Vraag & Antwoord

Beveiliging & privacy

Trojan.BHO en about blank

21 antwoorden
  • Beste lezer, Sinds enige dagen is mijn startpagina gewijzigd in about.blank. Daarnaast ontvang ik met regelmaat popups. Spyware scans leveren bovenstaande Trojan op. Met spyboth krijg ik aldoor verschillende problems waaronder Trek Blue error nuker. Ik heb daarnaast ook ad-aware, CWschredder gedraaid. Alle verwijderen de hun gevonden resultaten, maar als je opnieuw scant staan ze er gewoon weer op of ze hebben weer een andere naam. Verschilende virusscanners vinden geen virussen. Wie kan mij bevrijden van dit vreselijke probleem. Ik heb een logfile hieronder toegevoegd. Yvette Logfile of HijackThis v1.99.1 Scan saved at 0:27:12, on 9-7-2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\Program Files\Logitech\iTouch\iTouch.exe C:\WINDOWS\system32\dla\tfswctrl.exe C:\Program Files\Microsoft IntelliPoint\point32.exe C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\mfcex.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe C:\Program Files\Microsoft AntiSpyware\gcasServ.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe C:\Program Files\Casema SnelHelp\bin\mpbtn.exe C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Program Files\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\Program Files\Norton AntiVirus\SAVScan.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe C:\Program Files\Messenger\msmsgs.exe C:\Documents and Settings\All Users\Documenten\Gedeelde documenten\sw\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\ayjga.dll/sp.html#36663 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ayjga.dll/sp.html#36663 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ayjga.dll/sp.html#36663 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\ayjga.dll/sp.html#36663 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Class - {77B53978-2565-4255-4344-BD6EFAFEAEB8} - C:\WINDOWS\system32\msvc.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\CASEMA~2\SMARTB~1\MotiveSB.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe" O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [mfcex.exe] C:\WINDOWS\system32\mfcex.exe O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe O4 - Global Startup: Casema SnelHelp.lnk = C:\Program Files\Casema SnelHelp\bin\matcli.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://gto.postbank.nl/GTO/PBGNX.cab O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe O23 - Service: Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
  • Laten we proberen Yvette. Voer alle instructies achter elkaar uit. Vanaf stap 5 (veilige modus), mag er geen internetverbinding meer zijn. Succes. 1. Download dit regfiletje: [url=http://users.telenet.be/marcvn/regfiles/HSfix.zip]HSfix.zip[/url]. Unzip het en plaats het op je bureaublad, zodat je dit later makkelijk kan terug vinden wanneer je het nodig hebt. 2. Download [url=http://cwshredder.net/bin/CWShredder.exe]CWShredder[/url]. Plaatst het bestand ergens waar je het makkelijk kan terug vinden, maar gebruik het nu nog niet. 3. Download de trialversie van [url=http://www.ewido.net/en/download/]Ewido Security Suite[/url]. Installeer het. Na de installatie controleer je of er updates beschikbaar zijn. Download de nieuwste updates. Laat het programma nog niet scannen. 4. Zorg dat [url=http://users.pandora.be/marcvn/spyware/1117602.htm]alle verborgen bestanden weergegeven worden[/url]. 5. Start de computer in [url=http://users.pandora.be/marcvn/spyware/1378056.htm]veilige modus[/url]. 6. Sluit alle vensters, run HijackThis nog een keer en laat volgende items repareren: [b:c9abf60299]R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\ayjga.dll/sp.html#36663 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ayjga.dll/sp.html#36663 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ayjga.dll/sp.html#36663 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\ayjga.dll/sp.html#36663 R3 - Default URLSearchHook is missing O2 - BHO: Class - {77B53978-2565-4255-4344-BD6EFAFEAEB8} - C:\WINDOWS\system32\msvc.dll O4 - HKLM\..\Run: [mfcex.exe] C:\WINDOWS\system32\mfcex.exe[/b:c9abf60299] Klik daarna op "Fix checked" en sluit HijackThis af. 7. Dubbelklik op HSfix.reg om de wijzigingen aan het register toe te voegen. 8. Verwijder de volgende bestanden: C:\WINDOWS\system32\ayjga.dll C:\WINDOWS\system32\mfcex.ex 9. Maak je Temp-map leeg: Start – Uitvoeren tik in: %TEMP%. Selecteer alle bestanden en verwijder ze. 10. Ledig de map met Tijdelijke internetbestanden: Ga naar Configuratiescherm – Internetopties – tabblad Algemeen – klik bij Tijdelijke internetbestanden op Bestanden Verwijderen. 11. Herstel je webinstellingen: ga naar Configuratiescherm – Internetopties – tabblad Programma’s. Klik op de knop Webinstellingen herstellen. 12. Start CWShredder en klik op de fix-knop. 13. Voer een volledige systeemscan uit met Ewido, en verwijder alles wat gevonden wordt. Na het scannen krijg je de mogelijkheid om het logje op te slaan. Doe dit. 14. Open Hijackthis. Klik op de knop "Open de Misc tools section" en klik dan op de knop "Open ADS Spy...". Klik op Scan en als het klaar is sla je het logje op. (Knop Save log) 15. Reboot de computer nu in normale modus. Run HijackThis opnieuw en post een nieuwe log. Post ook het logje dat Ewido gemaakt heeft en het logje van ADS-Spy
  • M@rac, Allereest bedankt voor je snelle reactie. Ik denk dat dit mij vast wel gaat lukken, maar inmiddels ziet mijn Hyack log er weer anders uit. Ik heb jouw handelingen dus nog niet uitgevoerd. Ik voeg de log hieronder toe. De nieuwe regels lijken erg veel op de vorige. Kan ik die gewoon inplaats daarvan nemen? En moet ik eigenlijk sysyteemherstel uitschakelen als ik de veilige modus ingaat? Als ik de veilige modus namelijk verlaat, vraagt systeemherstel een herstelpunt te kiezen. Ik ben erg benieuwd naar je reactie. Logfile of HijackThis v1.99.1 Scan saved at 23:28:20, on 9-7-2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Program Files\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\Program Files\Norton AntiVirus\SAVScan.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe C:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe C:\Program Files\Logitech\iTouch\iTouch.exe C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\WINDOWS\system32\dla\tfswctrl.exe C:\Program Files\Microsoft IntelliPoint\point32.exe C:\WINDOWS\system32\mfcex.exe C:\Program Files\Microsoft AntiSpyware\gcasServ.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe C:\Program Files\Casema SnelHelp\bin\mpbtn.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\Messenger\msmsgs.exe C:\Documents and Settings\All Users\Documenten\Gedeelde documenten\sw\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\rhtcy.dll/sp.html#36663 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\rhtcy.dll/sp.html#36663 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\rhtcy.dll/sp.html#36663 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Class - {BD85675C-0BAA-1705-BEA9-CAF8605BE1F2} - C:\WINDOWS\iexk32.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\CASEMA~2\SMARTB~1\MotiveSB.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe" O4 - HKLM\..\Run: [mfcex.exe] C:\WINDOWS\system32\mfcex.exe O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe" O4 - HKLM\..\RunOnce: [appna.exe] C:\WINDOWS\system32\appna.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe O4 - Global Startup: Casema SnelHelp.lnk = C:\Program Files\Casema SnelHelp\bin\matcli.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://gto.postbank.nl/GTO/PBGNX.cab O23 - Service: Network Security Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\appna.exe O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe O23 - Service: Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Groeten Yvette.
