Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

[HJT] Log

None
15 antwoorden
  • Hier een logje nadat Hitman gedraaid is, zo te zien nog een hoop te verwijderen. Ik kan vanaf hier niet zo heel erg veel doen maargoed, ik doe een poging :wink: Hier een logje:

    Logfile of HijackThis v1.99.1
    Scan saved at 21:12:36, on 2006-01-23
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\BullGuard Software\BullGuard 5.0\BullGuardUpdate.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Ahead\InCD\InCDsrv.exe
    C:\ATI-CPanel\atiptaxx.exe
    C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
    C:\Program Files\Ahead\InCD\InCD.exe
    C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
    C:\WINDOWS\vsnpstd.exe
    C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\MediaGateway\MediaGateway.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
    C:\Program Files\Logitech\SetPoint\KEM.exe
    C:\Program Files\Norton AntiVirus
    avapsvc.exe
    C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
    C:\Program Files\Spyware Doctor\sdhelp.exe
    C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Messenger\msmsgs.exe
    c:\progra~1\intern~1\iexplore.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\DOCUME~1\Sjors\LOCALS~1\Temp\Tijdelijke map 1 voor hijackthis.zip\HijackThis.exe
    C:\Mijn documentenHJT\hijackthis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.rvriwubrntpsndchywd.org/75lBi48LiweBvQgum/QQz6v0v_KMtyt_8NnMOqs0S4sEW93YEb59JFOun/XdQmFU.htm
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wgonyvhckzlsufe.com/75lBi48Liwfdgi59udf9SdYSI4ANNXH3OSE51CGEE38.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {17083479-E8FE-0907-B615-819DBDBD1890} - (no file)
    O2 - BHO: (no name) - {4CCBC1DF-7520-0D5F-E02C-9A7B7968805C} - C:\DOCUME~1\Sjors\APPLIC~1\MIXBIN~1\meowmpeg.exe
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: (no name) - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - (no file)
    O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
    O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
    O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
    O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
    O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
    O4 - HKLM\..\Run: [meet ping proc cast] C:\Documents and Settings\All Users\Application Data\Scr anti meet ping\SlowFork.exe
    O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [MediaGateway] C:\Program Files\MediaGateway\MediaGateway.exe
    O4 - HKLM\..\Run: [Idlelogobendchic] C:\Documents and Settings\All Users\Application Data\Face Hide Idle Logo\defy bat.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
    O4 - HKCU\..\Run: [BullGuard 5.0] "C:\Program Files\BullGuard Software\BullGuard 5.0\bullguard.exe"
    O4 - HKCU\..\Run: [shim2] C:\DOCUME~1\Sjors\APPLIC~1\ABOUTS~1\Phonethat.exe
    O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
    O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\KEM.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin
    pjpi142_03.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin
    pjpi142_03.dll
    O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~2\tools\iesdpb.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
    O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
    O16 - DPF: {05D96F71-87C6-11D3-9BE4-00902742D6E0} (QuickPlace Class) - http://members.portfolio4u.nl/qp2.cab
    O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
    O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralInitialSetup1.0.0.8.cab
    O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab27571.cab
    O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
    O16 - DPF: {37802401-C7E2-11D7-8582-0048548470B6} (VRCLoader) - http://www.connectu.nl/download/vrcloader.cab
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
    O16 - DPF: {5D9E4B6D-CD17-4D85-99D4-6A52B394EC3B} (WSDownloader Control) - http://www.webshots.com/samplers/WSDownloader.ocx
    O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} - http://www.tbcode.com/ist/softwares/v4.0/0006_regular.cab
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
    O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} (MediaGatewayX) - http://static.zangocash.com/cab/180solutions/ie/bridge-c24.cab
    O16 - DPF: {98827C42-6A82-11D7-8582-0048548470B6} (VideoRaver) - http://www.connectu.nl/download/videoraver.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
    O16 - DPF: {B73BC7C7-858B-49FA-BBDB-74DD77D1D9F3} ({B73BC7C7-858B-49FA-BBDB-74DD77D1D9F3}) - http://camz.tintel.nl/installcab.php
    O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab31267.cab
    O16 - DPF: {E3802230-F0E2-4A75-9947-EAB78DD8153F} (InstallerX Class) - http://www.klikeuro.nl/cab/EasyWebInstaller.cab
    O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
    O23 - Service: BullGuard LiveUpdate (BGLiveSvc) - BullGuard, Ltd. - C:\Program Files\BullGuard Software\BullGuard 5.0\BullGuardUpdate.exe
    O23 - Service: BullGuard Main (BGMainSvc) - Unknown owner - C:\WINDOWS\System32\svchost.exe" -k bg5 (file missing)
    O23 - Service: BullGuard File Monitoring (BsFileSpy) - Unknown owner - C:\WINDOWS\System32\svchost.exe" -k bg5 (file missing)
    O23 - Service: BullGuard Firewall (BsFirewall) - Unknown owner - C:\WINDOWS\System32\svchost.exe" -k bg5 (file missing)
    O23 - Service: BullGuard Email Monitoring (BsMailProxy) - Unknown owner - C:\WINDOWS\System32\svchost.exe" -k bg5 (file missing)
    O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Program Files\Ahead\InCD\InCDsrv.exe
    O23 - Service: Norton AntiVirus Auto-Protect-service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus
    avapsvc.exe
    O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset
    od32krn.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
    O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
    O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools - C:\Program Files\Spyware Doctor\sdhelp.exe
    O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe


    BullGuard (en een deel van Norton 2005?) gaan eraf, komt Nod met ZA op..

    Alvast bedankt heren :wink:

    Edit: Zie dat het een lop is en dat ze m niet goed heeft uitgepakt, even regelen, ff goede map
  • Je hebt Waarschijnlijk Messengerplus geïnstalleerd met Sponsors. Hierdoor is de computer geïnfecteerd met LOP.
    Ga naar Configuratiescherm - Software - Programma's wijzigen en verwijderen. Deïnstalleer Messenger plus. (Later kan je deze terug installeren, maar kies dan voor een installatie zonder sponsors.)
    Tijdens het deïnstallatieprocess wordt er gevraagd om een securitycode in te geven. Doe dit.

    Probeer ook dit programma bij Software te deïnstalleren:
    [b:f85af1829f]MediaGateway[/b:f85af1829f]

    Als je dit gedaan hebt, herstart je de computer en voer je de volgende stappen uit:

    1. Eerst moet je Microsoft Antispyware uitschakelen. Deze kan de veranderingen die je zelf aanbrengt op je systeem terug ongedaan maken.
    Open Microsoft AntiSpyware.
    Klik op "Tools" en dan op "Settings".
    In het linkervenster klik je op "Real-time Protection".
    Onder Startup Options haal je het vinkje weg bij "Enable the Microsoft AntiSpyware Security Agents on startup (recommended)".
    Onder Real-time spyware threat protection haal je he vinkje weg bij "Enable real-time spyware threat protection (recommended)".
    Als je dit gedaan hebt klik je op "Save" en sluit je Microsoft AntiSpyware.
    Rechtsklik op het Microsoft AntiSpyware icoontje in de taakbalk en kies voor "Shutdown Microsoft AntiSpyware".

    2. Download en installeer CCleaner.
    Gebruik het programma nog niet.

    3. Zorg ervoor dat alle verborgen bestanden en mappen weergegeven worden. Hoe verborgen bestanden en mappen weergeven.
    Haal ook het vinkje weg bij: "Bestandsextensies verbergen voor bekende bestandstypes". Dit bevestigen met "OK".

    4. Start de computer in veilige modus.

    5. Start HijackThis nog een keer kies voor "Do a system scan only" en plaats alleen een vinkje voor de volgende regels:
    [b:f85af1829f]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.rvriwubrntpsndchywd.org/75lBi48LiweBvQgum/QQz6v0v_KMtyt_8NnMOqs0S4sEW93YEb59JFOun/XdQmFU.htm
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wgonyvhckzlsufe.com/75lBi48Liwfdgi59udf9SdYSI4ANNXH3OSE51CGEE38.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    O2 - BHO: (no name) - {17083479-E8FE-0907-B615-819DBDBD1890} - (no file)
    O2 - BHO: (no name) - {4CCBC1DF-7520-0D5F-E02C-9A7B7968805C} - C:\DOCUME~1\Sjors\APPLIC~1\MIXBIN~1\meowmpeg.exe
    O3 - Toolbar: (no name) - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - (no file)
    O4 - HKLM\..\Run: [meet ping proc cast] C:\Documents and Settings\All Users\Application Data\Scr anti meet ping\SlowFork.exe
    O4 - HKLM\..\Run: [MediaGateway] C:\Program Files\MediaGateway\MediaGateway.exe
    O4 - HKLM\..\Run: [Idlelogobendchic] C:\Documents and Settings\All Users\Application Data\Face Hide Idle Logo\defy bat.exe
    O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
    O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralInitialSetup1.0.0.8.cab
    O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} - http://www.tbcode.com/ist/softwares/v4.0/0006_regular.cab
    O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} (MediaGatewayX) - http://static.zangocash.com/cab/180solutions/ie/bridge-c24.cab
    O16 - DPF: {B73BC7C7-858B-49FA-BBDB-74DD77D1D9F3} ({B73BC7C7-858B-49FA-BBDB-74DD77D1D9F3}) - http://camz.tintel.nl/installcab.php[/b:f85af1829f]
    Sluit alle open vensters(behalve HijackThis), klik daarna op "Fix checked" en sluit HijackThis af.

