Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

Hijack log file

smeenk
19 antwoorden
  • Wie wil me helpen met het opschonen van dit Hijack logfile?

    Ik wordt geteisterd door een vreselijke pop-up melding vanuit de taakbalk van spyfalcon, een programma dat zich steeds weer installeert bij opstarten.
    Heb Adaware ,Spybot en CWshredder gerdraaid.



    Logfile of HijackThis v1.99.1
    Scan saved at 20:59:35, on 8-2-2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
    C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
    C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
    C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\mssearchnet.exe
    C:\WINDOWS\system32
    vctrl.exe
    D:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
    D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\Program Files\Common Files\Real\Update_OB\realsched.exe
    C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    C:\WINDOWS\system32\dla\tfswctrl.exe
    C:\Program Files\Common Files\Symantec Shared\ccApp.exe
    C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    C:\WINDOWS\system32\ctfmon.exe
    D:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
    C:\Program Files\Norton AntiVirus
    avapsvc.exe
    C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
    C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
    D:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
    C:\Program Files\Analog Devices\SoundMAX\spkrmon.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    C:\Program Files\Common Files\Symantec Shared\Security Console\NSCSRVCE.EXE
    C:\Program Files\Trend Micro\Tmas\tmas.exe
    D:\Program Files\firefox.exe
    C:\Documents and Settings\Cees\Bureaublad\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O2 - BHO: HomepageBHO - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\system32\hp7714.tmp
    O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll (file missing)
    O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
    O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [DVDLauncher] "D:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
    O4 - HKLM\..\Run: [Zone Labs Client] D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
    O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
    O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe"

    O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe
    O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Trend Micro Anti-Spyware.lnk = C:\Program Files\Trend Micro\Tmas\Tmas.exe
    O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
    O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
    O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
    O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
    O8 - Extra context menu item: Easy-WebPrint Add To Print List - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
    O8 - Extra context menu item: Easy-WebPrint High Speed Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
    O8 - Extra context menu item: Easy-WebPrint Preview - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
    O8 - Extra context menu item: Easy-WebPrint Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
    O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
    O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll (file missing)
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll (file missing)
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
    O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20041101/qtinstall.info.apple.com/pthalo/us/win/QuickTimeFullInstaller.exe
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101543643671
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
    O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://asp02.photoprintit.de/microsite/8/defaults/activex/XUpload.ocx
    O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - D:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
    O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: Norton AntiVirus Auto-Protect-service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus
    avapsvc.exe
    O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
    O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
    O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Console\NSCSRVCE.EXE
    O23 - Service: Photoshop Elements Device Connect (PhotoshopElementsDeviceConnect) - Unknown owner - D:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
    O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
    O23 - Service: SPBBCSvc - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
    O23 - Service: spkrmon - Unknown owner - C:\Program Files\Analog Devices\SoundMAX\spkrmon.exe
    O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



  • Het is zeer belangrijk dat je álle stappen zorgvuldig uitvoert en dat ook in deze volgorde doet. Print de instructies even uit of sla ze op in een tekstbestandje, want als je straks in veilige modus bent kun je deze site niet raadplegen (want dan heb je geen internetverbinding).


    1. Download [b:8462913901]smitRem.exe[/b:8462913901] van één van de volgende locaties:

    http://noahdfear.geekstogo.com/click%20counter/click.php?id=1
    http://www.downloads.subratam.org/smitRem.exe

    Sla het op op het Bureaublad.
    Dubbelklik op het bestand om het uit te pakken naar zijn eigen map op het Bureaublad.

    2. Download, installeer en update de gratis trial versie van [b:8462913901]Ewido anti-malware[/b:8462913901]
    [list:8462913901][*:8462913901]Tijdens de installatie, onder "Additional Options", haal je de vinkjes weg bij "Install background guard" en "Install scan via context menu".[*:8462913901]Als je Ewido voor de eerste keer runt, kun je een foutmelding krijgen "Database could not be found!". Klik dan op [b:8462913901]OK[/b:8462913901]. Dit is normaal.[*:8462913901]In het hoofdscherm van Ewido, klik je op [b:8462913901]update[/b:8462913901] in het linker menu, en vervolgens op de [b:8462913901]Start update[/b:8462913901] knop.[*:8462913901]Als de updates gedaan zijn, zal er op de statusbalk beneden "Update successful" staan.[*:8462913901]Sluit Ewido. Laat het nog [b:8462913901]niet[/b:8462913901] scannen[/list:u:8462913901]
    3. Start de computer [b:8462913901]in veilige modus[/b:8462913901].
    (Kijk hier eventueel voor uitleg.)

    [b:8462913901][i:8462913901]De stappen 4 t/m 6 nu in veilige modus uitvoeren![/i:8462913901][/b:8462913901]

    4. Open de SmitRem map, die op je bureaublad staat.

    Dubbelklik op [b:8462913901]RunThis.bat[/b:8462913901] om het programma uit te voeren.
    Volg de instructies op het scherm. Wacht tot het helemaal klaar is - dit kan een poosje duren, wees geduldig.
    (Schrik niet als je taakbalk e.d. even verdwijnen, dat is normaal.)

