Vraag & Antwoord

Beveiliging & privacy

Verborgen process

28 antwoorden
  • Goedendag, Sinds kort gebruikt mijn PC vanaf boot bijna een 1Gig van een totaal van 2Gig geheugen constant. In task manager zijn echter geen process zichtbaar die meer dan 70K gebruiken. Ik vermoed dat het gaat om een verborgen proces, en zodoende een schadelijke exe (rootkit/spyware). Ik gebruik windows 7 pro 32 bit. Enig idee hoe ik erachter kan komen, wat deze enorme hoeveelheid resources constant in bezit houd? De programma's die ik kan vinden om hidden processes zichtbaar te maken, zijn vaak niet geschikt voor windows 7. Eléssar
  • Windows reserveert ook geheugen, al is het niet in gebruik door programma's. Maar laat mbam eens draaien, en plaats een hijackthis log.
  • [quote:eb41e8700e="gerben"]Windows reserveert ook geheugen, al is het niet in gebruik door programma's. Maar laat mbam eens draaien, en plaats een hijackthis log.[/quote:eb41e8700e] bijna een Gig? En wat misschien belangrijker is, het is ook niet 'gewoon nog wachtend op de garbage collector', want als ik het nodig heb voor een zware applicatie, blijft het bezet. Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 16:33:01, on 26-4-2010 Platform: Windows 7 (WinNT 6.00.3504) MSIE: Internet Explorer v8.00 (8.00.7600.16385) Boot mode: Normal Running processes: C:\Windows\system32\Dwm.exe C:\Windows\system32\taskhost.exe C:\Windows\SYSTEM32\WISPTIS.EXE C:\Program Files\Common Files\microsoft shared\ink\TabTip.exe C:\Program Files\WTouch\WTouchUser.exe C:\Windows\Explorer.EXE C:\Windows\system32\WTablet\Pen_TabletUser.exe C:\Program Files\Google\Gmail Notifier\gnotify.exe C:\Program Files\iTunes\iTunesHelper.exe C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe C:\Program Files\AVG\AVG9\avgtray.exe C:\Program Files\Adobe\Acrobat 9.0\Acrobat\acrotray.exe C:\Program Files\DAEMON Tools\DTLite.exe C:\Program Files\Common Files\Microsoft Shared\Ink\InputPersonalization.exe C:\Xilinx\11.1\ISE\bin\nt\ise.exe C:\Xilinx\11.1\ISE\bin\nt\_pn.exe C:\Program Files\VideoLAN\VLC\vlc.exe C:\Users\Eléssar\AppData\Local\Google\Chrome\Application\chrome.exe C:\Users\Eléssar\AppData\Local\Google\Chrome\Application\chrome.exe C:\Users\Eléssar\AppData\Local\Google\Chrome\Application\chrome.exe C:\Users\Eléssar\AppData\Local\Google\Chrome\Application\chrome.exe C:\Windows\system32\taskeng.exe C:\Users\Eléssar\AppData\Local\Google\Chrome\Application\chrome.exe C:\Program Files\Hijackthis\Trend Micro\HiJackThis\HiJackThis.exe C:\Windows\system32\SearchFilterHost.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - C:\Program Files\Adobe\/Adobe Contribute CS4/contributeieplugin.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG9\avgssie.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll O2 - BHO: Microsoft Web Test Recorder 10.0 Helper - {DDA57003-0068-4ed2-9D32-4D1EC707D94D} - C:\Program Files\Microsoft Visual Studio 10.0\Common7\IDE\PrivateAssemblies\Microsoft.VisualStudio.QualityTools.RecorderBarBHO100.dll O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - C:\Program Files\Adobe\/Adobe Contribute CS4/contributeieplugin.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Program Files\Google\Gmail Notifier\gnotify.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin O4 - HKLM\..\Run: [Adobe_ID0ENQBO] C:\PROGRA~1\COMMON~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe" O4 - HKLM\..\Run: [Adobe Acrobat Speed Launcher] "C:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe" O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent O4 - HKCU\..\Run: [Google Update] "C:\Users\Eléssar\AppData\Local\Google\Update\GoogleUpdate.exe" /c O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools\DTLite.exe" -autorun O4 - HKCU\..