Vraag & Antwoord

Beveiliging & privacy

Log-onderzoek

24 antwoorden
  • Hallo, Sinds gisteren krijg ik -af en toe- nar een zoekopdracht een melding van Firefox dat er iets niet goed is met mijn systeem, Heb de schonen-procedure afgewerkt en als laatste HT met hierbij daarvan de logfile. Zit daarin iets fouts ?[code:1:00e369db1c] Logfile of HijackThis v1.99.1 Scan saved at 7:29:31, on 15-2-2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16608) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\multimedia\CDBurnerXP Pro 3\Tools\NMSAccess.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe D:\Cybershot\Picture Package Menu\SonyTray.exe D:\Cybershot\Picture Package Applications\Residence.exe C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe C:\WINDOWS\system32\hpoipm07.exe C:\WINDOWS\system32\wscntfy.exe C:\Program Files\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe C:\Program Files\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe C:\Program Files\Mail\Thunderbird\Thunderbird1.5\thunderbird.exe C:\Program Files\Kantoor\Agenda\EssentPim\EssentialPIM.exe C:\Program Files\OpenOffice.org 2.0\program\soffice.exe C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN C:\Program Files\Firefox-2\firefox.exe C:\Program Files\Security n Tools\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nu.nl/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O2 - BHO: Adobe PDF Reader Help bij koppelingen - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Security\Spybot - Search & Destroy\SDHelper.dll (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9 O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Security\Spybot - Search & Destroy\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: HPAiODevice(hp officejet g series) - 1.lnk = C:\Program Files\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe O4 - Global Startup: Picture Package Menu.lnk = D:\Cybershot\Picture Package Menu\SonyTray.exe O4 - Global Startup: Picture Package VCD Maker.lnk = D:\Cybershot\Picture Package Applications\Residence.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O15 - Trusted Zone: http://download.windowsupdate.com O15 - Trusted Zone: http://*.windowsupsate.com O15 - Trusted IP range: http://10.0.0.2 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1199525935542 O17 - HKLM\System\CCS\Services\Tcpip\..\{64EC9E35-F61B-4740-89F9-624A81D4A905}: NameServer = 212.46.33.3 O17 - HKLM\System\CCS\Services\Tcpip\..\{95886640-1499-4D7B-AF72-A09522AF0F56}: NameServer = 212.45.33.3,212.45.32.3 O17 - HKLM\System\CCS\Services\Tcpip\..\{F95212CF-FD42-4457-A321-88F6545F43ED}: NameServer = 212.45.33.3 O17 - HKLM\System\CCS\Services\Tcpip\..\{FD8340FC-F347-4596-BA36-559A01459FF5}: NameServer = 212.45.33.3 O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\ O23 - Service: NMSAccess - Unknown owner - C:\Program Files\multimedia\CDBurnerXP Pro 3\Tools\NMSAccess.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe[/code:1:00e369db1c]Mag ik hierover het oordeel van een vakman ? Bvd, opamax
  • Start Hijackthis op en kies voor 'Do a system scan only' Selecteer alleen de items die hieronder zijn genoemd: [b:0954503211] O15 - Trusted Zone: http://*.windowsupsate.com [/b:0954503211] Klik op 'Fix checked' om de items te verwijderen. [b:0954503211][color=red:0954503211]windowsupsate[/color:0954503211][/b:0954503211] grappig maar fout Download: [url=http://home.hetnet.nl/~stefsmeenk/RVAXO.exe][color=blue:0954503211][b:0954503211]RVAXO.exe[/b:0954503211][/color:0954503211][/url] Sla het bestand op je bureaublad op, daarna mag je het dubbelklikken. Je kunt het programma laten uitpakken naar je bureaublad. Open nu de map RVAXO op je bureaublad en dubbelklik [b:0954503211]RVAXO.cmd[/b:0954503211] Er zal een schermpje openen, daarin zullen snel enkele regels over niet gevonden bestanden voorbijkomen, dit is normaal. [b:0954503211]Mogelijk[/b:0954503211] start er ook een uninstaller van een rogue scanner op, [b:0954503211]sluit deze niet af[/b:0954503211] maar volg eventuele aanwijzingen en laat deze zijn werk doen. Daarna zal je PC herstarten, na de herstart opent het venster van RVAXO opnieuw. Laat deze lopen en wacht tot er een logfile opent. Deze is eventueel ook hier te vinden: C:\[b:0954503211]RVAXO-results.log[/b:0954503211] Post de inhoud in je volgende bericht tesamen met een nieuw logje van HijackThis. Herstart je PC niet? Laat [b:0954503211]RVAXO[/b:0954503211] nog een keer lopen en post dan het nieuwe logje: [b:0954503211]C:\rvaxo-results.log [/b:0954503211]
  • Bijna aan het einde van je bericht: PC WEL of NIET herstarten ???????????????