    5. Open [b:8462913901]Ewido anti-malware[/b:8462913901][list:8462913901][*:8462913901]klik op [b:8462913901]Scanner[/b:8462913901][*:8462913901]Klik op [b:8462913901]complete system scan[/b:8462913901][*:8462913901]Laat het programma je pc scannen (NB: de scan kan lang duren!)[/list:u:8462913901]Tijdens de scan zal je gevraagd worden of je gevonden bestanden wilt verwijderen. Klik dan op [b:8462913901]OK[/b:8462913901]
    Als de scan beëindigd is, zul je een knop zien: [b:8462913901]Bewaar rapport[/b:8462913901][list:8462913901][*:8462913901]Klik op [b:8462913901]Bewaar rapport[/b:8462913901][*:8462913901]Sla het rapport op op je bureaublad[*:8462913901]Sluit Ewido af[/list:u:8462913901]
    6. Ga naar Start -> configuratiescherm -> vormgeving en thema's (als dat er niet staat moet je even op "Categorieweergave" klikken) -> bureaublad -> bureaublad aanpassen -> Website -> verwijder alles wat daar eventueel staat (behalve "Mijn huidige pagina").

    7. Herstart de computer in 'normale modus'.

    8. Plaats hier in je volgende bericht
      [*:8462913901]het log van SmitRem (dat is C:\[b:8462913901]smitfiles.txt[/b:8462913901]);[*:8462913901]het rapport van de Ewido scan;[*:8462913901]een nieuw HijackThis-log.[/list:o:8462913901]
  • Bedankt ! Het is dus dit Trojan virus !

    In de versie van Ewido die ik nu download kun je geen updates meer doen of je moet een versie kopen voor € 30.
    Moet ik dat doen om van dit virus af te komen ?

    Wanneer ik in veilige modus RunThis.bat van SmitRem start blijft de cursor knipperen en reageert deze niet op het drukken op een toets.
    Hoe moet ik dat oplossen ?
  • Dat hoor ik voor het eerst, zover ik weet kan je Ewido wel updaten.
    Als het echt niet lukt sla Ewido dan maar over en probeer die online scan van Ewido maar eens in normale modus.
    Post nadien het logje dat je krijgt.

    Sla smitrem ook maar even over, die proberen we later nog een keer.

    Doe daarna een online scan via Panda's online virus scan.
    Krijg je de mogelijkheid om een logje op te slaan dan doe je dit.

    Herstart daarna je computer

    Start HijackThis opnieuw, maak een nieuwe log en post deze ter controle en post ook het logje van Panda.

    Groeten smeenk :wink:
  • Sorry, update gaat toch wel , het staat alleen heel onduidelijk onderaan.

    Op dit moment scant Ewido.

    Ik zal morgen de resultaten posten.

    Nogmaals bedankt voor de hulp !
  • Daar ben ik weer.

    De pop ups lijken al weg maar Norton meldt frequent dat er een Trojan.Zlob is gevonden.
    De eerste Ewido scan melde 5555 besmette bestanden ,waarvan 5554 verwijderd. Ik kon het rapport niet bewaren (?).
    Daarna nogmaals gescand: 36 bestanden , na switchen tussen update, scanner en analyse kon ik nu wel een rapport opslaan.

    Hier de files:

    ———————————————————
    ewido anti-malware - Scan rapport
    ———————————————————

    + Gemaakt op: 14:07:33, 9-2-2006
    + Rapport samenvatting: 9C329403

    + Scan resultaten:

    HKLM\SOFTWARE\Classes\CLSID\{4da4616d-7e6e-4fd9-a2d5-b6c535733e22} -> Adware.Generic : Schoongemaakt met een backup
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objecta\{4da4616d-7e6e-4fd9-a2d5-b6c535733e22} -> Adware.Generic : Schoongemaakt met een backup
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4da4616d-7e6e-4fd9-a2d5-b6c535733e22} -> Adware.Generic : Schoongemaakt met een backup
    HKU\S-1-5-21-602162358-2052111302-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4DA4616D-7E6E-4FD9-A2D5-B6C535733E22} -> Adware.Generic : Schoongemaakt met een backup
    HKU\S-1-5-21-602162358-2052111302-682003330-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4DA4616D-7E6E-4FD9-A2D5-B6C535733E22} -> Adware.Generic : Schoongemaakt met een backup
    HKU\S-1-5-21-602162358-2052111302-682003330-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E0103CD4-D1CE-411A-B75B-4FEC072867F4} -> Trojan.Puper.ac : Schoongemaakt met een backup
    C:\Documents and Settings\Frida\Cookies\frida@statcounter[1].txt -> TrackingCookie.Statcounter : Schoongemaakt met een backup
    C:\RECYCLER\NPROTECT\00035255.TXT -> TrackingCookie.Statcounter : Schoongemaakt met een backup
    C:\RECYCLER\NPROTECT\00035256.TXT -> TrackingCookie.Statcounter : Schoongemaakt met een backup
    C:\RECYCLER\NPROTECT\00035257.TXT -> TrackingCookie.Statcounter : Schoongemaakt met een backup
    C:\RECYCLER\NPROTECT\00035258.TXT -> TrackingCookie.Statcounter : Schoongemaakt met een backup
    C:\RECYCLER\NPROTECT\00035259.TXT -> TrackingCookie.Statcounter : Schoongemaakt met een backup
    C:\RECYCLER\NPROTECT\00035260.TXT -> TrackingCookie.Statcounter : Schoongemaakt met een backup
    C:\RECYCLER\NPROTECT\00035264.TXT -> TrackingCookie.Statcounter : Schoongemaakt met een backup
    C:\RECYCLER\NPROTECT\00035265.TXT -> TrackingCookie.Statcounter : Schoongemaakt met een backup
    C:\RECYCLER\NPROTECT\00035266.TXT -> TrackingCookie.Statcounter : Schoongemaakt met een backup
    C:\RECYCLER\NPROTECT\00035267.TXT -> TrackingCookie.Statcounter : Schoongemaakt met een backup
    C:\RECYCLER\NPROTECT\00035270.TXT -> TrackingCookie.Statcounter : Schoongemaakt met een backup
    C:\RECYCLER\NPROTECT\00035287.TXT -> TrackingCookie.Statcounter : Schoongemaakt met een backup
    C:\RECYCLER\NPROTECT\00035288.TXT -> TrackingCookie.Statcounter : Schoongemaakt met een backup
    C:\RECYCLER\NPROTECT\00035289.TXT -> TrackingCookie.Statcounter : Schoongemaakt met een backup
    C:\RECYCLER\NPROTECT\00035290.TXT -> TrackingCookie.Statcounter : Schoongemaakt met een backup
    C:\RECYCLER\NPROTECT\00035291.TXT -> TrackingCookie.Statcounter : Schoongemaakt met een backup
    C:\RECYCLER\NPROTECT\00035292.TXT -> TrackingCookie.Statcounter : Schoongemaakt met een backup
    C:\RECYCLER\NPROTECT\00035293.TXT -> TrackingCookie.Statcounter : Schoongemaakt met een backup
    C:\RECYCLER\NPROTECT\00035294.TXT -> TrackingCookie.Statcounter : Schoongemaakt met een backup
    C:\RECYCLER\NPROTECT\00035295.TXT -> TrackingCookie.Statcounter : Schoongemaakt met een backup
    C:\RECYCLER\NPROTECT\00035296.TXT -> TrackingCookie.Statcounter : Schoongemaakt met een backup
    C:\RECYCLER\NPROTECT\00035297.TXT -> TrackingCookie.Statcounter : Schoongemaakt met een backup
    C:\RECYCLER\NPROTECT\00035298.TXT -> TrackingCookie.Statcounter : Schoongemaakt met een backup
    C:\RECYCLER\NPROTECT\00035299.TXT -> TrackingCookie.Statcounter : Schoongemaakt met een backup
    C:\RECYCLER\NPROTECT\00035300.TXT -> TrackingCookie.Statcounter : Schoongemaakt met een backup
    C:\RECYCLER\NPROTECT\00035301.TXT -> TrackingCookie.Statcounter : Schoongemaakt met een backup
    C:\RECYCLER\NPROTECT\00035302.TXT -> TrackingCookie.Statcounter : Schoongemaakt met een backup
    C:\RECYCLER\NPROTECT\00035303.TXT -> TrackingCookie.Statcounter : Schoongemaakt met een backup
    C:\WINDOWS\system32
    vctrl.exe -> Hijacker.SpyAxe : Schoongemaakt met een backup