\Run: [Steam] "C:\Program Files\Steam\Steam.exe" -silent O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE') O8 - Extra context menu item: Append Link Target to Existing PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Append to Existing PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convert Link Target to Adobe PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: Verzenden naar OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: Verz&enden naar OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab O16 - DPF: {82774781-8F4E-11D1-AB1C-0000F8773BF0} (DLC Class) - https://transfers.ds.microsoft.com/FTM/TransferSource/grTransferCtrl.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG9\avgpp.dll O20 - AppInit_DLLs: avgrsstx.dll O23 - Service: Adobe Version Cue CS4 - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\Adobe Version Cue CS4\Server\bin\VersionCueCS4.exe O23 - Service: ANTS Memory Profiler 5 Service - Red Gate Software Ltd. - C:\Program Files\Red Gate\ANTS Memory Profiler 5\RedGate.Memory.IISService.exe O23 - Service: ANTS Performance Profiler 5 Service - Red Gate Software Ltd. - C:\Program Files\Red Gate\ANTS Performance Profiler 5\RedGate.Profiler.IISService.exe O23 - Service: Mobiel Apple apparaat (Apple Mobile Device) - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: AVG WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgwdsvc.exe O23 - Service: Bonjour-service (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: iPod-service (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe O23 - Service: TabletServicePen - Wacom Technology, Corp. - C:\Windows\system32\Pen_Tablet.exe O23 - Service: WTouch Service (WTouchService) - Wacom Technology, Corp. - C:\Program Files\WTouch\WTouchService.exe -- End of file - 9572 bytes
  • Hallo ElessarWebb, wil je eerst onderstaande scan doen: [b:38943f3507]Download [url=http://downloads.malwareremoval.com/CKScanner.exe]CKScanner by askey 127[/url] en sla het op je bueaublad op[/b:38943f3507]. Vista en Win 7 gebruikers gebruiken dit tool via rechtsklik en kiezen voor Als Administrator uitvoeren. • Klik/dubbelklik op [b:38943f3507]CKScanner by askey 127[/b:38943f3507] om het tool te starten en klik op Search for Files. • Na een korte tijd, wanneer de zandloper verdwijnt, klik dan op Save List To File • Een berichtvenster zal bevestigen dat het dokument is opgelagen. • Klik/dubbelklik op de CKFiles.txt snelkoppeling op je bureaublad en kopiëer en plak de inhoud in je volgende post.
  • [quote:7d13a5e35b="Abraham54"]Hallo ElessarWebb, wil je eerst onderstaande scan doen: [b:7d13a5e35b]Download [url=http://downloads.malwareremoval.com/CKScanner.exe]CKScanner by askey 127[/url] en sla het op je bueaublad op[/b:7d13a5e35b]. Vista en Win 7 gebruikers gebruiken dit tool via rechtsklik en kiezen voor Als Administrator uitvoeren. • Klik/dubbelklik op [b:7d13a5e35b]CKScanner by askey 127[/b:7d13a5e35b] om het tool te starten en klik op Search for Files. • Na een korte tijd, wanneer de zandloper verdwijnt, klik dan op Save List To File • Een berichtvenster zal bevestigen dat het dokument is opgelagen. • Klik/dubbelklik op de CKFiles.txt snelkoppeling op je bureaublad en kopiëer en plak de inhoud in je volgende post.[/quote:7d13a5e35b] De scan levert een aantal bestanden op waarin 'crack' of 'keygen' in te vinden is. Ik geloof echter niet dat deze bestanden de oorzaak van het probleem zijn. Mede doordat deze files al maanden op mijn pc aanwezig zijn, en dit probleem zich nog maar enkele dagen voordoet. Ook zijn deze bestanden niet aangewezen door AVG, windows Defender en security basics, hijackthis, mamb en nog wat van dergelijke tools.