  • Best dat je MS-antispyware en de real-time protectie van Spybot even uitschakelt. Voer alle instructies achter elkaar uit. Vanaf stap 6 (veilige modus), mag er geen internetverbinding meer zijn. Wacht geen eeuwigheid met het opvolgen van de instructies, want bestanden kunnen zoals je ziet vrij vlug van naam veranderen. 1.Open een kladblokbestand. Kopieer onderstaande code in dit kladblokbestand. Ga naar Bestand - Opslaan als. Bij "Opslaan in" kies je: Bureaublad Bij "Bestandsnaam" zet je: fix.reg Bij "Opslaan als type" selecteer je: Alle bestanden (*.*). Klik op de knop Opslaan. [code:1:f97d98a22d]REGEDIT4 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] [/code:1:f97d98a22d] 2. Download dit regfiletje: [url=http://users.telenet.be/marcvn/regfiles/HSfix.zip]HSfix.zip[/url]. Unzip het en plaats het op je bureaublad, zodat je dit later makkelijk kan terug vinden wanneer je het nodig hebt. 3. Download [url=http://cwshredder.net/bin/CWShredder.exe]CWShredder[/url]. Plaatst het bestand ergens waar je het makkelijk kan terug vinden, maar gebruik het nu nog niet. 4. Download de trialversie van [url=http://www.ewido.net/en/download/]Ewido Security Suite[/url]. Installeer het. Na de installatie controleer je of er updates beschikbaar zijn. Download de nieuwste updates. Laat het programma nog niet scannen. 5. Zorg dat [url=http://users.pandora.be/marcvn/spyware/1117602.htm]alle verborgen bestanden weergegeven worden[/url]. 6. Start de computer in [url=http://users.pandora.be/marcvn/spyware/1378056.htm]veilige modus[/url]. 7. Sluit alle vensters, run HijackThis nog een keer en laat volgende items repareren: [b:f97d98a22d]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\rhtcy.dll/sp.html#36663 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\rhtcy.dll/sp.html#36663 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\rhtcy.dll/sp.html#36663 R3 - Default URLSearchHook is missing O2 - BHO: Class - {BD85675C-0BAA-1705-BEA9-CAF8605BE1F2} - C:\WINDOWS\iexk32.dll O4 - HKLM\..\Run: [mfcex.exe] C:\WINDOWS\system32\mfcex.exe O4 - HKLM\..\RunOnce: [appna.exe] C:\WINDOWS\system32\appna.exe O23 - Service: Network Security Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\appna.exe[/b:f97d98a22d] Klik daarna op "Fix checked" en sluit HijackThis af. 8. Dubbelklik op HSfix.reg om de wijzigingen aan het register toe te voegen. 9. Verwijder de volgende bestanden: C:\WINDOWS\system32\mfcex.exe C:\WINDOWS\rhtcy.dll/sp C:\WINDOWS\system32\appna.exe 10. Maak je Temp-map leeg: Start – Uitvoeren tik in: %TEMP%. Selecteer alle bestanden en verwijder ze. 11. Ledig de map met Tijdelijke internetbestanden: Ga naar Configuratiescherm – Internetopties – tabblad Algemeen – klik bij Tijdelijke internetbestanden op Bestanden Verwijderen. 12. Herstel je webinstellingen: ga naar Configuratiescherm – Internetopties – tabblad Programma’s. Klik op de knop Webinstellingen herstellen. 13. Zoek fix.reg op je bureaublad (regfiletje dat je daarstraks aangemaakt had) Dubbelklik op de fix.reg file en laat de wijzigingen aan het register toevoegen. 14. Start CWShredder en klik op de fix-knop. 15. Voer een volledige systeemscan uit met Ewido, en verwijder alles wat gevonden wordt. Na het scannen krijg je de mogelijkheid om het logje op te slaan. Doe dit. 15. Open Hijackthis. Klik op de knop "Open de Misc tools section" en klik dan op de knop "Open ADS Spy...". Klik op Scan en als het klaar is sla je het logje op. (Knop Save log) 17. Reboot de computer nu in normale modus. Run HijackThis opnieuw en post een nieuwe log. Post ook het logje dat Ewido gemaakt heeft en het logje van ADS Spy.