    6. Zoek met je verkenner de volgende mappen(vetgedrukt) en verwijder deze indien ze aanwezig zijn:
    C:\DOCUME~1\Sjors\APPLIC~1\[b:f85af1829f]MIXBIN~1[/b:f85af1829f]\
    C:\Documents and Settings\All Users\Application Data\[b:f85af1829f]Scr anti meet ping[/b:f85af1829f]\
    C:\Program Files\[b:f85af1829f]MediaGateway[/b:f85af1829f]\
    C:\Documents and Settings\All Users\Application Data\[b:f85af1829f]Face Hide Idle Logo[/b:f85af1829f]\

    7. [b:f85af1829f]Tip bij het gebruik van Ccleaner:[/b:f85af1829f]
    Ccleaner verwijdert ook cookies. Cookies zijn meestal gewoon nutteloos,
    soms zelfs kwaadaardig, maar er zijn er ook enkele die nodig zijn voor het inloggen op bepaalde websites.
    Ccleaner biedt je de mogelijkheid om in te stellen welke cookies je behouden wilt.
    Kijk hiervoor bij "Opties"en dan Cookies, selecteer de cookies die je behouden wilt en plaats die in de "Te behouden cookies" ruimte.
    Klik daarna op de knop "Opschonen".

    8. Herstart de computer in normale modus.

    9. Doe een online scan via Panda's online virus scan.
    Krijg je de mogelijkheid om een logje op te slaan dan doe je dit.

    10. Start HijackThis opnieuw, maak een nieuwe log en post deze ter controle en post ook het logje van Panda.

    11. Open een klablokbestand.
    Kopieer onderstaande code in dit kladblokbestand.
    Ga naar Bestand - Opslaan als.
    Bij "Opslaan in" kies je: Bureaublad
    Bij "Bestandsnaam" zet je: vindjob.bat
    Bij "Opslaan als type" selecteer je: Alle bestanden (*.*).
    Klik op de knop Opslaan.
    [code:1:f85af1829f]dir %Windir%\tasks /a:h > files.txt
    notepad files.txt[/code:1:f85af1829f]
    Dubbelklik op vindjob.bat
    Er opent een kladblokbestand. Post ook de inhoud van dit kladblokbestand.

    Groeten smeenk ;)
  • Alvast bedankt Smeenk, ik ga vanavond weer naar die vriendin toe, zal het dan even doen voor je. Intussen heb ik Messenger Plus en MediaGateway al verwijdert.. :wink:

    Edit, ja ik probeer zelf ook een beetje mee te kijken.. :) Ik heb de laatste map nog niet kunnen verwijderen aangezien het vanaf hier nog niet gelukt s haar uit te leggen hoe ze in safe mode boot..

    Edit: Hier alvast het panda logje:


    Incident Status Location

    Spyware:spyware/betterinet Not disinfected C:\WINDOWS\INF\satmat.inf
    Adware:adware/twain-tech Not disinfected C:\WINDOWS\satmat.ini
    Adware:adware/ezula Not disinfected C:\WINDOWS\woinstall.exe
    Adware:adware/powerscan Not disinfected C:\Documents and Settings\Sjors\Menu Start\Programma's\Power Scan
    Potentially unwanted tool:application/mywebsearch Not disinfected C:\PROGRAM FILES\MyWebSearch
    Adware:adware/cws Not disinfected Windows Registry
    Spyware:Cookie/YieldManager Not disinfected C:\Documents and Settings\Sjors\Cookies\sjors@ad.yieldmanager[1].txt
    Spyware:Cookie/Belnk Not disinfected C:\Documents and Settings\Sjors\Cookies\sjors@belnk[1].txt
    Spyware:Cookie/Belnk Not disinfected C:\Documents and Settings\Sjors\Cookies\sjors@dist.belnk[2].txt
    Spyware:Cookie/MetriWeb Not disinfected C:\Documents and Settings\Sjors\Cookies\sjors@metriweb[1].txt
    Spyware:Cookie/Match Not disinfected C:\Documents and Settings\Sjors\Application Data\Mozilla\Firefox\Profiles\hkibz5p6.default\cookies.txt[promo.match.com/]
    Spyware:Cookie/Atlas DMT Not disinfected C:\Documents and Settings\Sjors\Application Data\Mozilla\Firefox\Profiles\hkibz5p6.default\cookies.txt[.atdmt.com/]
    Spyware:Cookie/Xiti Not disinfected C:\Documents and Settings\Sjors\Application Data\Mozilla\Firefox\Profiles\hkibz5p6.default\cookies.txt[.xiti.com/]
    Spyware:Cookie/Lop Not disinfected C:\Documents and Settings\Sjors\Application Data\Mozilla\Firefox\Profiles\hkibz5p6.default\cookies.txt[.lop.com/]
    Spyware:Cookie/Lop Not disinfected C:\Documents and Settings\Sjors\Application Data\Mozilla\Firefox\Profiles\hkibz5p6.default\cookies.txt[.images.lop.com/]
    Spyware:Cookie/Advnt Not disinfected C:\Documents and Settings\Sjors\Application Data\Mozilla\Firefox\Profiles\hkibz5p6.default\cookies.txt[.www.advnt01.com/]
    Spyware:Cookie/WebtrendsLive Not disinfected C:\Documents and Settings\Sjors\Application Data\Mozilla\Firefox\Profiles\hkibz5p6.default\cookies.txt[.statse.webtrendslive.com/]
    Spyware:Cookie/Mediaplex Not disinfected C:\Documents and Settings\Sjors\Application Data\Mozilla\Firefox\Profiles\hkibz5p6.default\cookies.txt[.mediaplex.com/]
    Spyware:Cookie/Falkag Not disinfected C:\Documents and Settings\Sjors\Application Data\Mozilla\Firefox\Profiles\hkibz5p6.default\cookies.txt[.as1.falkag.de/]
    Spyware:Cookie/Doubleclick Not disinfected C:\Documents and Settings\Sjors\Application Data\Mozilla\Firefox\Profiles\hkibz5p6.default\cookies.txt[.doubleclick.net/]
    Spyware:Cookie/Casalemedia Not disinfected C:\Documents and Settings\Sjors\Application Data\Mozilla\Firefox\Profiles\hkibz5p6.default\cookies.txt[.casalemedia.com/]
    Spyware:Cookie/Hitbox Not disinfected C:\Documents and Settings\Sjors\Application Data\Mozilla\Firefox\Profiles\hkibz5p6.default\cookies.txt[.hitbox.com/]
    Spyware:Cookie/Bluestreak Not disinfected C:\Documents and Settings\Sjors\Application Data\Mozilla\Firefox\Profiles\hkibz5p6.default\cookies.txt[.bluestreak.com/]
    Spyware:Cookie/Lop Not disinfected C:\Documents and Settings\Sjors\Application Data\Mozilla\Firefox\Profiles\hkibz5p6.default\cookies.txt[.ayb.lop.com/]
    Spyware:Cookie/WebtrendsLive Not disinfected C:\Documents and Settings\Sjors\Application Data\Mozilla\Firefox\Profiles\hkibz5p6.default\cookies.txt[.statse.webtrendslive.com/dcs2omr9fpifwznrgv67zf9ub_7p8i]
    Adware:Adware/Lop Not disinfected C:\Documents and Settings\All Users\Application Data\Face Hide Idle Logo\bat bags.exe
    Adware:Adware/Lop Not disinfected C:\Documents and Settings\All Users\Application Data\Face Hide Idle Logo\chicdeaf.exe
    Adware:Adware/Lop Not disinfected C:\Documents and Settings\All Users\Application Data\Face Hide Idle Logo\fast phone.exe
    Adware:Adware/Lop Not disinfected C:\Documents and Settings\All Users\Application Data\Face Hide Idle Logo\vgamfcd.exe
    Spyware:Cookie/Azjmp Not disinfected C:\Documents and Settings\Gast\Cookies\gast@azjmp[2].txt
    Spyware:Cookie/OfferOptimizer Not disinfected C:\Documents and Settings\Gast\Cookies\gast@offeroptimizer[1].txt
    Adware:Adware/Lop Not disinfected C:\Documents and Settings\Sjors\Application Data\About Surf Jugs\Dash Option Proc Readme.exe
    Adware:Adware/Lop Not disinfected C:\Documents and Settings\Sjors\Application Data\About Surf Jugs\lqrtfyof.exe
    Adware:Adware/Lop Not disinfected C:\Documents and Settings\Sjors\Application Data\About Surf Jugs\manager4drive.exe
    Adware:Adware/Lop Not disinfected C:\Documents and Settings\Sjors\Application Data\About Surf Jugs\ojwehrul.exe
    Adware:Adware/Lop Not disinfected C:\Documents and Settings\Sjors\Application Data\About Surf Jugs\pvpydrvu.exe
    Adware:Adware/Lop Not disinfected C:\Documents and Settings\Sjors\Application Data\About Surf Jugs\raefwmkj.exe
    Adware:Adware/Lop Not disinfected C:\Documents and Settings\Sjors\Application Data\About Surf Jugs\wgnvywzl.exe
    Spyware:Cookie/Match Not disinfected C:\Documents and Settings\Sjors\Application Data\Mozilla\Firefox\Profiles\hkibz5p6.default\cookies.txt[]
    Spyware:Cookie/WebtrendsLive Not disinfected C:\Documents and Settings\Sjors\Application Data\Mozilla\Firefox\Profiles\hkibz5p6.default\cookies.txt[dcs2omr9fpifwznrgv67zf9ub_7p8i]
    Spyware:Cookie/YieldManager Not disinfected C:\Documents and Settings\Sjors\Cookies\sjors@ad.yieldmanager[1].txt
    Spyware:Cookie/Belnk Not disinfected C:\Documents and Settings\Sjors\Cookies\sjors@belnk[1].txt