  • [quote:71c8d398c3="ElessarWebb"][quote:71c8d398c3="Abraham54"]Hallo ElessarWebb, wil je eerst onderstaande scan doen: [b:71c8d398c3]Download [url=http://downloads.malwareremoval.com/CKScanner.exe]CKScanner by askey 127[/url] en sla het op je bueaublad op[/b:71c8d398c3]. Vista en Win 7 gebruikers gebruiken dit tool via rechtsklik en kiezen voor Als Administrator uitvoeren. • Klik/dubbelklik op [b:71c8d398c3]CKScanner by askey 127[/b:71c8d398c3] om het tool te starten en klik op Search for Files. • Na een korte tijd, wanneer de zandloper verdwijnt, klik dan op Save List To File • Een berichtvenster zal bevestigen dat het dokument is opgelagen. • Klik/dubbelklik op de CKFiles.txt snelkoppeling op je bureaublad en kopiëer en plak de inhoud in je volgende post.[/quote:71c8d398c3] De scan levert een aantal bestanden op waarin 'crack' of 'keygen' in te vinden is. Ik geloof echter niet dat deze bestanden de oorzaak van het probleem zijn. Mede doordat deze files al maanden op mijn pc aanwezig zijn, en dit probleem zich nog maar enkele dagen voordoet. Ook zijn deze bestanden niet aangewezen door AVG, windows Defender en security basics, hijackthis, mamb en nog wat van dergelijke tools.[/quote:71c8d398c3] Je vergist je! Cracks en ekygens zijn een van de grootste bronnen van besmettingen - tot en met Virut toe. Of zonder dat je het weet, dat je een Zombie-PC hebt. Want: de makers van die cracks en keygens willen wat van jouw terug hebben! En dat kan je meer kosten dan waanneer je de nu illegale software zou hebben gekocht! http://marcvn.blogspot.com/2008/07/niets-voor-niets.html http://www.youtube.com/watch?gl=NL&feature=player_embedded&v=O6U8cYBeA9A
  • Dat begrijp ik, maar dan hadden ze toch nog aangewezen moeten worden door verschillende spyware scans e.d.? Is er een manier om te bevestigen dat het inderdaad om spyware gaat en om het te verwijderen?
  • Is jouw Windows legitiem?
  • [quote:f18958c05c="Abraham54"]Is jouw Windows legitiem?[/quote:f18958c05c] Jazeker.
  • Doe dan maar deze test ook: [b:a61ee83ce6]Download [url=http://go.microsoft.com/fwlink/?linkid=52012]MGADiag.exe[/url] en sla het op je bueaublad op.[/b:a61ee83ce6] • Klik/dubbelklik op MGADiag.exe om het tool te starten. • Het programma start - de analyze kan even duren, wees geduldig. • Indien klaar klik dan op Copy. • Open dan een nieuw kladblok document en kopieer de gegevens erin. • Sla het kladblokdocument dan op je bureaublad op onder de naam MGADiag.txt en post de inhoud ervan in je volgende bericht.
  • [quote:d37718841c="Abraham54"]Doe dan maar deze test ook: [b:d37718841c]Download [url=http://go.microsoft.com/fwlink/?linkid=52012]MGADiag.exe[/url] en sla het op je bueaublad op.[/b:d37718841c] • Klik/dubbelklik op MGADiag.exe om het tool te starten. • Het programma start - de analyze kan even duren, wees geduldig. • Indien klaar klik dan op Copy. • Open dan een nieuw kladblok document en kopieer de gegevens erin. • Sla het kladblokdocument dan op je bureaublad op onder de naam MGADiag.txt en post de inhoud ervan in je volgende bericht.[/quote:d37718841c] Ik waardeer dat jullie allemaal zo snel reageren! Ik heb wel de product key en product key hash verwijdert ;) Diagnostic Report (1.9.0027.0): ----------------------------------------- Windows Validation Data--> Validation Code: 0 Cached Online Validation Code: N/A, hr = 0xc004f012 Windows Product ID: 00371-840-7495296-85195 Windows Product ID Type: 5 Windows License Type: Retail Windows OS version: 6.1.7600.2.00010100.0.0.048 ID: {C8C91197-66E5-4C69-A11D-D323E10E1598}(1) Is Admin: Yes TestCab: 0x0 LegitcheckControl ActiveX: N/A, hr = 0x80070002 Signed By: N/A, hr = 0x80070002 Product Name: Windows 7 Professional Architecture: 0x00000000 