  • Beste M@rc, Ik heb de handelingen uitgevoerd. Wat mij opviel was dat het bestand C:\WINDOWS\system32\mfcex.exe niet te verwijderen was (de extentie ontbrak, maar dat heeft volgens mij met mijn instellingen te maken) C:\WINDOWS\rhtcy.dll/sp kwam niet voor in System 32. C:\WINDOWS\system32\appna.exe kon ik verwijderen. Die bestanden moesten toch gewoon met bladeren worden opgezocht en worden verwijderd? De TEMP heb ik haast leeg kunnen maken. Ik kreeg echter twee meldingen van bestanden die ik niet kan verwijderen dF6CID en DF7975. Ik ben benieuwd. De nieuwe logs tref je hieronder aan. Groeten Yvette. --------------------------------------------------------- ewido security suite - Scan rapport --------------------------------------------------------- + Gemaakt op: 11:42:38, 10-7-2005 + Rapport samenvatting: 37BD082D + Scan result: HKLM\SOFTWARE\Classes\CLSID\{676575DD-4D46-911D-8037-9B10D6EE8BB5} -> Spyware.CoolWebSearch : Schoongemaakt met een backup HKLM\SOFTWARE\Classes\CLSID\{86B29A5F-CB91-3C3D-28A2-EDA38C1F28A8} -> Spyware.CoolWebSearch : Schoongemaakt met een backup HKLM\SOFTWARE\Classes\CLSID\{AB8789CE-01B6-4B58-C2C0-77D8144D5741} -> Spyware.CoolWebSearch : Schoongemaakt met een backup C:\Documents and Settings\All Users\Documenten\Gedeelde documenten\sw\backups\backup-20050710-105340-473.dll -> TrojanDownloader.Agent.bc : Schoongemaakt met een backup C:\Documents and Settings\J. Spaans\Local Settings\Temporary Internet Files\Content.IE5\3S9JS275\connect[2].htm -> TrojanDownloader.JS.Small.ac : Schoongemaakt met een backup C:\Documents and Settings\J. Spaans\Local Settings\Temporary Internet Files\Content.IE5\8N7ZQ4L9\connect[1].htm -> TrojanDownloader.JS.Small.ac : Schoongemaakt met een backup C:\Documents and Settings\J. Spaans\Local Settings\Temporary Internet Files\Content.IE5\M1ZSXCNM\connect[1].htm -> TrojanDownloader.JS.Small.ac : Schoongemaakt met een backup C:\Documents and Settings\J. Spaans\Local Settings\Temporary Internet Files\Content.IE5\N793FPWS\connect[1].htm -> TrojanDownloader.JS.Small.ac : Schoongemaakt met een backup C:\Documents and Settings\Y. Tuurenhout\Cookies\y. tuurenhout@2o7[1].txt -> Spyware.Cookie.2o7 : Schoongemaakt met een backup C:\RECYCLER\S-1-5-21-1078081533-1220945662-725345543-1004\Dc1.dll -> TrojanDownloader.Agent.bc : Schoongemaakt met een backup C:\RECYCLER\S-1-5-21-1078081533-1220945662-725345543-1004\Dc3.exe -> Trojan.Agent.bi : Schoongemaakt met een backup C:\WINDOWS\atlzu.exe -> Trojan.Agent.bi : Schoongemaakt met een backup C:\WINDOWS\cdPlayer.ini:makgm -> TrojanDownloader.Agent.bc : Schoongemaakt met een backup C:\WINDOWS\cdPlayer.ini:mzhjpl -> Trojan.Agent.bi : Schoongemaakt met een backup C:\WINDOWS\crke.exe -> Trojan.Agent.bi : Schoongemaakt met een backup C:\WINDOWS\IE4 Error Log.txt:kvbor -> TrojanDownloader.Agent.bq : Schoongemaakt met een backup C:\WINDOWS\ipnx32.exe -> Trojan.Agent.bi : Schoongemaakt met een backup C:\WINDOWS\msdfmap.ini:ngrwo -> TrojanDownloader.Agent.bc : Schoongemaakt met een backup C:\WINDOWS\msdfmap.ini:vpkzq -> TrojanDownloader.Agent.bc : Schoongemaakt met een backup C:\WINDOWS\mslx32.exe -> Trojan.Agent.bi : Schoongemaakt met een backup C:\WINDOWS\mswm32.exe -> Trojan.Agent.bi : Schoongemaakt met een backup C:\WINDOWS\netnx.exe -> Trojan.Agent.bi : Schoongemaakt met een backup C:\WINDOWS\ODBC.INI:grvkm -> TrojanDownloader.Agent.bq : Schoongemaakt met een backup C:\WINDOWS\ODBCINST.INI:jhxhf -> TrojanDownloader.Agent.bc : Schoongemaakt met een backup C:\WINDOWS\SchedLgU.Txt:oerhi -> TrojanDownloader.Agent.bq : Schoongemaakt met een backup C:\WINDOWS\sdknm32.dll -> TrojanDownloader.Agent.bc : Schoongemaakt met een backup C:\WINDOWS\setuplog.txt:ddljw -> TrojanDownloader.Agent.bc : Schoongemaakt met een backup C:\WINDOWS\syscs32.exe -> Trojan.Agent.bi : Schoongemaakt met een backup C:\WINDOWS\system32\apimd.dll -> TrojanDownloader.Agent.bc : Schoongemaakt met een backup C:\WINDOWS\system32\d3qy.exe -> Trojan.Agent.bi : Schoongemaakt met een backup C:\WINDOWS\system32\iegs.exe -> Trojan.Agent.bi : Schoongemaakt met een backup C:\WINDOWS\system32\ipie.exe -> Trojan.Agent.bi : Schoongemaakt met een backup C:\WINDOWS\system32\iplw.exe -> Trojan.Agent.bi : Schoongemaakt met een backup C:\WINDOWS\system32\mfcex.exe -> TrojanDownloader.Agent.bq : Schoongemaakt met een backup C:\WINDOWS\system32\msyv32.exe -> Trojan.Agent.bi : Schoongemaakt met een backup C:\WINDOWS\system32\sdkdl.dll -> TrojanDownloader.Agent.bc : Schoongemaakt met een backup C:\WINDOWS\system32\syszs32.dll -> TrojanDownloader.Agent.bc : Schoongemaakt met een backup