapextie2.htm
    O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
    O14 - IERESET.INF: START_PAGE_URL=http://www.paradigit.nl
    O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} - http://www.ysbweb.com/ist/softwares/v4.0/ysb_regular.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{B4285F37-B18B-4107-92EE-1054B8F837B5}: NameServer = 195.241.77.54 195.241.77.53
    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
    vsvc32.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe


  • De trojan is zichtbaar.

    Download eerst de removaltool FixBlast.exe
    Plaats de tool op het bureaublad.
    Sluit alle toepassingen en start FixBlast.exe
    Herstart de PC en voer de removaltool nogmaals uit.

    [b:1b22006fac]Installeer hijackthis.exe bijv. in C:\Program Files\Hijackthis[/b:1b22006fac]

    Start Hijackthis op en kies voor 'Do a system scan only'
    Selecteer alleen de items die hieronder zijn genoemd:
    [b:1b22006fac]F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe
    O4 - HKLM\..\Run: [Windows Automation] mslaugh.exe
    [/b:1b22006fac]Klik op 'Fix checked' om de items te repareren.

    Zorg dat de besturingssysteembestanden en verborgen bestanden zichtbaar zijn
    Het volgende bestand verwijderen (als deze nog aanwezig is):[b:1b22006fac]
    C:\Windows\System32\mslaugh.exe
    [/b:1b22006fac]

    Het bestand xpjava.exe mag pas worden verwijderd als het F2 item correct is gerepareerd, dus maak een nieuw log nadat bovenstaande is uitgevoerd.

    Sjaak
  • Als je nog aan de fix van hijackthis moet beginnen:
    [b:d564216c95]Installeer hijackthis.exe bijv. in C:\Program Files\Hijackthis[/b:d564216c95]

    Sjaak
  • Hmmm. 't zit nog niet mee.

    Ik ben vandaag begonnen om te kijken of ik het systeem kon herstellen via systeemherstel. Ging niet: Uiteindelijk krijg ik een melding dat het systeem niet is hersteld.

    Ik heb SP1 op cd rom proberen te draaien. Ging ook niet. Ik krijg een foutmelding dat de crypto-instellingen niet aan staan. Zoeken op dit onderwerp in de help-files van windows leverde nix op. Handig zo'n melding.

    Ik ben met jouw oplossing aan de slag gegaan. Het tooltje blijft maar lopen. Op het einde: geen Worm.blast gevonden!!!

    Daarna in Hijackthis de F2 en de 04 gerepareerd. MSLaugh.exe kwam ik niet meer tegen. Ik heb xpjava.exe nog niet verwijderd.

    Hierbij de nieuwe log.

    Logfile of HijackThis v1.99.1
    Scan saved at 18:26:12, on 6-7-2005
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\SYSTEM32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\xpjava.exe
    C:\WINDOWS\Explorer.EXE
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    C:\WINDOWS\System32
    vsvc32.exe
    C:\WINDOWS\System32\snmp.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
    C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
    C:\WINDOWS\System32\RUNDLL32.EXE
    C:\Program Files\Messenger\msmsgs.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
    C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
    C:\Documents and Settings\Henk\Local Settings\Temp\Tijdelijke map 1 voor hijackthis.zip\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.tiscali.nl
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.nl
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Tiscali
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.12move.nl:8080
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DOWNLO~1\DAP\DAP.EXE /STARTUP
    O4 - HKLM\..\Run: [VOBID] C:\Program Files\Pinnacle\InstantCDDVD\InstantDrive\InstantDrive.exe
    emount
    O4 - HKLM\..\Run: [IW ControlCenter] C:\Program Files\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
    O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
    O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
    O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
    O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
    O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
    O4 - HKLM\..\RunServices: [Local Area Network] OpenGL.exe
    O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
    O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    O4 - Global Startup: Microsoft Office Snelzoeken.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
    O4 - Global Startup: Snelstart HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
    O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DOWNLO~1\DAP\dapextie.htm
    O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DOWNLO~1\DAP\dapextie2.htm
    O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
    O14 - IERESET.INF: START_PAGE_URL=http://www.paradigit.nl
    O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} - http://www.ysbweb.com/ist/softwares/v4.0/ysb_regular.cab
    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
    vsvc32.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

    M'n AVG komt weer met dezelfde opmerking in c:\documents and settings\Henk\msdirectx.sys een Trojan Horse Collected.5.L zit. Suggesties?


  • Open een klablokbestand.
    Kopieer onderstaande code in dit kladblokbestand.
    Ga naar Bestand - Opslaan als.
    Bij "Opslaan in" kies je: Bureaublad
    Bij "Bestandsnaam" zet je: del.bat
    Bij "Opslaan als type" selecteer je: Alle bestanden (*.*).
    Klik op de knop Opslaan.
    [code:1:8afdaa30ba]
    sc stop msdirectx
    pauze
    sc delete msdirectx
    sc stop SVKP
    pauze
    sc delete SVKP
    [/code:1:8afdaa30ba]
    Dubbelklik op del.bat.