Build lab: 7600.win7_gdr.100226-1909 TTS Error: Validation Diagnostic: Resolution Status: N/A Vista WgaER Data--> ThreatID(s): N/A, hr = 0x80070002 Version: N/A, hr = 0x80070002 Windows XP Notifications Data--> Cached Result: N/A, hr = 0x80070002 File Exists: No Version: N/A, hr = 0x80070002 WgaTray.exe Signed By: N/A, hr = 0x80070002 WgaLogon.dll Signed By: N/A, hr = 0x80070002 OGA Notifications Data--> Cached Result: N/A, hr = 0x80070002 Version: 2.0.48.0 OGAExec.exe Signed By: Microsoft OGAAddin.dll Signed By: Microsoft OGA Data--> Office Status: 100 Genuine Microsoft Office Enterprise 2007 - 100 Genuine OGA Version: Registered, 2.0.48.0 Signed By: Microsoft Office Diagnostics: 025D1FF3-364-80041010_025D1FF3-229-80041010_025D1FF3-230-1_025D1FF3-517-80040154_025D1FF3-237-80040154_025D1FF3-238-2_025D1FF3-244-80070002_025D1FF3-258-3_E2AD56EA-765-d003_E2AD56EA-766-0_E2AD56EA-134-80004005 Browser Data--> Proxy settings: N/A User Agent: Mozilla/4.0 (compatible; MSIE 8.0; Win32) Default Browser: C:\Users\Eléssar\AppData\Local\Google\Chrome\Application\chrome.exe Download signed ActiveX controls: Prompt Download unsigned ActiveX controls: Disabled Run ActiveX controls and plug-ins: Allowed Initialize and script ActiveX controls not marked as safe: Disabled Allow scripting of Internet Explorer Webbrowser control: Disabled Active scripting: Allowed Script ActiveX controls marked as safe for scripting: Allowed File Scan Data--> File Mismatch: C:\Windows\system32\wat\watadminsvc.exe[Hr = 0x80070003] File Mismatch: C:\Windows\system32\wat\npwatweb.dll[Hr = 0x80070003] File Mismatch: C:\Windows\system32\wat\watux.exe[Hr = 0x80070003] File Mismatch: C:\Windows\system32\wat\watweb.dll[Hr = 0x80070003] Other data--> Office Details: <GenuineResults><MachineData><UGUID>{C8C91197-66E5-4C69-A11D-D323E10E1598}</UGUID><Version>1.9.0027.0</Version><OS>6.1.7600.2.00010100.0.0.048</OS><Architecture>x32</Architecture><PKey>*****-*****-*****-*****-PTQHC</PKey><PID>00371-840-7495296-85195</PID><PIDType>5</PIDType><SID>S-1-5-21-3421977989-3582955890-1734013734</SID><SYSTEM><Manufacturer>System manufacturer</Manufacturer><Model>System Product Name</Model></SYSTEM><BIOS><Manufacturer>Phoenix Technologies, LTD</Manufacturer><Version>ASUS M2N-E SLI ACPI BIOS Revision 0801</Version><SMBIOSVersion major="2" minor="4"/><Date>20070425000000.000000+000</Date></BIOS><HWID>EDB93607018400F6</HWID><UserLCID>0413</UserLCID><SystemLCID>0409</SystemLCID><TimeZone>W. Europe Standard Time(GMT+01:00)</TimeZone><iJoin>0</iJoin><SBID><stat>3</stat><msppid></msppid><name></name><model></model></SBID><OEM/><GANotification><File Name="OGAAddin.dll" Version="2.0.48.0"/></GANotification></MachineData><Software><Office><Result>100</Result><Products><Product GUID="{91120000-0030-0000-0000-0000000FF1CE}"><LegitResult>100</LegitResult><Name>Microsoft Office Enterprise 2007</Name><Ver>12</Ver><Val>C1097ABD8622F73</Val><Hash>gA7u8Rhk4RSqgmP6nObw0HfvTi8=</Hash><Pid>81599-953-0181396-65047</Pid><PidType>1</PidType></Product></Products><Applications><App Id="15" Version="12" Result="100"/><App Id="16" Version="12" Result="100"/><App Id="18" Version="12" Result="100"/><App Id="19" Version="12" Result="100"/><App Id="1A" Version="12" Result="100"/><App Id="1B" Version="12" Result="100"/><App Id="44" Version="12" Result="100"/><App Id="A1" Version="12" Result="100"/><App Id="BA" Version="12" Result="100"/></Applications></Office></Software></GenuineResults> Spsys.log Content: 0x80070002 Licensing Data--> Software licensing service version: 6.1.7600.16385 Name: Windows(R) 7, Professional edition Description: Windows Operating System - Windows(R) 7, RETAIL channel Activation ID: e838d943-63ed-4a0b-9fb1-47152908acc9 Application