  • Ai ai sir, command executed. Hierbij file van RVAXO.exe: [code:1:1d17b499b7] ---RVAXO.exe Updated: [b]2008-02-15[/b]---first run--- [b]Files found:[/b] [b]Uninstallers:[/b] [b]Folders Found:[/b] Hosts-file was reset, If you use a custom hosts file please replace it... --------------RVAXO.exe last run--------------- [b]Files found:[/b] Logfile of HijackThis v1.99.1 Scan saved at 11:41:31, on 16-2-2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16608) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\multimedia\CDBurnerXP Pro 3\Tools\NMSAccess.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\notepad.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe C:\Program Files\Brother\ControlCenter3\brccMCtl.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe D:\Cybershot\Picture Package Menu\SonyTray.exe D:\Cybershot\Picture Package Applications\Residence.exe C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe C:\WINDOWS\system32\hpoipm07.exe C:\Program Files\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe C:\Program Files\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe C:\Program Files\Mail\Thunderbird\Thunderbird1.5\thunderbird.exe C:\Program Files\Firefox-2\firefox.exe C:\Program Files\Security n Tools\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nu.nl/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O2 - BHO: Adobe PDF Reader Help bij koppelingen - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Security\Spybot - Search & Destroy\SDHelper.dll (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe O4 - HKLM\..\Run: [IndexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe O4 - HKLM\..\Run: [BrMfcWnd] C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN O4 - HKLM\..\Run: [ControlCenter3] C:\Program Files\Brother\ControlCenter3\brctrcen.exe /autorun O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9 O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Security\Spybot - Search & Destroy\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: HPAiODevice(hp officejet g series) - 1.lnk = C:\Program Files\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe O4 - Global Startup: Picture Package Menu.lnk = D:\Cybershot\Picture Package Menu\SonyTray.exe O4 - Global Startup: Picture Package VCD Maker.lnk = D:\Cybershot\Picture Package Applications\Residence.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O15 - Trusted Zone: http://download.windowsupdate.com O15 - Trusted IP range: http://10.0.0.2 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1199525935542 O17 - HKLM\System\CCS\Services\Tcpip\..\{64EC9E35-F61B-4740-89F9-624A81D4A905}: NameServer = 212.46.33.3 O17 - HKLM\System\CCS\Services\Tcpip\..\{95886640-1499-4D7B-AF72-A09522AF0F56}: NameServer = 212.45.33.3,212.45.32.3 O17 - HKLM\System\CCS\Services\Tcpip\..\{F95212CF-FD42-4457-A321-88F6545F43ED}: NameServer = 212.45.33.3 O17 - HKLM\System\CCS\Services\Tcpip\..\{FD8340FC-F347-4596-BA36-559A01459FF5}: NameServer = 212.45.33.3 O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\ O23 - Service: NMSAccess - Unknown owner - C:\Program Files\multimedia\CDBurnerXP Pro 3\Tools\NMSAccess.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe[/code:1:1d17b499b7]Tevreden nu ? [b:1d17b499b7]Folders Found:[/b:1d17b499b7] --------------RVAXO.exe finished----------------[/ode] en de nieuwe van GJT: [code]
  • Niet echt ik vind de O17 regels er raar uitzien. Download [url=http://download.bleepingcomputer.com/sUBs/ComboFix.exe][b:2feb38dcac]Combofix[/b:2feb38dcac][/url] naar je Bureaublad. Indien je Combofix al eerder hebt gebruikt, gelieve die versie te verwijderen en Combofix opnieuw te downloaden via bovenstaande link, want Combofix wordt dagelijks geupdate. OPMERKING: indien je, tijdens of na het downloaden van Combofix of tijdens het gebruik van Combofix een melding krijgt van je Antivirus- of een andere realtime scanner, schakel dan deze scanner uit en [b:2feb38dcac]download Combofix opnieuw[/b:2feb38dcac]. Sommige scanners zien bepaalde componenten die Combofix gebruikt als verdacht en gaan deze blokkeren of verwijderen![list:2feb38dcac] Dubbelklik op [b:2feb38dcac]Combofix.exe[/b:2feb38dcac] Volg de instructies, aanvaard de disclaimer door [b:2feb38dcac]Yes[/b:2feb38dcac] te klikken. Tijdens het runnen van de fix, [b:2feb38dcac]NIET[/b:2feb38dcac] in het venster klikken, want dit zal je pc doen vasthangen.[/list:u:2feb38dcac] Wanneer de fix voltooid is en na herstart, zal de log [b:2feb38dcac]combofix.txt[/b:2feb38dcac] openen. [i:2feb38dcac]Plaats dit log in je volgende post samen met een nieuw HijackThis log.[/i:2feb38dcac] gebruik wel de juiste versie aub. * Download [url=http://download.bleepingcomputer.com/hijackthis/HJTInstall.exe][b:2feb38dcac]Trend Micro Hijack This™[/b:2feb38dcac][/url] Dubbelklik [b:2feb38dcac]HJTInstall.exe[/b:2feb38dcac] om HijackThis te installeren. Standaard zal HijackThis in de Program Files\Trendmicro map geïnstalleerd worden en een snelkoppeling zal op je bureaublad komen te staan. HijackThis zal openen na het installeren. Klik de [b:2feb38dcac]Scan[/b:2feb38dcac] knop onderaan. Dit zal de scan starten en een log openen. Kopieer en plak deze log in je volgende post.