    Spyware:Cookie/Belnk Not disinfected C:\Documents and Settings\Sjors\Cookies\sjors@dist.belnk[2].txt
    Spyware:Cookie/MetriWeb Not disinfected C:\Documents and Settings\Sjors\Cookies\sjors@metriweb[1].txt
    Adware:Adware/Lop Not disinfected C:\Documents and Settings\Sjors\Local Settings\Temp\sta18.exe
    Adware:Adware/Lop Not disinfected C:\Documents and Settings\Sjors\Local Settings\Temp\sta2.exe
    Adware:Adware/Lop Not disinfected C:\Documents and Settings\Sjors\Local Settings\Temporary Internet Files\Content.IE5\5F3TEPZE\upAYB[2].int
    Spyware:Cookie/Atlas DMT Not disinfected C:\Documents and Settings\Sjors_2\Cookies\sjors_2@atdmt[2].txt
    Spyware:Cookie/Lop Not disinfected C:\Documents and Settings\Sjors_2\Cookies\sjors_2@ayb.lop[1].txt
    Spyware:Cookie/Doubleclick Not disinfected C:\Documents and Settings\Sjors_2\Cookies\sjors_2@doubleclick[2].txt
    Adware:Adware/Lop Not disinfected C:\Mijn documentenHJT\hijackthis\backups\backup-20060125-183928-718.dll
    Potentially unwanted tool:Application/FunWeb Not disinfected C:\Mijn documentenHJT\hijackthis\backups\backup-20060125-192651-176.inf
    Adware:Adware/IST.SideFind Not disinfected C:\Program Files\Microsoft AntiSpyware\Quarantine\263CBEE8-3E17-43E2-808A-FAC243\2F2C4189-C1B2-447C-8224-704817
    Adware:Adware/IST.SideFind Not disinfected C:\Program Files\Microsoft AntiSpyware\Quarantine\263CBEE8-3E17-43E2-808A-FAC243\EDA7446F-7721-4695-8F84-EA7B09
    Adware:Adware/SurfAccuracy Not disinfected C:\Program Files\Microsoft AntiSpyware\Quarantine\95D30863-8C43-40DF-8D7D-5FC8D8\C9B5F5BF-A992-4A6F-9FFB-7667C8
    Adware:Adware/Lop Not disinfected C:\RECYCLER\NPROTECT\00278161.del
    Adware:Adware/Lop Not disinfected C:\RECYCLER\NPROTECT\00278162.EXE
    Adware:Adware/Lop Not disinfected C:\RECYCLER\NPROTECT\00278163.EXE
    Adware:Adware/Lop Not disinfected C:\RECYCLER\NPROTECT\00278164.exe
    Adware:Adware/Lop Not disinfected C:\RECYCLER\NPROTECT\00279484.exe
    Adware:Adware/Lop Not disinfected C:\RECYCLER\NPROTECT\00279491.exe
    Adware:Adware/Lop Not disinfected C:\RECYCLER\NPROTECT\00279492.del
    Adware:Adware/Lop Not disinfected C:\RECYCLER\NPROTECT\00279493.EXE
    Adware:Adware/Lop Not disinfected C:\RECYCLER\NPROTECT\00279494.exe
    Adware:Adware/Lop Not disinfected C:\RECYCLER\NPROTECT\00279495.EXE
    Adware:Adware/Lop Not disinfected C:\RECYCLER\NPROTECT\00279562.exe
    Adware:Adware/Lop Not disinfected C:\RECYCLER\NPROTECT\00279566.EXE
    Adware:Adware/Lop Not disinfected C:\RECYCLER\NPROTECT\00279567.del
    Adware:Adware/Lop Not disinfected C:\RECYCLER\NPROTECT\00279568.EXE
    Adware:Adware/Lop Not disinfected C:\RECYCLER\NPROTECT\00279569.EXE
    Adware:Adware/Lop Not disinfected C:\RECYCLER\NPROTECT\00279570.exe
    Adware:Adware/Lop Not disinfected C:\RECYCLER\NPROTECT\00280090.exe
    Adware:Adware/Lop Not disinfected C:\RECYCLER\NPROTECT\00280321.exe
    Adware:Adware/Lop Not disinfected C:\RECYCLER\NPROTECT\00280335.exe
    Adware:Adware/Lop Not disinfected C:\RECYCLER\NPROTECT\00280340.EXE
    Adware:Adware/Lop Not disinfected C:\RECYCLER\NPROTECT\00280342.EXE
    Adware:Adware/Lop Not disinfected C:\RECYCLER\NPROTECT\00280343.EXE
    Adware:Adware/Lop Not disinfected C:\RECYCLER\NPROTECT\00280345.del
    Adware:Adware/Lop Not disinfected C:\RECYCLER\NPROTECT\00280346.exe
    Adware:Adware/Lop Not disinfected C:\RECYCLER\NPROTECT\00280347.EXE
    Adware:Adware/Lop Not disinfected C:\RECYCLER\NPROTECT\00280348.EXE
    Adware:Adware/Lop Not disinfected C:\RECYCLER\NPROTECT\00280349.exe
    Adware:Adware/Lop Not disinfected C:\RECYCLER\NPROTECT\00280350.exe
    Adware:Adware/Lop Not disinfected C:\RECYCLER\NPROTECT\00280522.exe
    Adware:Adware/Lop Not disinfected C:\RECYCLER\S-1-5-21-3386029760-2151744222-3418594905-1005\Dc16\meowmpeg.exe
    Adware:Adware/Lop Not disinfected C:\RECYCLER\S-1-5-21-3386029760-2151744222-3418594905-1005\Dc17\Draw Axis.exe
    Adware:Adware/Lop Not disinfected C:\RECYCLER\S-1-5-21-3386029760-2151744222-3418594905-1005\Dc17\ENCTONS.exe
    Adware:Adware/Lop Not disinfected C:\RECYCLER\S-1-5-21-3386029760-2151744222-3418594905-1005\Dc17\Facedale.exe
    Adware:Adware/Lop Not disinfected C:\RECYCLER\S-1-5-21-3386029760-2151744222-3418594905-1005\Dc17\Pile Slow.exe
    Adware:Adware/Lop Not disinfected C:\RECYCLER\S-1-5-21-3386029760-2151744222-3418594905-1005\Dc17\Second Okay.exe
    Adware:Adware/Lop Not disinfected C:\RECYCLER\S-1-5-21-3386029760-2151744222-3418594905-1005\Dc17\SlowFork.exe
    Adware:Adware/Lop Not disinfected C:\RECYCLER\S-1-5-21-3386029760-2151744222-3418594905-1005\Dc17\spam global.exe
    Adware:Adware/Lop Not disinfected C:\RECYCLER\S-1-5-21-3386029760-2151744222-3418594905-1005\Dc17\Trans Online.exe
    Adware:Adware/Lop Not disinfected C:\RECYCLER\S-1-5-21-3386029760-2151744222-3418594905-1005\Dc17\warnkeep.exe
    Adware:Adware/IST.ISTBar Not disinfected C:\WINDOWS\Downloaded Program Files\CONFLICT.1\ISTactivex.inf
    Adware:Adware/IST.ISTBar Not disinfected C:\WINDOWS\Downloaded Program Files\CONFLICT.2\istactivex.inf
    Spyware:Spyware/BetterInet Not disinfected C:\WINDOWS\inf\satmat.inf
    Joke:Joke/Justakiss Not disinfected C:\WINDOWS\Kusje.scr
    Adware:Adware/IPInsight Not disinfected C:\WINDOWS\satmat.ini
  • Mooi dat je die zelf al gevonden had :)
  • Jammer dat je je laatste bericht bewerkt hebt, daardoor kreeg ik geen melding dat je gepost had :wink:

    Download Killbox.
    Klik op killbox.exe.
    Kies de optie: "[b:b33b863098]Delete on reboot[/b:b33b863098]".

    [b:b33b863098]Kopieer[/b:b33b863098] het volgende vetgedrukt deel:

    [b:b33b863098]C:\WINDOWS\INF\satmat.inf
    C:\WINDOWS\satmat.ini
    C:\WINDOWS\woinstall.exe
    C:\WINDOWS\Downloaded Program Files\CONFLICT.1\ISTactivex.inf
    C:\WINDOWS\Downloaded Program Files\CONFLICT.2\istactivex.inf
    C:\WINDOWS\Kusje.scr [/b:b33b863098]

    Open [b:b33b863098]'file'[/b:b33b863098] in het killboxmenu bovenaan en kies: [b:b33b863098]Paste from clipboard[/b:b33b863098]

    Je zal zien, het bovenstaande vetgedrukte zal staan in het "Full Path of File to Delete"-veld.
    Er is een klein pijltje naast dat veld. Als je daarop klikt zal je al die bovenstaande lijntjes (indien bestanden aanwezig) die je gekopieerd hebt zien staan (dit is alvast de bedoeling)

    Klik op de knop: [b:b33b863098]All files[/b:b33b863098] (!Belangrijk!)