ID: 55c92734-d682-4d71-983e-d6ec3f16059f Extended PID: 00371-00170-840-749529-00-1043-7600.0000-0532010 Installation ID: 019730404392629133950716603906129620137690872970787980 Processor Certificate URL: http://go.microsoft.com/fwlink/?LinkID=88338 Machine Certificate URL: http://go.microsoft.com/fwlink/?LinkID=88339 Use License URL: http://go.microsoft.com/fwlink/?LinkID=88341 Product Key Certificate URL: http://go.microsoft.com/fwlink/?LinkID=88340 Partial Product Key: PTQHC License Status: Licensed Remaining Windows rearm count: 3 Trusted time: 26-4-2010 20:48:20 Windows Activation Technologies--> HrOffline: 0x00000000 HrOnline: N/A HealthStatus: 0x0000000000000000 Event Time Stamp: N/A ActiveX: Not Registered - 0x80040154 Admin Service: Not Registered - 0x80040154 HealthStatus Bitmask Output: HWID Data--> HWID Hash Current: OAAAAAIABgABAAEAAQABAAAAAQABAAEAJJQaRsf7rCoAh96TPo5+COrUdOpiCE40je9Jqxj3Juk= OEM Activation 1.0 Data--> N/A OEM Activation 2.0 Data--> BIOS valid for OA 2.0: yes, but no SLIC table Windows marker version: N/A OEMID and OEMTableID Consistent: N/A BIOS Information: ACPI Table Name OEMID Value OEMTableID Value APIC Nvidia ASUSACPI FACP Nvidia ASUSACPI HPET Nvidia ASUSACPI MCFG Nvidia ASUSACPI
  • Controleer eens via Taakbeheer - tab Netwerk, wat de aktiviteit daar over langere tijd is, zonder dat de computer ver iets hoeft te doen. Dus zelf heb je dan niks opgestart behalve Taakbeheer. Laat weten hoeveel aktiviteit te bespeuren is.
  • [quote:2815fca717="Abraham54"]Controleer eens via Taakbeheer - tab Netwerk, wat de aktiviteit daar over langere tijd is, zonder dat de computer ver iets hoeft te doen. Dus zelf heb je dan niks opgestart behalve Taakbeheer. Laat weten hoeveel aktiviteit te bespeuren is.[/quote:2815fca717] Hier zijn 3 screens van mijn actieve processen, mijn proc en memory gebruik en mijn netwerk activiteit gedurende een aantal minuten niets doen. Ik heb alles gesloten. Bij het openen van een webpagina loopt het netwerk gebruik tot zo'n 12.5% op. [img:2815fca717]http://img148.imageshack.us/img148/5869/activitys.png[/img:2815fca717] [img:2815fca717]http://img231.imageshack.us/img231/4693/networkk.png[/img:2815fca717] processen: [link]http://img297.imageshack.us/img297/1553/proc.png[/link] [img:2815fca717]http://img297.imageshack.us/img297/1553/proc.png[/img:2815fca717]
  • Ik vind dat er veel processen zijn. Is het een merkcomputer met een voorgeïnstalleerde Windows? [b:3858cde43b][url=http://www.idealsoftware.nl/MBAM/]Download, installeer en blijf MBAM gebruiken (KLIK)[/url][/b:3858cde43b] • Al meteen na de installatie wil [b:3858cde43b]MBAM[/b:3858cde43b] zijn database opwaarderen – toestaan dus. • Ook bij herhaald gebruik: eerst MBAM updaten via de tab [b:3858cde43b]Update[/b:3858cde43b]! • Start [b:3858cde43b]MBAM[/b:3858cde43b] en kies voor [b:3858cde43b]Snelle Scan[/b:3858cde43b] • [b:3858cde43b]N.B.: Vistagebruik(st)ers starten MBAM middels rechtsklikken en dan kiezen voor Als Administrator uitvoeren.[/b:3858cde43b] • Het scannen kan een tijdje duren, dus wees geduldig. • Indien de scan voltooid is, klik dan op de knop [b:3858cde43b]OK[/b:3858cde43b] • Klik daarna op de knop [b:3858cde43b]Bekijk Resultaten[/b:3858cde43b] om de resultaten te zien. • Zorg ervoor, dat alles aangevinkt is. • Vervolgens klik je op: [b:3858cde43b]Verwijder geselecteerde[/b:3858cde43b] . • Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. • Het log wordt automatisch bewaard door [b:3858cde43b]MBAM[/b:3858cde43b] en dat kan je terugvinden door op de tab [b:3858cde43b]Logs[/b:3858cde43b] te klikken in [b:3858cde43b]MBAM[/b:3858cde43b] . • Indien [b:3858cde43b]MBAM[/b:3858cde43b] moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven – dan telkens op [b:3858cde43b]OK[/b:3858cde43b] klikken! • Daarna zal [b:3858cde43b]MBAM[/b:3858cde43b] vragen om de Computer opnieuw op te starten - dus sta toe dat de computer opnieuw opgestart wordt.