  • Gaan we nog een keer. Eerst dan de log van Combo: [code:1:fc0e663161] ComboFix 08-02-16.2 - Gebruiker 2008-02-16 15:06:04.2 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1043.18.58 [GMT 1:00] Gestart vanuit: C:\Documents and Settings\Gebruiker\Bureaublad\ComboFix.exe * Nieuw herstelpunt werd aangemaakt [color=red][b]WAARSCHUWING - DE RECOVERY CONSOLE IS NIET OP DIT SYSTEEM GEINSTALLEERD !![/b][/color] . (((((((((((((((((((( Bestanden Gemaakt van 2008-01-16 to 2008-02-16 )))))))))))))))))))))))))))))) . 2008-02-16 11:34 . 2008-02-16 11:34 <DIR> d-------- C:\RVAXO 2008-02-16 11:31 . 2008-02-15 20:22 696,538 --a------ C:\WINDOWS\system32\RVAXO.bat 2008-02-16 11:31 . 2001-10-01 14:51 69,632 --a------ C:\WINDOWS\system32\remove.exe 2008-02-15 16:35 . 2008-02-15 16:35 <DIR> d-------- C:\Program Files\Brother 2008-02-15 16:33 . 2003-09-24 11:37 27,134 --a------ C:\WINDOWS\maxlink.ini 2008-02-15 16:32 . 2008-02-15 16:32 <DIR> d-------- C:\Program Files\ScanSoft 2008-02-15 16:32 . 2008-02-15 16:32 <DIR> d-------- C:\Program Files\Common Files\ScanSoft Shared 2008-02-15 16:32 . 2008-02-15 16:32 <DIR> d-------- C:\Documents and Settings\All Users\Sjablonen 2008-02-15 16:32 . 2008-02-15 16:32 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\ScanSoft 2008-02-15 16:32 . 2008-02-15 16:32 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\InstallShield 2008-02-15 16:31 . 2008-02-15 16:31 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Brother . ((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-02-16 13:58 --------- d-----w C:\Program Files\Firefox-2 2008-02-15 15:35 --------- d-----w C:\Program Files\Common Files\InstallShield 2008-02-15 15:34 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-02-15 14:50 --------- d-----w C:\Documents and Settings\Gebruiker\Application Data\OpenOffice.org2 2008-02-14 13:56 96,256 ----a-w C:\WINDOWS\system32\drivers\sptd3069.sys 2008-01-10 12:31 --------- d-----w C:\Documents and Settings\Gebruiker\Application Data\EssentialPIM 2008-01-10 09:38 --------- d-----w C:\Program Files\Kantoor 2007-12-18 09:51 179,584 ----a-w C:\WINDOWS\system32\drivers\mrxdav.sys 2007-12-17 22:13 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2007-12-17 20:36 --------- d-----w C:\Program Files\Java 2007-02-26 12:56 284 ----a-w C:\Documents and Settings\Gebruiker\Application Data\ViewerApp.dat 2005-01-19 23:22 72,826,832 -c--a-w C:\Program Files\A140609_NLD_XP.exe 2004-08-03 23:03 73,728 --sha-w C:\WINDOWS\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe 2007-07-02 14:03 4,775,712 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat 2007-07-02 14:03 172,320 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat . ((((((((((((((((((((((((((((((((((((( Reg Opstartpunten ))))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:03 15360] "updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [ ] "SpybotSD TeaTimer"="C:\Program Files\Security\Spybot - Search & Destroy\Spybot - Search & Destroy\TeaTimer.exe" [ ] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-07-12 17:15 106496] "NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2004-07-15 10:42 81920] "NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2004-07-15 10:42 4112384] "SoundMan"="SOUNDMAN.EXE" [2004-06-18 09:31 67584 C:\WINDOWS\SOUNDMAN.EXE] "TkBellExe"="C:\Program Files\Common Files\Real\Update_OB\realsched.exe" [2007-03-25 14:49 180269] "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51 39792] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496] "SSBkgdUpdate"="C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 10:22 155648] "PaperPort PTD"="C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe" [2005-03-18 12:40 57393] "IndexSearch"="C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe" [2005-03-18 12:53 40960] "BrMfcWnd"="C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe" [2006-06-28 07:46 622592] "ControlCenter3"="C:\Program