C:\WINDOWS\wdcii.txt:kypou -> TrojanDownloader.Agent.bq : Schoongemaakt met een backup C:\WINDOWS\wininit.ini:afwqy -> TrojanDownloader.Agent.bq : Schoongemaakt met een backup C:\WINDOWS\_default.pif:acthw -> TrojanDownloader.Agent.bq : Schoongemaakt met een backup C:\WINDOWS\_default.pif:btgag -> TrojanDownloader.Agent.bq : Schoongemaakt met een backup C:\WINDOWS\_default.pif:feocs -> TrojanDownloader.Agent.bc : Schoongemaakt met een backup C:\WINDOWS\_default.pif:gqxdy -> TrojanDownloader.Agent.bc : Schoongemaakt met een backup C:\WINDOWS\_default.pif:gvczh -> TrojanDownloader.Agent.bc : Schoongemaakt met een backup C:\WINDOWS\_default.pif:gvxnb -> TrojanDownloader.Agent.bq : Schoongemaakt met een backup C:\WINDOWS\_default.pif:inrok -> TrojanDownloader.Agent.bc : Schoongemaakt met een backup C:\WINDOWS\_default.pif:jarsg -> TrojanDownloader.Agent.bc : Schoongemaakt met een backup C:\WINDOWS\_default.pif:jmgdc -> TrojanDownloader.Agent.bq : Schoongemaakt met een backup C:\WINDOWS\_default.pif:jranu -> TrojanDownloader.Agent.bq : Schoongemaakt met een backup C:\WINDOWS\_default.pif:jyksj -> TrojanDownloader.Agent.bq : Schoongemaakt met een backup C:\WINDOWS\_default.pif:lcvjs -> TrojanDownloader.Agent.bq : Schoongemaakt met een backup C:\WINDOWS\_default.pif:mculd -> TrojanDownloader.Agent.bq : Schoongemaakt met een backup C:\WINDOWS\_default.pif:numah -> TrojanDownloader.Agent.bc : Schoongemaakt met een backup C:\WINDOWS\_default.pif:orhtc -> TrojanDownloader.Agent.bc : Schoongemaakt met een backup C:\WINDOWS\_default.pif:pbioa -> TrojanDownloader.Agent.bc : Schoongemaakt met een backup C:\WINDOWS\_default.pif:qhztb -> TrojanDownloader.Agent.bc : Schoongemaakt met een backup C:\WINDOWS\_default.pif:qsdps -> TrojanDownloader.Agent.bc : Schoongemaakt met een backup C:\WINDOWS\_default.pif:rofsd -> TrojanDownloader.Agent.bq : Schoongemaakt met een backup C:\WINDOWS\_default.pif:rvqba -> TrojanDownloader.Agent.bc : Schoongemaakt met een backup C:\WINDOWS\_default.pif:ssunx -> TrojanDownloader.Agent.bc : Schoongemaakt met een backup C:\WINDOWS\_default.pif:szwea -> TrojanDownloader.Agent.bc : Schoongemaakt met een backup C:\WINDOWS\_default.pif:tougg -> TrojanDownloader.Agent.bq : Schoongemaakt met een backup C:\WINDOWS\_default.pif:uwumw -> TrojanDownloader.Agent.bq : Schoongemaakt met een backup C:\WINDOWS\_default.pif:vazww -> TrojanDownloader.Agent.bq : Schoongemaakt met een backup C:\WINDOWS\_default.pif:vuuun -> TrojanDownloader.Agent.bc : Schoongemaakt met een backup C:\WINDOWS\_default.pif:yldtg -> TrojanDownloader.Agent.bc : Schoongemaakt met een backup C:\WINDOWS\_default.pif:ywpsd -> TrojanDownloader.Agent.bq : Schoongemaakt met een backup ::Einde rapport ADSSPY C:\WINDOWS\Blauw 16.bmp : cwofd (87732 bytes) C:\WINDOWS\Blauw 16.bmp : lhvaq (87732 bytes) C:\WINDOWS\chipset.log : eemmc (87732 bytes) C:\WINDOWS\clock.avi : gytjg (87732 bytes) C:\WINDOWS\cmsetacl.log : nyryz (34958 bytes) C:\WINDOWS\cmsetacl.log : uaztk (87732 bytes) C:\WINDOWS\comsetup.log : wiglm (34958 bytes) C:\WINDOWS\dahotfix.log : huqev (87732 bytes) C:\WINDOWS\dahotfix.log : xcvri (34958 bytes) C:\WINDOWS\DtcInstall.log : bjyob (87732 bytes) C:\WINDOWS\DtcInstall.log : pfywy (34958 bytes) C:\WINDOWS\DtcInstall.log : rzebd (34958 bytes) C:\WINDOWS\explorer.scf : fbclg (34958 bytes) C:\WINDOWS\explorer.scf : nowpgd (13581 bytes) C:\WINDOWS\explorer.scf : nyulx (87732 bytes) C:\WINDOWS\FaxSetup.log : avyjf (87732 bytes) C:\WINDOWS\iis6.log : fhhvan (197751 bytes) C:\WINDOWS\imsins.BAK : acnnis (13581 bytes) C:\WINDOWS\imsins.BAK : elkzx (34958 bytes) C:\WINDOWS\imsins.log : yafdu (34958 bytes) C:\WINDOWS\jautoexp.dat : yizicp (3567 bytes) C:\WINDOWS\KB821557.log : lxbub (34958 bytes) C:\WINDOWS\KB821557.log : tdgscv (197751 bytes) C:\WINDOWS\KB824105.log : lwyxef (3567 bytes) C:\WINDOWS\KB824105.log : ozbhd (87732 bytes) C:\WINDOWS\KB825119.log : bdzuho (11406 bytes) C:\WINDOWS\KB825119.log : wscuc (87732 bytes) C:\WINDOWS\KB828035.log : xayjg (87732 bytes) C:\WINDOWS\KB828741.log : ueszjy (34958 bytes) C:\WINDOWS\KB833407.log : zbesz (34958 bytes) C:\WINDOWS\KB834707.log : khjzv (87732 bytes) C:\WINDOWS\KB837001.log : zuffz (34958 bytes) C:\WINDOWS\KB839643.log : icbbc (34958 bytes) C:\WINDOWS\KB839645.log : cztexb (87732 bytes) C:\WINDOWS\KB840315.log : efdsgl (13581 bytes) C:\WINDOWS\KB873339.log : phgccg (197751 bytes) C:\WINDOWS\KB885250.log : gcpco (34958 bytes) C:\WINDOWS\KB885250.log : vkuie (87732 bytes) C:\WINDOWS\KB885835.log : iaypwi (3567 bytes) C:\WINDOWS\KB887742.log : euyop (87732 bytes) C:\WINDOWS\KB887742.log : sajvyt (0 bytes) C:\WINDOWS\KB888113.log : gmgaa (34958 bytes) C:\WINDOWS\KB890046.log : axgzu (87732 bytes) C:\WINDOWS\KB890047.log : yeyss (87732 bytes) C:\WINDOWS\KB890859.log : pvjhl (34958 bytes) C:\WINDOWS\KB891781.log : ghjbi (87732 bytes) C:\WINDOWS\KB893086.log : jfbko (34958 bytes) C:\WINDOWS\KB893086.log : lqjkq (34958 bytes) C:\WINDOWS\KB893803.log : yiuhk (34958 bytes) C:\WINDOWS\KB896422.log : rjmme (34958 bytes) C:\WINDOWS\LUINSTALL.LOG : gihca (87732 bytes) C:\WINDOWS\ocmsn.log : rksuw (34958 bytes) C:\WINDOWS\Q323255.log : ynmwj (87732 bytes) C:\WINDOWS\Q329048.log : cgpbx (87732 bytes) C:\WINDOWS\Q329115.log : tiazc (34958 bytes) C:\WINDOWS\Q329441.log : jhxhf (34958 bytes) C:\WINDOWS\Q810565.log : ecoaw (87732 bytes) C:\WINDOWS\Q810577.log : faaul (34958 bytes) C:\WINDOWS\Q810577.log : wlktk (87732 bytes) C:\WINDOWS\Q815021.log : hwsss (34958 bytes) C:\WINDOWS\Q828026.log : dcgwm (87732 bytes) C:\WINDOWS\REGLOCS.OLD : znfrb (34958 bytes) C:\WINDOWS\Rivier Sumida.bmp : jzwylt (34958 bytes) C:\WINDOWS\Santa Fe Stucco.bmp : jwgba (87732 bytes) C:\WINDOWS\sessmgr.setup.log : sxhqy (87732 bytes) C:\WINDOWS\sessmgr.setup.log : zsxls (87732 bytes) C:\WINDOWS\setupapi.log.0.old : uxklw (87732 bytes) C:\WINDOWS\setuperr.log : cuaeo (34958 bytes) C:\WINDOWS\setuperr.log : dzsbm (34958 bytes) C:\WINDOWS\spupdsvc.log : tgodb (34958 bytes) C:\WINDOWS\Sti_Trace.log : rlzkk (87732 bytes) C:\WINDOWS\Sti_Trace.log : uneke (87732 bytes) C:\WINDOWS\svcpack.log : frvet (34958 bytes) C:\WINDOWS\tsoc.log : cmcug (34958 bytes) C:\WINDOWS\tsoc.log : necpi (87732 bytes) C:\WINDOWS\updspapi.log : fhhva (34958 bytes) C:\WINDOWS\wiaservc.log : qynhf (34958 bytes) C:\WINDOWS\WindowsUpdate.log : uelii (87732 bytes) C:\WINDOWS\wmsetup10.log : fgobf (34958 bytes) C:\WINDOWS\wmsetup10.log : qrpis (34958 bytes) C:\WINDOWS\WMSysPr9(2).prx : ivichg (34958 bytes) C:\WINDOWS\WMSysPr9(3).prx : ivichg (0 bytes) C:\WINDOWS\WMSysPr9.prx : ivichg (34958 bytes) C:\WINDOWS\_default.pif : ztkdy (0 bytes) Nieuwe log Hijack Logfile of HijackThis v1.99.1 Scan saved at 11:58:17, on 10-7-2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe C:\Program Files\ewido\security suite\ewidoctrl.exe C:\Program Files\ewido\security suite\ewidoguard.exe C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Program Files\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\Program Files\Norton AntiVirus\SAVScan.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe C:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe C:\Program Files\Logitech\iTouch\iTouch.exe C:\PROGRA~1\CASEMA~2\SMARTB~1\MotiveSB.exe C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\WINDOWS\system32\dla\tfswctrl.exe C:\Program Files\Microsoft IntelliPoint\point32.exe C:\Program Files\Microsoft AntiSpyware\gcasServ.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe C:\Program Files\Casema SnelHelp\bin\mpbtn.exe C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe C:\Documents and Settings\All Users\Documenten\Gedeelde documenten\sw\HijackThis.exe C:\Program Files\Messenger\msmsgs.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Class - {4EE6E8A9-A6D3-0E71-5989-4F8D1DEDB279} - C:\WINDOWS\sdknm32.dll (file missing) O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll O2 - BHO: Class - {DE3B1227-319C-31A0-38D3-A45A167674E3} - C:\WINDOWS\system32\sdkdl.dll (file missing) O2 - BHO: Class - {EAC2E519-5930-63F2-E845-C0D52BEB257C} - C:\WINDOWS\system32\syszs32.dll (file missing) O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\CASEMA~2\SMARTB~1\MotiveSB.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe" O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe" O4 - HKLM\..\Run: [mfcex.exe] C:\WINDOWS\system32\mfcex.exe O4 - HKLM\..\Run: [Multimedia Codecs] C:\WINDOWS\System32\mcc.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe O4 - Global Startup: Casema SnelHelp.lnk = C:\Program Files\Casema SnelHelp\bin\matcli.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://gto.postbank.nl/GTO/PBGNX.cab O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe O23 - Service: Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