[/list] Indien er de rootkit (TDSS) aanwezig is, zal MBAM ook vragen te herstarten. Doe dit dan ook. MBAM zal dan na de herstart opnieuw scannen en de rootkit verwijderen. [b:3858cde43b]Hierna post je de inhoud van de volgende logs:[/b:3858cde43b] • MBAM scanlog [b:3858cde43b]Hierna post je de inhoud van de volgende logs:[/b:3858cde43b] • een nieuw Hijackthis-log • MBAM scanlog [b:3858cde43b]Tevens een Uninstall-lijst posten:[/b:3858cde43b] • start HijackThis, • klik op de knop [b:3858cde43b]Open the Misc Tools section[/b:3858cde43b], • klik op de knop [b:3858cde43b]Open Uninstall Manager[/b:3858cde43b] • Klik op de knop [b:3858cde43b]Save[/b:3858cde43b].[/list]
  • Ik vind dat er veel processen zijn. Is het een merkcomputer met een voorgeïnstalleerde Windows? [b:000c59d552][url=http://www.idealsoftware.nl/MBAM/]Download, installeer en blijf MBAM gebruiken (KLIK)[/url][/b:000c59d552] • Al meteen na de installatie wil [b:000c59d552]MBAM[/b:000c59d552] zijn database opwaarderen – toestaan dus. • Ook bij herhaald gebruik: eerst MBAM updaten via de tab [b:000c59d552]Update[/b:000c59d552]! • Start [b:000c59d552]MBAM[/b:000c59d552] en kies voor [b:000c59d552]Snelle Scan[/b:000c59d552] • [b:000c59d552]N.B.: Vistagebruik(st)ers starten MBAM middels rechtsklikken en dan kiezen voor Als Administrator uitvoeren.[/b:000c59d552] • Het scannen kan een tijdje duren, dus wees geduldig. • Indien de scan voltooid is, klik dan op de knop [b:000c59d552]OK[/b:000c59d552] • Klik daarna op de knop [b:000c59d552]Bekijk Resultaten[/b:000c59d552] om de resultaten te zien. • Zorg ervoor, dat alles aangevinkt is. • Vervolgens klik je op: [b:000c59d552]Verwijder geselecteerde[/b:000c59d552] . • Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. • Het log wordt automatisch bewaard door [b:000c59d552]MBAM[/b:000c59d552] en dat kan je terugvinden door op de tab [b:000c59d552]Logs[/b:000c59d552] te klikken in [b:000c59d552]MBAM[/b:000c59d552] . • Indien [b:000c59d552]MBAM[/b:000c59d552] moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven – dan telkens op [b:000c59d552]OK[/b:000c59d552] klikken! • Daarna zal [b:000c59d552]MBAM[/b:000c59d552] vragen om de Computer opnieuw op te starten - dus sta toe dat de computer opnieuw opgestart wordt.[/list] Indien er de rootkit (TDSS) aanwezig is, zal MBAM ook vragen te herstarten. Doe dit dan ook. MBAM zal dan na de herstart opnieuw scannen en de rootkit verwijderen. [b:000c59d552]Hierna post je de inhoud van de volgende logs:[/b:000c59d552] • MBAM scanlog [b:000c59d552]Hierna post je de inhoud van de volgende logs:[/b:000c59d552] • een nieuw Hijackthis-log • MBAM scanlog [b:000c59d552]Tevens een Uninstall-lijst posten:[/b:000c59d552] • start HijackThis, • klik op de knop [b:000c59d552]Open the Misc Tools section[/b:000c59d552], • klik op de knop [b:000c59d552]Open Uninstall Manager[/b:000c59d552] • Klik op de knop [b:000c59d552]Save[/b:000c59d552].[/list]
  • Ik heb al een quick scan met mbam gedaan, maar de full scan draait nu. Tot nu heeft dat 1 infected bestand opgeleverd. Als deze zo klaar is zal ik volledige logs posten. Mooi programma dat MBAM. Hoewel ik niet snap dat noch windows security als avg dit oppikt.
  • Dat is het verschil tussen een specialistische scanner en gratis antivirus. Het is daarom ook belangrijk een scanner als MBAM ter ondersteuning van de antivirus in Windows te hebben! Overigens dat mijn vorige bericht nu 3 maal is gepost, komt door een of andere forumbug, die liet blijken dat het bericht niet gepost kon worden!