Files\Brother\ControlCenter3\brctrcen.exe" [2006-06-29 12:18 77824] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:03 15360] C:\Documents and Settings\All Users\Menu Start\Programma's\Opstarten\ HPAiODevice(hp officejet g series) - 1.lnk - C:\Program Files\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe [2002-11-20 16:15:00 151552] Picture Package Menu.lnk - D:\Cybershot\Picture Package Menu\SonyTray.exe [2005-04-18 02:38:48 151552] Picture Package VCD Maker.lnk - D:\Cybershot\Picture Package Applications\Residence.exe [2005-04-18 02:38:46 106496] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr] C:\Program Files\MSN Messenger\MsnMsgr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck] C:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon] --a------ 2004-07-15 10:42 4112384 C:\WINDOWS\System32\NvCpl.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz] --a------ 2004-07-15 10:42 843776 C:\WINDOWS\system32\nwiz.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl] C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{242a407d-9d74-11d9-8ce6-806d6172696f}] \Shell\AutoRun\command - F:\setup.exe . Inhoud van de 'Gedeelde Taken' map "2008-02-14 23:59:00 C:\WINDOWS\Tasks\PrijzenBackup.bat.job" - C:\PrijzenBackup.bat . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-02-16 15:10:30 Windows 5.1.2600 Service Pack 2 NTFS scannen van verborgen processen ... scannen van verborgen autostart items ... scannen van verborgen bestanden ... Scan succesvol afgerond verborgen bestanden: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\Program Files\multimedia\CDBurnerXP Pro 3\Tools\NMSAccess.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\system32\wdfmgr.exe C:\Program Files\Brother\ControlCenter3\brccMCtl.exe C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe C:\WINDOWS\system32\hpoipm07.exe C:\WINDOWS\system32\wscntfy.exe C:\Program Files\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe C:\Program Files\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe . ************************************************************************** . Voltooingstijd: 2008-02-16 15:11:46 - machine was rebooted ComboFix-quarantined-files.txt 2008-02-16 14:11:36 ComboFix2.txt 2007-10-17 19:54:05 . 2008-02-13 10:02:45 --- E O F --- [/code:1:fc0e663161] en dan die van HJT: [code:1:fc0e663161] Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:08:05, on 16-2-2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16608) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\multimedia\CDBurnerXP Pro 3\Tools\NMSAccess.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe D:\Cybershot\Picture Package Menu\SonyTray.exe C:\Program Files\Brother\ControlCenter3\brccMCtl.exe D:\Cybershot\Picture Package Applications\Residence.exe C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe C:\WINDOWS\system32\hpoipm07.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\explorer.exe C:\Program Files\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe C:\Program Files\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe C:\WINDOWS\system32\notepad.exe C:\Program Files\Firefox-2\firefox.exe C:\Program Files\Mail\Thunderbird\Thunderbird1.5\thunderbird.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nu.nl/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O2 - BHO: Adobe PDF Reader Help bij koppelingen - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Security\Spybot - Search & Destroy\SDHelper.dll (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe O4 - HKLM\..\Run: [IndexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe O4 - HKLM\..\Run: [BrMfcWnd] C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN O4 - HKLM\..\Run: [ControlCenter3] C:\Program Files\Brother\ControlCenter3\brctrcen.exe /autorun O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9 O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Security\Spybot - Search & Destroy\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Lokale service') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Netwerkservice') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: HPAiODevice(hp officejet g series) - 1.lnk = C:\Program Files\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe O4 - Global Startup: Picture Package Menu.lnk = D:\Cybershot\Picture Package Menu\SonyTray.exe O4 - Global Startup: Picture Package VCD Maker.lnk = D:\Cybershot\Picture Package Applications\Residence.