  • Dag Yvette, Ik heb even de quotes in je vorige posts weggehaald. Het geeft zin om mijn volledige posts in jouw reply op te nemen. Logje ziet er al stukken beter uit. Sluit alle open vensters, run HijackThis nog een keer en plaats een vinkje bij de volgende items: [b:ef34f78ac4]R3 - Default URLSearchHook is missing O2 - BHO: Class - {4EE6E8A9-A6D3-0E71-5989-4F8D1DEDB279} - C:\WINDOWS\sdknm32.dll (file missing) O2 - BHO: Class - {DE3B1227-319C-31A0-38D3-A45A167674E3} - C:\WINDOWS\system32\sdkdl.dll (file missing) O2 - BHO: Class - {EAC2E519-5930-63F2-E845-C0D52BEB257C} - C:\WINDOWS\system32\syszs32.dll (file missing) O4 - HKLM\..\Run: [mfcex.exe] C:\WINDOWS\system32\mfcex.exe O4 - HKLM\..\Run: [Multimedia Codecs] C:\WINDOWS\System32\mcc.exe[/b:ef34f78ac4] Scan nog een keer met ADSspy. Sla het logje op. Herstart de computer. Post dat logje samen met een nieuwe Hijackthislog.
  • M@rc, Ik heb onderstaande scans NIET in de veilige modus uitgevoerd. Dit is het resultaat. Yvette Logfile of HijackThis v1.99.1 Scan saved at 13:26:24, on 10-7-2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe C:\Program Files\ewido\security suite\ewidoctrl.exe C:\Program Files\ewido\security suite\ewidoguard.exe C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Program Files\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\Program Files\Norton AntiVirus\SAVScan.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe C:\Program Files\Logitech\iTouch\iTouch.exe C:\PROGRA~1\CASEMA~2\SMARTB~1\MotiveSB.exe C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\WINDOWS\system32\dla\tfswctrl.exe C:\Program Files\Microsoft IntelliPoint\point32.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe C:\Program Files\Casema SnelHelp\bin\mpbtn.exe C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe C:\Program Files\Messenger\msmsgs.exe C:\Documents and Settings\All Users\Documenten\Gedeelde documenten\sw\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\CASEMA~2\SMARTB~1\MotiveSB.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe" O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe" O4 - HKLM\..\Run: [mfcex.exe] C:\WINDOWS\system32\mfcex.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe O4 - Global Startup: Casema SnelHelp.lnk = C:\Program Files\Casema SnelHelp\bin\matcli.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://gto.postbank.nl/GTO/PBGNX.cab O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe O23 - Service: Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe --------------------------------------------------------- ewido security suite - Scan rapport --------------------------------------------------------- + Gemaakt op: 13:47:01, 10-7-2005 + Rapport samenvatting: A9B0F846 + Scan result: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SE -> Spyware.CoolWebSearch : Schoongemaakt met een backup HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SW -> Spyware.CoolWebSearch : Schoongemaakt met een backup ::Einde rapport
  • [quote:d4f8d15d41="M@rc"] Scan nog een keer met ADSspy. Sla het logje op. Herstart de computer. Post dat logje samen met een nieuwe Hijackthislog.[/quote:d4f8d15d41] Kan je dit nog even doen?
  • Deze moet weg Yvette O4 - HKLM\..\Run: [mfcex.exe] C:\WINDOWS\system32\mfcex.exe
  • M@rc, dit ie het resultaat. Ik twijfel alleen of ik niet teveel heb verwijderd toen ik bij vorige handelingen de TEMP map in de veilige modus moest leegmaken. Ik heb de gehele temp map leeggemaakt, dus incl de gele mappen met de benamingen (coderingen tussen acculades). Als dat ook de bedoeling was zal ik de prullenbak z.s.m. legen. Verder komt AVG met een melding tijdens het scannen door EWIDO dat een tojan.downloader khaa.dll is opgemerkt. De melding verdween ook weer heel snel. Hieronder tref je de files aan. Yvette. Logfile of HijackThis v1.99.1 Scan saved at 14:35:18, on 10-7-2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe C:\Program Files\ewido\security suite\ewidoctrl.exe C:\Program Files\ewido\security suite\ewidoguard.exe C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Program Files\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\Program Files\Norton AntiVirus\SAVScan.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe C:\Program Files\Logitech\iTouch\iTouch.exe C:\PROGRA~1\CASEMA~2\SMARTB~1\MotiveSB.exe C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\WINDOWS\system32\dla\tfswctrl.exe C:\Program Files\Microsoft IntelliPoint\point32.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe C:\Program Files\Casema SnelHelp\bin\mpbtn.exe C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe C:\Program Files\Messenger\msmsgs.exe C:\Documents and Settings\All Users\Documenten\Gedeelde documenten\sw\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\CASEMA~2\SMARTB~1\MotiveSB.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe" O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe O4 - Global Startup: Casema SnelHelp.lnk = C:\Program Files\Casema SnelHelp\bin\matcli.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {DE591B16-A452-11D6-AED1-0001030A4E46} (PBGNX Control) - https://gto.postbank.nl/GTO/PBGNX.cab O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe O23 - Service: Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe --------------------------------------------------------- ewido security suite - Scan rapport --------------------------------------------------------- + Gemaakt op: 14:34:16, 10-7-2005 + Rapport samenvatting: F48AF085 + Scan result: Geen geinfecteerde bestanden gevonden! ::Einde rapport