    Start de computer op in veilige modus. Hoe je dit doet kan je hier lezen.
    Start Hijackthis. Ga naar Config - Misc Tools.
    Kies de Processmanager en beëindig dit proces: xpjava.exe
    Daarna fix je deze:
    [b:8afdaa30ba]F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe

    O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} - http://www.ysbweb.com/ist/softwares/v4.0/ysb_regular.cab[/b:8afdaa30ba]
    Klik daarna op "Fix checked" en sluit HijackThis af.
    Verwijder
    c:\documents and settings\Henk\msdirectx.sys

    Controleer ook of de volgende bestanden aanwezig zijn:
    C:\WINDOWS\System32\msdirectx.sys
    C:\WINDOWS\System32\SVKP.sys
    C:\WINDOWS\System32\mslaugh.exe

    Zo ja verwijderen.

    Herstart en maak een nieuwe log.



    [size=9:8afdaa30ba]Edit: Proces beëindigen toegevoegd[/size:8afdaa30ba]
  • M@rc heeft ook al ideeën zie ik.

    Sjaak
  • Morgen (donderdag) om 20.00 uur kan ik weer achter die PC zitten en zullen we het uitproberen. Spannend. Mijn dank alvast.
  • Gisteren aan de slag gegaan met het advies. Dit ging perfect. Slechts 1 opmerking hierbij: bij het zoeken in veilige modus of het bestand msdirectx.sys nog ergens voorkwam keek de PC in eerste instantie alleen naar de niet-verborgen bestanden. Toen ik bij het zoeken het zo had ingesteld dat ie ook in de verborgen bestanden moest zoeken, kwam ik het bestandje msdirectx.sys nog 20x tegen in een soort van history-file. Met de delete knop kon ik deze niet verwijderen. Door het bestandje del.bat nogmaals te draaien kon ik ze wel verwijderen. Daarna opnieuw opgestart en GEEN melding meer van Trojan Horse!!!!! Dus meteen een herstelpunt van de nieuwe situatiegemaakt.

    Ik wou direct op dit forum het log plaatsen, maar op één of andere manier wou de PC niets meer. Hij reageerde nauwelijks. Ik had wel de forum index voor me, maar 0 actie. Ook Ctrl-Alt-del werkte niet. Alt-Tab ging wel, maar Windows Verkenner kreeg ik niet te zien. Ik heb de PC via de reset-knop maar even opnieuw opgestart. Toen ging het wel snel. (dus mocht er iemand nog advies hebben voor dit 'hangmoment'.)

    Bij deze dan de log:


    Logfile of HijackThis v1.99.1
    Scan saved at 21:29:07, on 7-7-2005
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\SYSTEM32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    C:\WINDOWS\System32
    vsvc32.exe
    C:\WINDOWS\System32\snmp.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
    C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\WINDOWS\System32\RUNDLL32.EXE
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
    C:\Program Files\HP\hpcoretech\comp\hptskmgr.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\Documents and Settings\Henk\Bureaublad\HijackThis.exe
    C:\WINDOWS\System32\wuauclt.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.tiscali.nl
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.nl
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Tiscali
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.12move.nl:8080
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DOWNLO~1\DAP\DAP.EXE /STARTUP
    O4 - HKLM\..\Run: [VOBID] C:\Program Files\Pinnacle\InstantCDDVD\InstantDrive\InstantDrive.exe
    emount
    O4 - HKLM\..\Run: [IW ControlCenter] C:\Program Files\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
    O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
    O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
    O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
    O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
    O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    O4 - HKLM\..\RunServices: [Local Area Network] OpenGL.exe
    O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
    O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    O4 - Global Startup: Microsoft Office Snelzoeken.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
    O4 - Global Startup: Snelstart HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
    O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DOWNLO~1\DAP\dapextie.htm
    O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DOWNLO~1\DAP\dapextie2.htm
    O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
    O14 - IERESET.INF: START_PAGE_URL=http://www.paradigit.nl
    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
    vsvc32.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


  • Log ziet er goed uit.

    Deze mag je wel aanvinken en laten fixen met HijachThis:
    [b:96d9e3739d]O4 - Global Startup: Microsoft Office Snelzoeken.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE [/b:96d9e3739d][quote:96d9e3739d]Complete utter waste of space! Part of MS Office - searches disk drives for Office file types and creates an index to make opening them easier. Removing this entry will free up a significant amount of system resources.[/quote:96d9e3739d]

    Als je breedband internet hebt zou je ook nog een online scan kunnen doen met Bitdefender scan of Housecall of met Panda

    Vermeldt hier ook even de resultaten van die scan.


    Als je geen breedband hebt, probeer dan dit eens:

    Download de trialversie van Ewido Security Suite: http://www.ewido.net/en/download/.
    Installeer het en controleer of er updates beschikbaar zijn. Installleer deze ook. Gebruik het programma nog niet.

    Start de computer in veilige modus. Hoe start ik de computer in veilige modus.

    Start Ewido.
    Voer een volledige systeemscan uit, en verwijder alles wat gevonden wordt.
    Herstart nadien de computer in normale modus, en post de inhoud van de logfile gemaakt tijdens het scannen met Ewido.

    vr.gr.smeenk :wink:

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.