    ::Einde rapport




    Incident Status Location

    Adware:adware/securityerror Not disinfected C:\WINDOWS\system32
    vctrl.exe
    Adware:adware/securityerror Not disinfected C:\WINDOWS\SYSTEM32\mscornet.exe
    Adware:adware/spywarestrike Not disinfected Windows Registry
    Spyware:Cookie/Hbmediapro Not disinfected C:\Documents and Settings\Cees\Cookies\cees@adopt.hbmediapro[2].txt
    Spyware:Cookie/Belnk Not disinfected C:\Documents and Settings\Cees\Cookies\cees@belnk[1].txt
    Spyware:Cookie/GoStats Not disinfected C:\Documents and Settings\Cees\Cookies\cees@c2.gostats[1].txt
    Spyware:Cookie/Cd Freaks Not disinfected C:\Documents and Settings\Cees\Cookies\cees@cdfreaks[1].txt
    Spyware:Cookie/Cd Freaks Not disinfected C:\Documents and Settings\Cees\Cookies\cees@club.cdfreaks[2].txt
    Spyware:Cookie/Belnk Not disinfected C:\Documents and Settings\Cees\Cookies\cees@dist.belnk[2].txt
    Spyware:Cookie/Xiti Not disinfected C:\Documents and Settings\Cees\Cookies\cees@xiti[1].txt
    Virus:Trj/Citifraud.A Disinfected C:\Documents and Settings\Cees\Application Data\Thunderbird\Profiles\lyekk7sa.default\Mail\Local Folders\Inbox[~0000025.~]
    Virus:Trj/Citifraud.A Disinfected C:\Documents and Settings\Cees\Application Data\Thunderbird\Profiles\lyekk7sa.default\Mail\Local Folders\Inbox[~0000046.~]
    Virus:Trj/Mitglieder.DQ Disinfected C:\Documents and Settings\Cees\Application Data\Thunderbird\Profiles\lyekk7sa.default\Mail\Local Folders\Inbox[ds-rwe.exe]
    Virus:Trj/Mitglieder.GB Disinfected C:\Documents and Settings\Cees\Application Data\Thunderbird\Profiles\lyekk7sa.default\Mail\Local Folders\Inbox[1.exe]
    Potentially unwanted tool:Application/Processor Not disinfected C:\Documents and Settings\Cees\Bureaublad\smitRem\Process.exe
    Potentially unwanted tool:Application/Processor Not disinfected C:\Documents and Settings\Cees\Bureaublad\smitRem(2).exe[Process.exe]
    Potentially unwanted tool:Application/Processor Not disinfected C:\Documents and Settings\Cees\Bureaublad\smitRem.exe[Process.exe]
    Spyware:Cookie/Hbmediapro Not disinfected C:\Documents and Settings\Cees\Cookies\cees@adopt.hbmediapro[2].txt
    Spyware:Cookie/Belnk Not disinfected C:\Documents and Settings\Cees\Cookies\cees@belnk[1].txt
    Spyware:Cookie/GoStats Not disinfected C:\Documents and Settings\Cees\Cookies\cees@c2.gostats[1].txt
    Spyware:Cookie/Cd Freaks Not disinfected C:\Documents and Settings\Cees\Cookies\cees@cdfreaks[1].txt
    Spyware:Cookie/Cd Freaks Not disinfected C:\Documents and Settings\Cees\Cookies\cees@club.cdfreaks[2].txt
    Spyware:Cookie/Belnk Not disinfected C:\Documents and Settings\Cees\Cookies\cees@dist.belnk[2].txt
    Spyware:Cookie/Xiti Not disinfected C:\Documents and Settings\Cees\Cookies\cees@xiti[1].txt
    Potentially unwanted tool:Application/Processor Not disinfected C:\Documents and Settings\Cees\Local Settings\Application Data\Mozilla\Firefox\Profiles\muk0m179.default\Cache\0C4879FCd01[Process.exe]
    Potentially unwanted tool:Application/Processor Not disinfected C:\Documents and Settings\Cees\Local Settings\Application Data\Mozilla\Firefox\Profiles\muk0m179.default\Cache\3EFBEAA3d01[Process.exe]
    Spyware:Cookie/Banner Not disinfected C:\Documents and Settings\Frida\Cookies\frida@banner[2].txt
    Spyware:Cookie/Belnk Not disinfected C:\Documents and Settings\Frida\Cookies\frida@belnk[1].txt
    Spyware:Cookie/GoStats Not disinfected C:\Documents and Settings\Frida\Cookies\frida@c2.gostats[2].txt
    Spyware:Cookie/Belnk Not disinfected C:\Documents and Settings\Frida\Cookies\frida@dist.belnk[2].txt
    Spyware:Cookie/Searchportal Not disinfected C:\Documents and Settings\Frida\Cookies\frida@searchportal.information[1].txt
    Spyware:Cookie/Spytrooper Not disinfected C:\Documents and Settings\Frida\Cookies\frida@www.spytrooper[1].txt
    Spyware:Cookie/adultfriendfinder Not disinfected C:\RECYCLER\NPROTECT\00034837.MOZ[]
    Spyware:Cookie/adultfriendfinder Not disinfected C:\RECYCLER\NPROTECT\00034841.MOZ[]
    Spyware:Cookie/adultfriendfinder Not disinfected C:\RECYCLER\NPROTECT\00034865.MOZ[]
    Spyware:Cookie/Ccbill Not disinfected C:\RECYCLER\NPROTECT\00034872.MOZ[]
    Spyware:Cookie/Ccbill Not disinfected C:\RECYCLER\NPROTECT\00034873.MOZ[]
    Spyware:Cookie/Ccbill Not disinfected C:\RECYCLER\NPROTECT\00034874.MOZ[]
    Spyware:Cookie/Ccbill Not disinfected C:\RECYCLER\NPROTECT\00034925.MOZ[]
    Spyware:Cookie/Ccbill Not disinfected C:\RECYCLER\NPROTECT\00034926.MOZ[]
    Spyware:Cookie/Ccbill Not disinfected C:\RECYCLER\NPROTECT\00034927.MOZ[]
    Spyware:Cookie/Ccbill Not disinfected C:\RECYCLER\NPROTECT\00034928.MOZ[]
    Spyware:Cookie/Ccbill Not disinfected C:\RECYCLER\NPROTECT\00034929.MOZ[]
    Spyware:Cookie/Ccbill Not disinfected C:\RECYCLER\NPROTECT\00034938.MOZ[]
    Spyware:Cookie/Ccbill Not disinfected C:\RECYCLER\NPROTECT\00034939.MOZ[]
    Spyware:Cookie/Ccbill Not disinfected C:\RECYCLER\NPROTECT\00034940.MOZ[]
    Spyware:Cookie/Ccbill Not disinfected C:\RECYCLER\NPROTECT\00034941.MOZ[]
    Spyware:Cookie/Ccbill Not disinfected C:\RECYCLER\NPROTECT\00034943.MOZ[]
    Spyware:Cookie/Ccbill Not disinfected C:\RECYCLER\NPROTECT\00034944.MOZ[]
    Spyware:Cookie/Ccbill Not disinfected C:\RECYCLER\NPROTECT\00034945.MOZ[]
    Spyware:Cookie/Ccbill Not disinfected C:\RECYCLER\NPROTECT\00034946.MOZ[]
    Spyware:Cookie/Ccbill Not disinfected C:\RECYCLER\NPROTECT\00034947.MOZ[]
    Spyware:Cookie/Ccbill Not disinfected C:\RECYCLER\NPROTECT\00034950.MOZ[]
    Spyware:Cookie/Ccbill Not disinfected C:\RECYCLER\NPROTECT\00034957.MOZ[]
    Spyware:Cookie/Ccbill Not disinfected C:\RECYCLER\NPROTECT\00034963.MOZ[]
    Spyware:Cookie/Ccbill Not disinfected C:\RECYCLER\NPROTECT\00035024.MOZ[]
    Spyware:Cookie/Ccbill Not disinfected C:\RECYCLER\NPROTECT\00035025.MOZ[]
    Spyware:Cookie/Ccbill Not disinfected C:\RECYCLER\NPROTECT\00035026.MOZ[]
    Spyware:Cookie/Apmebf Not disinfected C:\RECYCLER\NPROTECT\00035177.MOZ[]