  • [quote:55abe4a44a="Abraham54"]Dat is het verschil tussen een specialistische scanner en gratis antivirus. Het is daarom ook belangrijk een scanner als MBAM ter ondersteuning van de antivirus in Windows te hebben! Overigens dat mijn vorige bericht nu 3 maal is gepost, komt door een of andere forumbug, die liet blijken dat het bericht niet gepost kon worden![/quote:55abe4a44a] AVG antivirus is niet gratis :) valt me wel wat tegen.
  • [quote:de862bf03c="ElessarWebb"][quote:de862bf03c="Abraham54"]Dat is het verschil tussen een specialistische scanner en gratis antivirus. Het is daarom ook belangrijk een scanner als MBAM ter ondersteuning van de antivirus in Windows te hebben! Overigens dat mijn vorige bericht nu 3 maal is gepost, komt door een of andere forumbug, die liet blijken dat het bericht niet gepost kon worden![/quote:de862bf03c] AVG antivirus is niet gratis :) valt me wel wat tegen.[/quote:de862bf03c] Tsja - de beste koopantivirus is nog steeds Norton Internetsecurity 2010!
  • [quote:f9a446926d="Abraham54"][quote:f9a446926d="ElessarWebb"][quote:f9a446926d="Abraham54"]Dat is het verschil tussen een specialistische scanner en gratis antivirus. Het is daarom ook belangrijk een scanner als MBAM ter ondersteuning van de antivirus in Windows te hebben! Overigens dat mijn vorige bericht nu 3 maal is gepost, komt door een of andere forumbug, die liet blijken dat het bericht niet gepost kon worden![/quote:f9a446926d] AVG antivirus is niet gratis :) valt me wel wat tegen.[/quote:f9a446926d] Tsja - de beste koopantivirus is nog steeds Norton Internetsecurity 2010![/quote:f9a446926d] Ja, maar dat is ook nog steeds de zwaarste :) Hier komt vast mijn startuplist. Ik heb BTW met hijack this een no name no file verwijdert en bovendien met mbam 2 infected files verwijdert/gerepaired. Deze lijken echter niet de oorzaak van het probleem te zijn geweest, want de hogere memory usage blijft bestaan. Ik heb in taskmanager wel show processes from all users aangevinkt, waarschijnlijk is dat de reden dat er zoveel processen te zien zijn :) ------------------------ STARTUP LIST HIJACKTHIS StartupList report, 26-4-2010, 23:56:42 StartupList version: 1.52.2 Started from : C:\Program Files\Hijackthis\Trend Micro\HiJackThis\HiJackThis.EXE Detected: Windows 7 (WinNT 6.00.3504) Detected: Internet Explorer v8.00 (8.00.7600.16385) * Using default options ================================================== Running processes: C:\Windows\SYSTEM32\WISPTIS.EXE C:\Program Files\WTouch\WTouchUser.exe C:\Windows\system32\taskhost.exe C:\Windows\system32\Dwm.exe C:\Program Files\Common Files\microsoft shared\ink\TabTip.exe C:\Windows\Explorer.EXE C:\Program Files\Google\Gmail Notifier\gnotify.exe C:\Program Files\iTunes\iTunesHelper.exe C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe C:\Program Files\AVG\AVG9\avgtray.exe C:\Program Files\Adobe\Acrobat 9.0\Acrobat\acrotray.exe C:\Program Files\DAEMON Tools\DTLite.exe C:\Program Files\Steam\Steam.exe C:\Program Files\Hijackthis\Trend Micro\HiJackThis\HiJackThis.exe C:\Program Files\Common Files\Microsoft Shared\Ink\InputPersonalization.exe -------------------------------------------------- Checking Windows NT UserInit: [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] UserInit = C:\Windows\system32\userinit.exe, -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\Run {0228e555-4f9c-4e35-a3ec-b109a192b4c2} = C:\Program Files\Google\Gmail Notifier\gnotify.exe QuickTime Task = "C:\Program Files\QuickTime\QTTask.exe" -atboottime iTunesHelper = "C:\Program Files\iTunes\iTunesHelper.exe" GrooveMonitor = "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe" AVG9_TRAY = C:\PROGRA~1\AVG\AVG9\avgtray.exe AdobeCS4ServiceManager = "C:\Program Files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin Adobe_ID0ENQBO = C:\PROGRA~1\COMMON~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE Acrobat Assistant 8.0 = "C:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe" (Default) = Adobe Acrobat Speed Launcher = "C:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe" -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\Run Google Update = "C:\Users\Eléssar\AppData\Local\Google\Update\GoogleUpdate.exe" /c DAEMON Tools Lite = "C:\Program Files\DAEMON Tools\DTLite.exe" -autorun Steam = "C:\Program Files\Steam\Steam.exe" -silent -------------------------------------------------- Autorun entries