    Daarna, Klik op de rode cirkel met het wit kruisje erin.
    Killbox zal zeggen dat deze file zal verwijderd worden on reboot.. vraagt om nu te rebooten. Klik YES.

    Je pc moet nu rebooten.

    Na het herstarten moet je de volgende vetgedrukte mappen verwijderen:
    C:\Documents and Settings\All Users\Application Data\[b:b33b863098]Face Hide Idle Logo[/b:b33b863098]\
    C:\Documents and Settings\Sjors\Application Data\[b:b33b863098]About Surf Jugs[/b:b33b863098]\
    C:\Documents and Settings\Sjors\Local Settings\[b:b33b863098]Temp[/b:b33b863098]\ <= deze map niet verwijderen maar wel helemaal leeg maken
    C:\[b:b33b863098]!Killbox[/b:b33b863098]\ <= dit zijn de backups van Killbox en deze mogen wel weg
    C:\Documents and Settings\Sjors\Menu Start\Programma's\[b:b33b863098]Power Scan[/b:b33b863098]\
    C:\PROGRAM FILES\[b:b33b863098]MyWebSearch[/b:b33b863098]\

    Als je dit gedaan hebt start je Ccleaner en klik je op de knop "Opschonen".

    Denk ook aan het logje van vindjob.bat(dit is heel belangrijk bij deze infectie)

    Groeten smeenk :wink:
  • Daar denk ik ook aan ja, moet alleen alles stap voor stap voorkouwen, gaat dus nogal traag maar ze wil het graag zelf doen.. :roll: Alvast bedankt, we kunnen morgen weer verder, ik zal dan eerst die eerste stap(pen) nog afmaken..
  • Niets mis mee dat ze alles zelf wil doen, neem de tijd er maar voor en ik zie de logjes wel verschijnen :wink:

    Groeten smeenk
  • Hoi Smeenk, weer even een logje na het verwijderen van alle sleutels die je had aangegeven, ik ga nu verder met de rest.

    Logfile of HijackThis v1.99.1
    Scan saved at 13:45:09, on 2006-01-29
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\BullGuard Software\BullGuard 5.0\BullGuardUpdate.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Ahead\InCD\InCDsrv.exe
    C:\Program Files\Eset
    od32krn.exe
    C:\Program Files\Spyware Doctor\sdhelp.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
    C:\WINDOWS\Explorer.EXE
    C:\ATI-CPanel\atiptaxx.exe
    C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
    C:\Program Files\Ahead\InCD\InCD.exe
    C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
    C:\WINDOWS\vsnpstd.exe
    C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\Eset
    od32kui.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
    C:\Program Files\BullGuard Software\BullGuard 5.0\bullguard.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
    C:\Program Files\Logitech\SetPoint\KEM.exe
    C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE
    C:\Program Files\Messenger\msmsgs.exe
    c:\progra~1\intern~1\iexplore.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Mijn documentenHJT\hijackthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {4CCBC1DF-7520-0D5F-E02C-9A7B7968805C} - C:\DOCUME~1\Sjors\APPLIC~1\MIXBIN~1\Style Upload.exe
    O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
    O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
    O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
    O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
    O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
    O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset
    od32kui.exe" /WAITSERVICE
    O4 - HKLM\..\Run: [Idlelogobendchic] C:\Documents and Settings\All Users\Application Data\Face Hide Idle Logo\face bore.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
    O4 - HKCU\..\Run: [BullGuard 5.0] "C:\Program Files\BullGuard Software\BullGuard 5.0\bullguard.exe"
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [shim2] C:\DOCUME~1\Sjors\APPLIC~1\ABOUTS~1\Phonethat.exe
    O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
    O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\KEM.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin
    pjpi142_03.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin
    pjpi142_03.dll
    O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~2\tools\iesdpb.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
    O16 - DPF: {05D96F71-87C6-11D3-9BE4-00902742D6E0} (QuickPlace Class) - http://members.portfolio4u.nl/qp2.cab
    O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
    O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab27571.cab
    O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
    O16 - DPF: {37802401-C7E2-11D7-8582-0048548470B6} (VRCLoader) - http://www.connectu.nl/download/vrcloader.cab
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
    O16 - DPF: {5D9E4B6D-CD17-4D85-99D4-6A52B394EC3B} (WSDownloader Control) - http://www.webshots.com/samplers/WSDownloader.ocx
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
    O16 - DPF: {98827C42-6A82-11D7-8582-0048548470B6} (VideoRaver) - http://www.connectu.nl/download/videoraver.cab
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
    O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab31267.cab
    O16 - DPF: {E3802230-F0E2-4A75-9947-EAB78DD8153F} (InstallerX Class) - http://www.klikeuro.nl/cab/EasyWebInstaller.cab
    O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
    O23 - Service: BullGuard LiveUpdate (BGLiveSvc) - BullGuard, Ltd. - C:\Program Files\BullGuard Software\BullGuard 5.0\BullGuardUpdate.exe
    O23 - Service: BullGuard Main (BGMainSvc) - Unknown owner - C:\WINDOWS\System32\svchost.exe" -k bg5 (file missing)
    O23 - Service: BullGuard File Monitoring (BsFileSpy) - Unknown owner - C:\WINDOWS\System32\svchost.exe" -k bg5 (file missing)
    O23 - Service: BullGuard Firewall (BsFirewall) - Unknown owner - C:\WINDOWS\System32\svchost.exe" -k bg5 (file missing)
    O23 - Service: BullGuard Email Monitoring (BsMailProxy) - Unknown owner - C:\WINDOWS\System32\svchost.exe" -k bg5 (file missing)
    O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Program Files\Ahead\InCD\InCDsrv.exe
    O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset
    od32krn.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
    O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools - C:\Program Files\Spyware Doctor\sdhelp.exe
    O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