    en de Hijack



    Logfile of HijackThis v1.99.1
    Scan saved at 14:08:29, on 9-2-2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
    C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
    C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
    C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    D:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
    D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    D:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
    C:\Program Files\Common Files\Real\Update_OB\realsched.exe
    C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    C:\WINDOWS\system32\dla\tfswctrl.exe
    C:\Program Files\ewido anti-malware\ewidoctrl.exe
    C:\Program Files\Norton AntiVirus
    avapsvc.exe
    C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
    C:\Program Files\Common Files\Symantec Shared\ccApp.exe
    C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
    C:\WINDOWS\system32\ctfmon.exe
    D:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
    C:\Program Files\Analog Devices\SoundMAX\spkrmon.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    C:\Program Files\Common Files\Symantec Shared\Security Console\NSCSRVCE.EXE
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\Program Files\ewido anti-malware\SecuritySuite.exe
    C:\WINDOWS\system32
    vctrl.exe
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\PROGRA~1\NORTON~1
    avw32.exe
    C:\Documents and Settings\Cees\Bureaublad\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O2 - BHO: (no name) - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\system32\hp8D1D.tmp
    O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll (file missing)
    O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
    O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [DVDLauncher] "D:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
    O4 - HKLM\..\Run: [Zone Labs Client] D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
    O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
    O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe"

    O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe
    O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
    O4 - HKLM\..\Run: [SpyFalcon] C:\Program Files\SpyFalcon\SpyFalcon.exe /h
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\RunOnce: [POSTRBT] C:\Program Files\Norton AntiVirus\Navw32.exe /REMEDIATE
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Trend Micro Anti-Spyware.lnk = C:\Program Files\Trend Micro\Tmas\Tmas.exe
    O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
    O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
    O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
    O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
    O8 - Extra context menu item: Easy-WebPrint Add To Print List - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
    O8 - Extra context menu item: Easy-WebPrint High Speed Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
    O8 - Extra context menu item: Easy-WebPrint Preview - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
    O8 - Extra context menu item: Easy-WebPrint Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
    O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
    O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll (file missing)
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll (file missing)
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
    O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20041101/qtinstall.info.apple.com/pthalo/us/win/QuickTimeFullInstaller.exe
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101543643671
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
    O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://asp02.photoprintit.de/microsite/8/defaults/activex/XUpload.ocx
    O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - D:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
    O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
    O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: Norton AntiVirus Auto-Protect-service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus
    avapsvc.exe
    O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
    O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
    O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Console\NSCSRVCE.EXE
    O23 - Service: Photoshop Elements Device Connect (PhotoshopElementsDeviceConnect) - Unknown owner - D:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
    O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
    O23 - Service: SPBBCSvc - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
    O23 - Service: spkrmon - Unknown owner - C:\Program Files\Analog Devices\SoundMAX\spkrmon.exe
    O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe






  • Download Killbox.
    Klik op killbox.exe.
    Kies de optie: "[b:55b55230bb]Delete on reboot[/b:55b55230bb]".