  • Ziet er goed uit. Voor we verder gaan graag nog een logje van ADSspy. (Open Hijackthis. Klik op de knop "Open de Misc tools section" en klik dan op de knop "Open ADS Spy...". Klik op Scan en als het klaar is sla je het logje op. (Knop Save log))
  • m@rc, C:\WINDOWS\Blauw 16.bmp : cwofd (87732 bytes) C:\WINDOWS\Blauw 16.bmp : lhvaq (87732 bytes) C:\WINDOWS\chipset.log : eemmc (87732 bytes) C:\WINDOWS\clock.avi : gytjg (87732 bytes) C:\WINDOWS\cmsetacl.log : nyryz (34958 bytes) C:\WINDOWS\cmsetacl.log : uaztk (87732 bytes) C:\WINDOWS\comsetup.log : wiglm (34958 bytes) C:\WINDOWS\dahotfix.log : huqev (87732 bytes) C:\WINDOWS\dahotfix.log : xcvri (34958 bytes) C:\WINDOWS\DtcInstall.log : bjyob (87732 bytes) C:\WINDOWS\DtcInstall.log : pfywy (34958 bytes) C:\WINDOWS\DtcInstall.log : rzebd (34958 bytes) C:\WINDOWS\explorer.scf : fbclg (34958 bytes) C:\WINDOWS\explorer.scf : nowpgd (13581 bytes) C:\WINDOWS\explorer.scf : nyulx (87732 bytes) C:\WINDOWS\FaxSetup.log : avyjf (87732 bytes) C:\WINDOWS\iis6.log : fhhvan (197751 bytes) C:\WINDOWS\imsins.BAK : acnnis (13581 bytes) C:\WINDOWS\imsins.BAK : elkzx (34958 bytes) C:\WINDOWS\imsins.log : yafdu (34958 bytes) C:\WINDOWS\jautoexp.dat : yizicp (3567 bytes) C:\WINDOWS\KB821557.log : lxbub (34958 bytes) C:\WINDOWS\KB821557.log : tdgscv (197751 bytes) C:\WINDOWS\KB824105.log : lwyxef (3567 bytes) C:\WINDOWS\KB824105.log : ozbhd (87732 bytes) C:\WINDOWS\KB825119.log : bdzuho (11406 bytes) C:\WINDOWS\KB825119.log : wscuc (87732 bytes) C:\WINDOWS\KB828035.log : xayjg (87732 bytes) C:\WINDOWS\KB828741.log : ueszjy (34958 bytes) C:\WINDOWS\KB833407.log : zbesz (34958 bytes) C:\WINDOWS\KB834707.log : khjzv (87732 bytes) C:\WINDOWS\KB837001.log : zuffz (34958 bytes) C:\WINDOWS\KB839643.log : icbbc (34958 bytes) C:\WINDOWS\KB839645.log : cztexb (87732 bytes) C:\WINDOWS\KB840315.log : efdsgl (13581 bytes) C:\WINDOWS\KB873339.log : phgccg (197751 bytes) C:\WINDOWS\KB885250.log : gcpco (34958 bytes) C:\WINDOWS\KB885250.log : vkuie (87732 bytes) C:\WINDOWS\KB885835.log : iaypwi (3567 bytes) C:\WINDOWS\KB887742.log : euyop (87732 bytes) C:\WINDOWS\KB887742.log : sajvyt (0 bytes) C:\WINDOWS\KB888113.log : gmgaa (34958 bytes) C:\WINDOWS\KB890046.log : axgzu (87732 bytes) C:\WINDOWS\KB890047.log : yeyss (87732 bytes) C:\WINDOWS\KB890859.log : pvjhl (34958 bytes) C:\WINDOWS\KB891781.log : ghjbi (87732 bytes) C:\WINDOWS\KB893086.log : jfbko (34958 bytes) C:\WINDOWS\KB893086.log : lqjkq (34958 bytes) C:\WINDOWS\KB893803.log : yiuhk (34958 bytes) C:\WINDOWS\KB896422.log : rjmme (34958 bytes) C:\WINDOWS\LUINSTALL.LOG : gihca (87732 bytes) C:\WINDOWS\ocmsn.log : rksuw (34958 bytes) C:\WINDOWS\Q323255.log : ynmwj (87732 bytes) C:\WINDOWS\Q329048.log : cgpbx (87732 bytes) C:\WINDOWS\Q329115.log : tiazc (34958 bytes) C:\WINDOWS\Q329441.log : jhxhf (34958 bytes) C:\WINDOWS\Q810565.log : ecoaw (87732 bytes) C:\WINDOWS\Q810577.log : faaul (34958 bytes) C:\WINDOWS\Q810577.log : wlktk (87732 bytes) C:\WINDOWS\Q815021.log : hwsss (34958 bytes) C:\WINDOWS\Q828026.log : dcgwm (87732 bytes) C:\WINDOWS\REGLOCS.OLD : znfrb (34958 bytes) C:\WINDOWS\Rivier Sumida.bmp : jzwylt (34958 bytes) C:\WINDOWS\Santa Fe Stucco.bmp : jwgba (87732 bytes) C:\WINDOWS\sessmgr.setup.log : sxhqy (87732 bytes) C:\WINDOWS\sessmgr.setup.log : zsxls (87732 bytes) C:\WINDOWS\setupapi.log.0.old : uxklw (87732 bytes) C:\WINDOWS\setuperr.log : cuaeo (34958 bytes) C:\WINDOWS\setuperr.log : dzsbm (34958 bytes) C:\WINDOWS\spupdsvc.log : tgodb (34958 bytes) C:\WINDOWS\Sti_Trace.log : rlzkk (87732 bytes) C:\WINDOWS\Sti_Trace.log : uneke (87732 bytes) C:\WINDOWS\svcpack.log : frvet (34958 bytes) C:\WINDOWS\tsoc.log : cmcug (34958 bytes) C:\WINDOWS\tsoc.log : necpi (87732 bytes) C:\WINDOWS\updspapi.log : fhhva (34958 bytes) C:\WINDOWS\wiaservc.log : qynhf (34958 bytes) C:\WINDOWS\WindowsUpdate.log : uelii (87732 bytes) C:\WINDOWS\wmsetup10.log : fgobf (34958 bytes) C:\WINDOWS\wmsetup10.log : qrpis (34958 bytes) C:\WINDOWS\WMSysPr9(2).prx : ivichg (34958 bytes) C:\WINDOWS\WMSysPr9(3).prx : ivichg (0 bytes) C:\WINDOWS\WMSysPr9.prx : ivichg (34958 bytes) C:\WINDOWS\_default.pif : ztkdy (0 bytes) Yvette