    Ik vind het wel opvallend veel ActiveX'en of ligt dat aan mij? :roll:
  • Deze maar even in een nieuw bericht, is denk ik makkelijker voor je. Komt ie, het logje van tasks:

    De volumenaam van station C is 53_05_33
    Het volumenummer is C8C8-84C4

    Map van C:\WINDOWS\tasks

    2006-01-29 13:00 262 AAE0D88391A356DB.job
    2002-09-11 13:00 65 desktop.ini
    2006-01-29 12:24 6 SA.DAT
    3 bestand(en) 333 bytes
    0 map(pen) 61.637.500.928 bytes beschikbaar
  • Open kladblok en kopieer onderstaande code in dit kladblokbestand. Sla het op als deljob.bat
    Kies voor opslaan als bestandstype: Alle bestanden(*.*)
    [code:1:d1aa9a522e]%systemdrive%
    cd C:\WINDOWS\Tasks
    attrib -r -s -h AAE0D88391A356DB.job
    del AAE0D88391A356DB.job[/code:1:d1aa9a522e]Dubbelklik op deljob.bat en voer daarna vindjob nog een keer uit en post het resultaat.
  • De volumenaam van station C is 53_05_33
    Het volumenummer is C8C8-84C4

    Map van C:\WINDOWS\tasks

    2002-09-11 13:00 65 desktop.ini
    2006-01-29 14:24 6 SA.DAT
    2 bestand(en) 71 bytes
    0 map(pen) 61.617.569.792 bytes beschikbaar

    De taak van Lop is verdwenen.. :wink:
  • Ik zie trouwens nog wat regels van LOP in je laatste HijackThis logje staan:

    [b:c024f4e194]O4 - HKLM\..\Run: [Idlelogobendchic] C:\Documents and Settings\All Users\Application Data\Face Hide Idle Logo\face bore.exe
    O4 - HKCU\..\Run: [shim2] C:\DOCUME~1\Sjors\APPLIC~1\ABOUTS~1\Phonethat.exe[/b:c024f4e194]

    Verwijder die nog met HijackThis, herstart daarna de computer en plaats een nieuw log ter controle.
    Kijk ook even of de bijbehorende mappen en bestanden aanwezig zijn, het lijkt namelijk om een herinfectie te gaan, die veroorzaakt is door het te lang aanwezig zijnde job-bestand.

    Groeten smeenk :wink:
  • Hoi Smeenk,

    Ik ga als het goed is volgend weekend weer bij haar langs en zal dan zelf alles even nalopen :wink:

    Edit: Hoe zet ik met killbox een backup terug (nee, ik heb die map met backups niet weggegooid) het probleem is als volgt: Killbox zou de files deleten on reboot, toen rebootte ze en werd volgens haar het scherm zwart, ze zette de PC uit en startte weer opnieuw. Als ze nu met killbox weer opnieuw probeert krijg je heel kort een blauwe regel te zien. Maar de files bevinden zich nog wel op de PC.
  • Ik weet het niet, zijn er bestanden verwijderd die niet verwijderd hadden mogen worden?
    Zorg anders dat verborgen bestanden en mappen weergegeven worden en verwijder in veilige modus de genoemde bestanden en mappen en laat na afloop Ccleaner de boel nog eens opschonen.

    Groeten smeenk
  • Dat was mijn oplossing inderdaad ook al, als het goed is ben ik er eind deze week dus kan ik alles zelf even nalopen.. :wink:

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.