    [b:55b55230bb]Kopieer[/b:55b55230bb] het volgende vetgedrukt deel:

    [b:55b55230bb]C:\WINDOWS\system32
    vctrl.exe
    C:\WINDOWS\SYSTEM32\mscornet.exe
    C:\WINDOWS\system32\hp8D1D.tmp[/b:55b55230bb]

    Open [b:55b55230bb]'file'[/b:55b55230bb] in het killboxmenu bovenaan en kies: [b:55b55230bb]Paste from clipboard[/b:55b55230bb]

    Je zal zien, het bovenstaande vetgedrukte zal staan in het "Full Path of File to Delete"-veld.
    Er is een klein pijltje naast dat veld. Als je daarop klikt zal je al die bovenstaande lijntjes (indien bestanden aanwezig) die je gekopieerd hebt zien staan (dit is alvast de bedoeling)

    Klik op de knop: [b:55b55230bb]All files[/b:55b55230bb] (!Belangrijk!)

    Daarna, Klik op de rode cirkel met het wit kruisje erin.
    Killbox zal zeggen dat deze file zal verwijderd worden on reboot.. vraagt om nu te rebooten. Klik YES.

    Je pc moet nu rebooten.

    Probeer na de herstart smitrem in normale modus uit te voeren, na afloop post je de inhoud van het bestand C:\[b:55b55230bb]smitfiles.txt[/b:55b55230bb] in je volgende bericht.
    Post ook een nieuw log van HijackThis, meldt ook of er nog problemen zijn.
  • Spyfalcon is weer terug helaas.

    Ook m'n bureaublad achtergrond is wit georden.



    smitRem © log file
    version 2.8

    by noahdfear


    Microsoft Windows XP [versie 5.1.2600]

    Running from
    C:\Documents and Settings\Cees\Bureaublad\smitRem

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    Pre-run SharedTask Export

    (GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)
    Copyright(C) 2006 BleepingComputer.com

    Registry Pseudo-Format Mode (Not a valid reg file):

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Preloader van browseui"
    "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Cache-daemon voor onderdeelcategorieën"
    "{A1D9D3F0-8C2A-9A1D-A376-2CACFB10AB72}"="Reload Browse"
    "{D1A2E7CD-F5C1-21A8-CA2C-13D0AC72D19D}"="Wheel Mouse Optical Driver"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
    @="%SystemRoot%\System32\browseui.dll"


    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
    @="%SystemRoot%\System32\browseui.dll"


    [HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{A1D9D3F0-8C2A-9A1D-A376-2CACFB10AB72}\InProcServer32]
    @="C:\WINDOWS\system32\svchosts.dll"


    [HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{D1A2E7CD-F5C1-21A8-CA2C-13D0AC72D19D}\InProcServer32]
    @="C:\WINDOWS\system32\dxmpp.dll"


    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    checking for ShudderLTD key

    ShudderLTD key not present!

    checking for PSGuard.com key


    PSGuard.com key not present!


    checking for WinHound.com key


    WinHound.com key not present!

    spyaxe uninstaller NOT present
    Winhound uninstaller NOT present
    SpywareStrike uninstaller NOT present

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    Existing Pre-run Files


    ~~~ Program Files ~~~



    ~~~ Shortcuts ~~~



    ~~~ Favorites ~~~



    ~~~ system32 folder ~~~

    1024 dir
    msvol.tlb
    ncompat.tlb


    ~~~ Icons in System32 ~~~



    ~~~ Windows directory ~~~



    ~~~ Drive root ~~~


    ~~~ Miscellaneous Files/folders ~~~




    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
    Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
    Killing PID 660 'explorer.exe'
    Killing PID 660 'explorer.exe'

    Starting registry repairs

    Registry repairs complete

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    SharedTask Export after registry fix

    (GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)
    Copyright(C) 2006 BleepingComputer.com

    Registry Pseudo-Format Mode (Not a valid reg file):

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Preloader van browseui"
    "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Cache-daemon voor onderdeelcategorieën"
    "{A1D9D3F0-8C2A-9A1D-A376-2CACFB10AB72}"="Reload Browse"
    "{D1A2E7CD-F5C1-21A8-CA2C-13D0AC72D19D}"="Wheel Mouse Optical Driver"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
    @="%SystemRoot%\System32\browseui.dll"


    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
    @="%SystemRoot%\System32\browseui.dll"


    [HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{A1D9D3F0-8C2A-9A1D-A376-2CACFB10AB72}\InProcServer32]
    @="C:\WINDOWS\system32\svchosts.dll"


    [HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{D1A2E7CD-F5C1-21A8-CA2C-13D0AC72D19D}\InProcServer32]
    @="C:\WINDOWS\system32\dxmpp.dll"


    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    Deleting files

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    Remaining Post-run Files