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O15 - Trusted Zone: http://download.windowsupdate.com O15 - Trusted IP range: http://10.0.0.2 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1199525935542 O17 - HKLM\System\CCS\Services\Tcpip\..\{64EC9E35-F61B-4740-89F9-624A81D4A905}: NameServer = 212.46.33.3 O17 - HKLM\System\CCS\Services\Tcpip\..\{95886640-1499-4D7B-AF72-A09522AF0F56}: NameServer = 212.45.33.3,212.45.32.3 O17 - HKLM\System\CCS\Services\Tcpip\..\{F95212CF-FD42-4457-A321-88F6545F43ED}: NameServer = 212.45.33.3 O17 - HKLM\System\CCS\Services\Tcpip\..\{FD8340FC-F347-4596-BA36-559A01459FF5}: NameServer = 212.45.33.3 O23 - Service: NMSAccess - Unknown owner - C:\Program Files\multimedia\CDBurnerXP Pro 3\Tools\NMSAccess.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe -- End of file - 6399 bytes[/code:1:fc0e663161] hoe oogt het nu ?
  • nou vreemd. neem nou deze code van de O17 regel. O17 - HKLM\System\CCS\Services\Tcpip\..\{64EC9E35-F61B-4740-89F9-624A81D4A905}: NameServer = 212.46.33.3 [b:14e2229b37]212.46.33.3[/b:14e2229b37] dit dus als ik die opzoek krijg ik dus dit. [b:14e2229b37]212.46.32.0 - 212.46.38.15 Saudi Business Machines Ltd. Head Office - Jeddah[/b:14e2229b37] [b:14e2229b37]212.45.33.3,212.45.32.3 [/b:14e2229b37] geeft . Unable to resolve hostname 212.45.33.3,212.45.32.3 to IP address of Location: Netherlands [City: ] Solcon Technical Role Account address: Dutch address: Solcon Internetdiensten BV address: P.O. Box 127 address: 8250 AC Dronten address: The Netherlands komen deze je bekend voor ?
  • Saudi zegt me totaal niets. Solcon is min ISP
  • Saudi eruit gefixt en nieuwe HJT waarvan hier de log[code]Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:23:56, on 18-2-2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16608) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\multimedia\CDBurnerXP Pro 3\Tools\NMSAccess.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\snmp.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe C:\WINDOWS\system32\ctfmon.exe D:\Cybershot\Picture Package Menu\SonyTray.exe D:\Cybershot\Picture Package Applications\Residence.exe C:\Program Files\Mail\Thunderbird\Thunderbird1.5\thunderbird.exe C:\Program Files\Common Files\Real\Update_OB\RealOneMessageCenter.exe C:\Program Files\Firefox-2\firefox.exe C:\Program Files\Security n Tools\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nu.nl/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O2 - BHO: Adobe PDF Reader Help bij koppelingen - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Security\Spybot - Search & Destroy\SDHelper.dll (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [BrMfcWnd] C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN O4 - HKLM\..\Run: [SetDefPrt] C:\Program Files\Brother\Brmfl06b\BrStDvPt.exe O4 - HKLM\..\Run: [ControlCenter3] C:\Program Files\Brother\ControlCenter3\brctrcen.exe /autorun O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe O4 - HKLM\..\Run: [IndexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe O4 - HKLM\..\Run: [Installation Diagnostics] "C:\Program Files\Brother\Brmfl06b\Brinstck.exe" /I MFC-5460CN USB O4 - HKLM\..\RunOnce: [Brother MFC-5460CN USB] C:\Program Files\Brother\Brmfl06b\BrWiEvRg.exe /R /M="Brother MFC-5460CN USB" /A="ControlCenter3" O4 - HKLM\..\RunOnce: [BrCCStoFix] C:\Program Files\Brother\ControlCenter3\BrCCStoFix.exe "Brother MFC-5460CN" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9 O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Security\Spybot - Search & Destroy\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Lokale service') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Netwerkservice') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Picture Package Menu.lnk = D:\Cybershot\Picture Package Menu\SonyTray.exe O4 - Global Startup: Picture Package VCD Maker.lnk = D:\Cybershot\Picture Package Applications\Residence.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O15 - Trusted Zone: http://download.windowsupdate.com O15 - Trusted IP range: http://10.0.0.2 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1199525935542 O17 - HKLM\System\CCS\Services\Tcpip\..\{95886640-1499-4D7B-AF72-A09522AF0F56}: NameServer = 212.45.33.3,212.45.32.3 O17 - HKLM\System\CCS\Services\Tcpip\..\{F95212CF-FD42-4457-A321-88F6545F43ED}: NameServer = 212.45.33.3 O17 - HKLM\System\CCS\Services\Tcpip\..\{FD8340FC-F347-4596-BA36-559A01459FF5}: NameServer = 212.45.33.3 O23 - Service: NMSAccess - Unknown owner - C:\Program Files\multimedia\CDBurnerXP Pro 3\Tools\NMSAccess.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe -- End of file - 6303 bytes[code] Hoe ziet het er nu uit ?