  • Lijkt me hetzelfde als in de vorige log. Heb je geklikt op de knop "remove selected" (was ik vergeten te melden)? Doe dit anders even. Scan daarna opnieuw en als er niks meer gevonden wordt doe je het volgende nog: Doe een [url=http://housecall.trendmicro.com/housecall/start_corp.asp]online-virusscan[/url]. Deze hijacker kan een aantal bestanden op je computer verwijderd hebben. Controleer of volgende bestanden nog aanwezig zijn: - Control.exe: Ga naar http://www.spywareinfo.com/~merijn/winfiles.html#control en download indien nodig de control.exe die bij je besturingssysteem hoort. Control.exe moet zich in de map c:\windows\system32 bevinden. - Hosts (zonder extensie): Hosts bevindt zich in \system32\drivers\etc\. Indien niet aanwezig, download je the Hoster: http://www.funkytoad.com/download/hoster.zip . Unzip het programma, run het, klik op Restore Original Hosts, klik op OK en sluit het programma af. - SDHelper.dll: Als je Spybot Search & Destroy gebruikt kan deze hijacker ook het bestand SDHelper.dll verwijderen. Download SDHelper.dll: http://www.spywareinfo.com/~merijn/winfiles.html#sdhelper. Plaats de file in de installatiemap van Spybot Search & Destroy. Meestal is dit C:\Program Files\Spybot - Search & Destroy. - Shell.dll: Controleer even via de verkenner of shell.dll in de system32-map staat. Indien het bestand ontbreekt, ga je naar System32\dllcache. Zoek Shell.dll, rechtsklik er op en kies voor kopiëren. Plaats het kopie in de system32-map. Als je dit alles gedaan hebt maak je de prullenbak leeg. Zijn er geen problemen meer dan doe verwijder je alle bestaande systeemherstelpunten: Schakel systeemherstel uit, reboot de computer en schakel systeemherstel weer in. (info: [url=http://users.pandora.be/marcvn/spyware/1852808.htm]Systeemherstel uitschakelen[/url])
  • M@rc, Wel twee vragen: Wat is de volgorde? scan - gevonden resultaten aanvinken - remove selected - scan? Een icoon (wit vierkant met blauwe horizontale balk) met de benaming CONTR komt voor in System32 (dus zonder .exe) en Hosts komt alleen voor met de benaming IMhosts (sam bestand). Moet ik nu toch beide bestanden via de door jou opgegeven links downloaden en toevoegen? Yvette
  • [quote:20d3d701f3="JSP"] Wat is de volgorde? scan - gevonden resultaten aanvinken - remove selected - scan?[/quote:20d3d701f3] Inderdaad, dat is de volgorde. Bij de 2e scan zou niks meer gevonden mogen worden. [quote:20d3d701f3="JSP"] Een icoon (wit vierkant met blauwe horizontale balk) met de benaming CONTR komt voor in System32 (dus zonder .exe) en Hosts komt alleen voor met de benaming IMhosts (sam bestand). Moet ik nu toch beide bestanden via de door jou opgegeven links downloaden en toevoegen? [/quote:20d3d701f3]Ik weet niet wat CONTR voor een bestand is, maar control.exe moet je hebben. Indien niet aanwezig, download je hem via bovengenoemde link, of je kan hem uit de map system32\dllcache kopïeren naar de system32 map. Het bestand hosts is blijkbaar ook verdwenen, dus die kan je best ook weer toevoegen. groeten,
  • M@rc, Control.exe op de pagina van Merijn is een Engelse download. Merijn geeft in een voetnoot aan: Note: The files available for download on this page are taken from US English versions of Windows (unless noted otherwise). If you have a Windows version in any other language, you should not use these files. Volgens mij heb ik een Nederlandse versie. Bij info onder deze computer staat Windows XP Home edition versie 5.1 (build2600.xpsp_sp2 ........... SP2). Sorry voor mijn twijfels. Yvette
  • Controleer of control.exe zich in de map system32\dllcache bevindt. Je kan hem van daaruit ook kopiëren. Indien niet aanwezig, neem je die van de site van Merijn.
  • M@rc, het is ons toch gelukt om die rotzooi van de PC te halen. Het programma control.exe bleek toch nog in de map system32 te zitten. Ik had namelijk de weergave van bekende bestandstypen uitgeschakeld staan. Vandaar de vermelding CONTROL Heel erg bedankt voor jouw tijd en inspanningen. Ik heb er heel veel van geleerd en zal nog vaak op het forum zijn om mij op de hoogte te houden van alle gevaren en ontwikkelingen op het internet. Bedankt!!!!!! Groeten Yvette :D
  • Graag gedaann Yvette. Happy surfing again. :wink:
  • Probeert hitmanpro eens te vinden op www.hitmanpro.nl. die zoekt met meerdere spyware en adaware programma's

Beantwoord deze vraag

Weet jij het antwoord op deze vraag? Registreer of meld je aan met je account

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.