    ~~~ Program Files ~~~



    ~~~ Shortcuts ~~~



    ~~~ Favorites ~~~



    ~~~ system32 folder ~~~



    ~~~ Icons in System32 ~~~



    ~~~ Windows directory ~~~



    ~~~ Drive root ~~~


    ~~~ Miscellaneous Files/folders ~~~


    ~~~ Wininet.dll ~~~

    CLEAN! :)


    Logfile of HijackThis v1.99.1
    Scan saved at 14:56:33, on 9-2-2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
    C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
    C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
    C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    D:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
    D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\Program Files\Common Files\Real\Update_OB\realsched.exe
    C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    C:\WINDOWS\system32\dla\tfswctrl.exe
    C:\Program Files\Common Files\Symantec Shared\ccApp.exe
    C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    C:\WINDOWS\system32\ctfmon.exe
    D:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
    C:\Program Files\ewido anti-malware\ewidoctrl.exe
    C:\Program Files\Norton AntiVirus
    avapsvc.exe
    C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
    C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
    D:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
    C:\Program Files\Analog Devices\SoundMAX\spkrmon.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    C:\Program Files\Common Files\Symantec Shared\Security Console\NSCSRVCE.EXE
    D:\Program Files\firefox.exe
    C:\PROGRA~1\MOZILL~1\THUNDE~1.EXE
    C:\WINDOWS\explorer.exe
    C:\Documents and Settings\Cees\Bureaublad\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll (file missing)
    O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
    O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [DVDLauncher] "D:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
    O4 - HKLM\..\Run: [Zone Labs Client] D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
    O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
    O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe"

    O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe
    O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
    O4 - HKLM\..\Run: [SpyFalcon] C:\Program Files\SpyFalcon\SpyFalcon.exe /h
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Trend Micro Anti-Spyware.lnk = C:\Program Files\Trend Micro\Tmas\Tmas.exe
    O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
    O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
    O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
    O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
    O8 - Extra context menu item: Easy-WebPrint Add To Print List - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
    O8 - Extra context menu item: Easy-WebPrint High Speed Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
    O8 - Extra context menu item: Easy-WebPrint Preview - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
    O8 - Extra context menu item: Easy-WebPrint Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
    O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
    O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll (file missing)
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll (file missing)
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
    O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20041101/qtinstall.info.apple.com/pthalo/us/win/QuickTimeFullInstaller.exe
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101543643671
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
    O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://asp02.photoprintit.de/microsite/8/defaults/activex/XUpload.ocx
    O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - D:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
    O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
    O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: Norton AntiVirus Auto-Protect-service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus
    avapsvc.exe
    O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
    O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
    O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Console\NSCSRVCE.EXE
    O23 - Service: Photoshop Elements Device Connect (PhotoshopElementsDeviceConnect) - Unknown owner - D:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
    O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
    O23 - Service: SPBBCSvc - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
    O23 - Service: spkrmon - Unknown owner - C:\Program Files\Analog Devices\SoundMAX\spkrmon.exe
    O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


  • Spyfalcon is weer terug helaas.

    kan je voor jezelf nog terug gaan naar welke site je bent geweest toen je hem kreeg
  • Nee absoluut geen idee
  • Omschrijf eens de problemen die je nu nog hebt.
    Kan je Spyfalcon deïnstalleren bij Configuratiescherm – Software?
    Kan je deze map verwijderen:
    C:\Program Files\[b:e77a3c0e53]SpyFalcon[/b:e77a3c0e53]\ <= de map SpyFalcon verwijderen

    Heb je dit gedaan:
    Ga naar Start -> configuratiescherm -> vormgeving en thema's (als dat er niet staat moet je even op "Categorieweergave" klikken) -> bureaublad -> bureaublad aanpassen -> Website -> verwijder alles wat daar eventueel staat (behalve "Mijn huidige pagina").

    Als je dit allemaal gedaan hebt, herstart je de computer en geef dan even een update van de problemen en post ook een nieuw logje van HijackThis
  • Bij het opstarten installeert SpyFalcon zich weer.


    Ik zie in het Hijack bestand een regel staan met 04 HKLM Spyfalcon.

    Deze verwijderen ?



    Logfile of HijackThis v1.99.1
    Scan saved at 16:43:29, on 9-2-2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
    C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
    C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
    C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    D:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
    D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\Program Files\Common Files\Real\Update_OB\realsched.exe
    C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    C:\WINDOWS\system32\dla\tfswctrl.exe
    C:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe
    C:\Program Files\Common Files\Symantec Shared\ccApp.exe
    C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    C:\WINDOWS\system32\ctfmon.exe
    D:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
    C:\Program Files\ewido anti-malware\ewidoctrl.exe
    C:\Program Files\Norton AntiVirus
    avapsvc.exe
    C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
    C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
    D:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
    C:\Program Files\Analog Devices\SoundMAX\spkrmon.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    C:\Program Files\Common Files\Symantec Shared\Security Console\NSCSRVCE.EXE
    C:\WINDOWS\system32\wuauclt.exe
    C:\Documents and Settings\Cees\Bureaublad\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll (file missing)
    O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
    O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [DVDLauncher] "D:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
    O4 - HKLM\..\Run: [Zone Labs Client] D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
    O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
    O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe"