  • Nou ik wil nog wel wat proberen. Download [url=http://www.regnow.com/trialware/download/Download_mbam-setup.exe?item=12128-1&affiliate=34290][b:9fce210bc0][color=blue:9fce210bc0]Malwarebytes' Anti-Malware[/color:9fce210bc0][/b:9fce210bc0][/url] op je bureaublad. Dubbelklik [b:9fce210bc0]mbam-setup.exe[/b:9fce210bc0] en kies voor "[b:9fce210bc0]Next[/b:9fce210bc0]" om de tool te installeren. Als de installatie voltooid is zet je vinkjes bij "[b:9fce210bc0]Update MalwareBytes' Anti-Malware[/b:9fce210bc0]" en bij "[b:9fce210bc0]Launch MalwareBytes' Anti-Malware[/b:9fce210bc0]". Druk daarna op "[b:9fce210bc0]Finish[/b:9fce210bc0]". Kies in het hoofdscherm voor de tab "[b:9fce210bc0]Scanner[/b:9fce210bc0]" en selecteer het keuzerondje "[b:9fce210bc0]Perform full scan[/b:9fce210bc0]". Druk op de knop "[b:9fce210bc0]Scan[/b:9fce210bc0]" en zorg dat al je harde schijven/partities aangevinkt staan. Druk dan op de knop "[b:9fce210bc0]Start Scan[/b:9fce210bc0]". Wanneer de scan voltooid is klik je op OK, daarna op "[b:9fce210bc0]Show Results[/b:9fce210bc0]" om de resultaten te zien. Zorg ervoor dat alles aangevinkt is, klik daarna op "[b:9fce210bc0]Remove Selected[/b:9fce210bc0]". Als het programma je computer wil laten herstarten, sta je dit toe. Daarna opent een logje(mbam-log-XX-XX-XXXX(xx-xx-xx).txt) Post deze log in je volgende bericht :)
  • Hierbij de log van Malwarebytes: [code:1:0475fdf577]Malwarebytes' Anti-Malware 1.03 Database versie: 374 Scan type: Volledige Scan (C:\|D:\|E:\|) Objecten gescand: 84061 Verstreken tijd: 15 minute(s), 11 second(s) Geheugenprocessen geïnfecteerd: 0 Geheugenmodulen geïnfecteerd: 0 Registersleutels geïnfecteerd: 1 Registerwaarden geïnfecteerd: 0 Registerdata bestanden geïnfecteerd: 0 Mappen geïnfecteerd: 0 Bestanden geïnfecteerd: 0 Geheugenprocessen geïnfecteerd: (Geen kwaadaardige items gevonden) Geheugenmodulen geïnfecteerd: (Geen kwaadaardige items gevonden) Registersleutels geïnfecteerd: HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications (Rogue.Multiple) -> Quarantined and deleted successfully. Registerwaarden geïnfecteerd: (Geen kwaadaardige items gevonden) Registerdata bestanden geïnfecteerd: (Geen kwaadaardige items gevonden) Mappen geïnfecteerd: (Geen kwaadaardige items gevonden) Bestanden geïnfecteerd: (Geen kwaadaardige items gevonden)[/code:1:0475fdf577] en toen ?