in Registry subkeys of: HKLM\Software\Microsoft\Windows\CurrentVersion\Run [OptionalComponents] = -------------------------------------------------- Autorun entries in Registry subkeys of: HKCU\Software\Microsoft\Windows\CurrentVersion\Run [AdobeUpdater] = -------------------------------------------------- Load/Run keys from C:\Windows\WIN.INI: load=*INI section not found* run=*INI section not found* Load/Run keys from Registry: HKLM\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found* HKLM\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found* HKLM\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found* HKLM\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found* HKCU\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found* HKCU\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found* HKCU\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found* HKCU\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found* HKCU\..\Windows NT\CurrentVersion\Windows: load= HKCU\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found* HKLM\..\Windows NT\CurrentVersion\Windows: load=*Registry value not found* HKLM\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found* HKLM\..\Windows NT\CurrentVersion\Windows: AppInit_DLLs=avgrsstx.dll -------------------------------------------------- Shell & screensaver key from C:\Windows\SYSTEM.INI: Shell=*INI section not found* SCRNSAVE.EXE=*INI section not found* drivers=*INI section not found* Shell & screensaver key from Registry: Shell=explorer.exe SCRNSAVE.EXE=*Registry value not found* drivers=*Registry value not found* Policies Shell key: HKCU\..\Policies: Shell=*Registry key not found* HKLM\..\Policies: Shell=*Registry value not found* -------------------------------------------------- Enumerating Browser Helper Objects: (no name) - C:\Program Files\Adobe\/Adobe Contribute CS4/contributeieplugin.dll - {074C1DC5-9320-4A9A-947D-C042949C6216} AcroIEHelperStub - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} WormRadar.com IESiteBlocker.NavFilter - C:\Program Files\AVG\AVG9\avgssie.dll - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} (no name) - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} (no name) - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll - {9030D464-4C02-4ABF-8ECC-5164760863C6} (no name) - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll - {AE7CD045-E861-484f-8273-0445EE161910} (no name) - C:\Program Files\Microsoft Visual Studio 10.0\Common7\IDE\PrivateAssemblies\Microsoft.VisualStudio.QualityTools.RecorderBarBHO100.dll - {DDA57003-0068-4ed2-9D32-4D1EC707D94D} SmartSelect - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll - {F4971EE7-DAA0-4053-9964-665D8EE6A077} -------------------------------------------------- Enumerating Task Scheduler jobs: GoogleUpdateTaskUserS-1-5-21-3421977989-3582955890-1734013734-1001Core.job GoogleUpdateTaskUserS-1-5-21-3421977989-3582955890-1734013734-1001UA.job -------------------------------------------------- Enumerating Download Program Files: [Checkers Class] InProcServer32 = C:\Windows\Downloaded Program Files\msgrchkr.dll CODEBASE = http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab [DLC Class] InProcServer32 = C:\Windows\Downloaded Program Files\grTransferCtrl.dll CODEBASE = https://transfers.ds.microsoft.com/FTM/TransferSource/grTransferCtrl.cab [MessengerStatsClient Class] InProcServer32 = C:\Windows\Downloaded Program Files\MessengerStatsPAClient.dll CODEBASE = http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab -------------------------------------------------- Enumerating Winsock LSP files: NameSpace #1: C:\Windows\system32\NLAapi.dll NameSpace #4: C:\Windows\system32\napinsp.dll NameSpace #5: C:\Windows\system32\pnrpnsp.dll NameSpace #6: C:\Windows\system32\pnrpnsp.dll NameSpace #7: C:\Program Files\Bonjour\mdnsNSP.dll NameSpace #8: C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL NameSpace #9: C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL -------------------------------------------------- Enumerating ShellServiceObjectDelayLoad items: WebCheck: *Registry key not found* -------------------------------------------------- End of report, 7.888 bytes Report generated in 0,015 seconds

Beantwoord deze vraag

Weet jij het antwoord op deze vraag? Registreer of meld je aan met je account

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.