    O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe
    O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
    O4 - HKLM\..\Run: [SpyFalcon] C:\Program Files\SpyFalcon\SpyFalcon.exe /h
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Trend Micro Anti-Spyware.lnk = C:\Program Files\Trend Micro\Tmas\Tmas.exe
    O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
    O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
    O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
    O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
    O8 - Extra context menu item: Easy-WebPrint Add To Print List - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
    O8 - Extra context menu item: Easy-WebPrint High Speed Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
    O8 - Extra context menu item: Easy-WebPrint Preview - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
    O8 - Extra context menu item: Easy-WebPrint Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
    O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
    O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll (file missing)
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll (file missing)
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
    O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20041101/qtinstall.info.apple.com/pthalo/us/win/QuickTimeFullInstaller.exe
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101543643671
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
    O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://asp02.photoprintit.de/microsite/8/defaults/activex/XUpload.ocx
    O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - D:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
    O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
    O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: Norton AntiVirus Auto-Protect-service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus
    avapsvc.exe
    O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
    O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
    O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Console\NSCSRVCE.EXE
    O23 - Service: Photoshop Elements Device Connect (PhotoshopElementsDeviceConnect) - Unknown owner - D:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
    O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
    O23 - Service: SPBBCSvc - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
    O23 - Service: spkrmon - Unknown owner - C:\Program Files\Analog Devices\SoundMAX\spkrmon.exe
    O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


  • 1) Open een kladblokbestand.
    2) Kopieer onderstaande code in dit kladblokbestand.
    3) Ga naar Bestand - Opslaan als.
    -Bij "Opslaan in" kies je: Bureaublad
    -Bij "Bestandsnaam" zet je: fix.reg
    -Bij "Opslaan als type" selecteer je: Alle bestanden (*.*).
    -Klik op de knop Opslaan.[code:1:f8c4be9f87]REGEDIT4

    [-HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{A1D9D3F0-8C2A-9A1D-A376-2CACFB10AB72}]
    [-HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{D1A2E7CD-F5C1-21A8-CA2C-13D0AC72D19D}]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    "{A1D9D3F0-8C2A-9A1D-A376-2CACFB10AB72}"=-
    "{D1A2E7CD-F5C1-21A8-CA2C-13D0AC72D19D}"=-[/code:1:f8c4be9f87]4) Dubbelklik op de fix.reg file en laat de wijzigingen aan het register toevoegen.

    Start HijackThis nog een keer kies voor "Do a system scan only" en plaats alleen een vinkje voor de volgende regels:
    [b:f8c4be9f87]O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll (file missing)
    O4 - HKLM\..\Run: [SpyFalcon] C:\Program Files\SpyFalcon\SpyFalcon.exe /h [/b:f8c4be9f87]
    Sluit alle open vensters(behalve HijackThis), klik daarna op "Fix checked" en sluit HijackThis af.

    Herstart je computer en meld of er nog problemen zijn :wink:
  • Ik durf nog niet te juichen ( omdat het zo'n hardnekkige besmetting is) maar ……


    het lijkt er op dat je het lek boven hebt !!

    Hardstikke bedankt !!

    Ik denk dat dit niet de eerste keer is dat je dit soort problemen oplost ( om een understatement te gebruiken) !
  • Graag gedaan hoor, mooi dat het gelukt is :D

    Nee dit is inderdaad niet de eerste keer, dit was een nieuwe variant van de smitfraud infectie. Veel dingen waren hetzelfde als bij de vorige varianten, alleen was er nu dus weer een nieuwe fake scanner en ook weer nieuwe bestandsnamen bij de SharedTaskScheduler.

    Ik hoor het wel als er nog problemen zijn :wink:

    Groeten smeenk
  • Had ik dit kunnen voorkomen met een beter antivirus programma ( dan Norton) ?

    Of is er een ander anti spyware programma dat dit soort ellende blokkeert ?
  • Alleen op links klikken die je vertrouwd.
    Daarnaast Opera of Firefox als standaardbrowser installeren en Internet Explorer links laten liggen zal de kans op nieuwe infecties aanzienlijk verkleinen.

    Kijk voor meer tips maar eens naar deze link:
    http://www.nucia.nl/forum/showthread.php?t=55

    Groeten smeenk :wink:
  • Heb je trouwens na het herstarten SpyFalcon nog geprobeerd te deïnstalleren bij Configuratiescherm – Software?

    En daarna de map C:\Program Files\[b:8eb512aed1]SpyFalcon[/b:8eb512aed1] verwijderd?

    Zo niet controleer dit en probeer dit alsnog te doen :wink:
  • Ja,dat had ik gedaan.

    Ik heb gisteravond nog een keer Ewido gedraaid , die vond nog 8 besmette bestanden.
    Moet ik dat programma vaker draaien ?

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.