  • So far, hartelijk dank voor de genomen moeite. En dan nog: -Wat was er nou precies verkerd ? -Hoe ,op welke manier, kon dat binnenkomen. -Hoe had ik dat kunnen voorkomen ? Wat voor soort en welk prog ? Nogmaals bedankt, opamax
  • [quote:0485395ab5="opamax"]So far, hartelijk dank voor de genomen moeite. En dan nog: -Wat was er nou precies verkeerd ? -Hoe , en op welke manier, kon dat binnenkomen. -Hoe had ik dat kunnen voorkomen ? Met wat voor soort en welk programma ? Nogmaals bedankt, opamax[/quote:0485395ab5] Je mag alle gebruikte tools en aangemaakte mappen terug verwijderen. Verwijder ComboFix via [b:0485395ab5]Start[/b:0485395ab5] > [b:0485395ab5]Uitvoeren[/b:0485395ab5], kopiëer en plak [b:0485395ab5]Combofix /U[/b:0485395ab5] klik op OK of toets Enter. Dit verwijdert zowel ComboFix, als je oude systeemherstelpunten (met eventuele restanten van malware), en maakt een nieuw systeemherstelpunt aan. [img:0485395ab5]http://hicheckthis.gethost.nl/images/Uninstall_combofix.JPG[/img:0485395ab5] Je had een infectie binnengekregen , waarschijnlijk tijdens downloaden van het een of ander. Of tijdens het bezoek van een besmette pagina tijdens het surfen. Voorkomen , niet overal maar op klikken en niet alles zo maar accepteren. installeer 1 antivirusscanner , gebruik 1 goede firewall ( en zet dan die van windows uit ) doe af en toe eens een online scan.
  • Voorlaatste regel: en ik al menen dat ik voorzichtig was ! Heb -eigenlijk- geen AV ! Komt omdat er nog een restant zit van TrendMicro. Het is me nog steeds niet gelukt dat weg te krijgen en veroorzaakt heel vaak problemen. Daarom nog geen AV. Wordt nu echt tijd om dat stukje TrendMicro weg te werken. Enig idee hoe dat te doen ? Met 'Softeare' lukt het me niet. Is dat overigens een goede AV ? Dan zou ik die opnieuw kunnen installeren. Heb overigens pas Kaspersky versie 7.0 aangeschaft. Omdat die beter zou zijn. Als dat zo is dan moet TrendMicro er dus uit. Wat is jouw gewaardeerd advies ?
  • Waar zie jij dat restje ?? Probeer dit eens. Download en installeer [url=http://www.ccleaner.com/ccdownload.asp]CCleaner[/url] (De CCLeaner Yahoo Toolbar is niet nodig) Start [b:580436a77c]CCleaner[/b:580436a77c] Ccleaner biedt je de mogelijkheid om in te stellen wat er opgeschoond moet worden. Kies in ieder geval voor de volgende items: Internet Explorer: - Tijdelijke Internet bestanden Systeem: - Prullenbak leegmaken - Tijdelijke bestanden klik nu in Ccleaner op [b:580436a77c]opschonen[/b:580436a77c] (rechts onderaan).
  • Dat restje staat in 'Software', maar ik kan het vandaar niet wissen. Zal TrendMicro nog een opnieuw installeren. Misschien gaat dan na het wissen wel alles weg
  • Heb enkele pogingen gedaan om TrendMicro te installeren. Tijden de install ziet ie ouds spul en vraagt of de PC herstart mag worden en om meteen daarna verder te gaan met de install. En inderdaad na de reboot gaat ie verder met install van TrendMicro tot hetzelfde punt: er is een oude vewrsie; mag ik herstarten en verder gaan. En verder kom ik dus niet. Dus alles (zichtbare) van Trend verwijderd, maar er blijft toch iets achter. Wat kan ik doen om dat zichtbaar -en verwijderbaar- te maken ??
  • Weet ik niet ik zal dat eens navragen. Hier staan wat tips http://www.gored.nl/installatie-verwijderen.html
  • Kan ik met REGEDIT wissen wat ik er van vind in HOT_KEY...... zonder gevaar ??
  • Hoe bedoel je precies, wat wil je verwijderen

Beantwoord deze vraag

Weet jij het antwoord op deze vraag? Registreer of meld je aan met je account

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.