Vraag & Antwoord

Beveiliging & privacy

Emails verzenden gaat niet meer, virus gevonden

Anoniem
pcguy
13 antwoorden
 • Sinds vandaag kan ik geen e-mails verzenden, er komen steeds foutmeldingen. AV-virus geupdate, en die vond al snel een virus. De betreffende map heb ik weggegooid (vergeten naam virus op te schrijven en ook niet onthouden). Adaware vond niets.

  Nu maar een hyack-thislog. Hopelijk kunnen jullie me helpen.

  Logfile of HijackThis v1.98.2
  Scan saved at 1:27:40, on 10-12-04
  Platform: Windows 98 SE (Win9x 4.10.2222A)
  MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

  Running processes:
  C:\WINDOWS\SYSTEM\KERNEL32.DLL
  C:\WINDOWS\SYSTEM\MSGSRV32.EXE
  C:\WINDOWS\SYSTEM\MPREXE.EXE
  C:\WINDOWS\ACCSTAT.EXE
  C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE
  C:\PROGRAM FILES\NORTON UTILITIES\NPROTECT.EXE
  C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
  C:\WINDOWS\SYSTEM\MSTASK.EXE
  C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
  C:\WINDOWS\SYSTEM\mmtask.tsk
  C:\WINDOWS\SYSTEM\HIDSERV.EXE
  C:\WINDOWS\EXPLORER.EXE
  C:\LOGITECH\MOUSE\SYSTEM\EM_EXEC.EXE
  C:\WINDOWS\TASKMON.EXE
  C:\WINDOWS\SYSTEM\SYSTRAY.EXE
  C:\WINDOWS\SYSTEM\STIMON.EXE
  C:\WINDOWS\LOADQM.EXE
  C:\PROGRAM FILES\COMMON FILES\REAL\UPDATE_OB\REALSCHED.EXE
  C:\PROGRAM FILES\SUPPORT.COM\BIN\TGCMD.EXE
  D:\PROGRAM FILES\ZONEALARM\ZLCLIENT.EXE
  C:\WINDOWS\SYSTEM\CTFMON.EXE
  C:\WINDOWS\SYSTEM\WMIEXE.EXE
  C:\WINDOWS\SYSTEM\SPOOL32.EXE
  C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE
  C:\WINDOWS\SYSTEM\DDHELP.EXE
  C:\PROGRAM FILES\AVPERSONAL\AVGCTRL.EXE
  C:\PROGRAM FILES\AVPERSONAL\AVSCHED32.EXE
  C:\WINDOWS\SYSTEM\PSTORES.EXE
  C:\PROGRAM FILES\AVPERSONAL\AVWIN.EXE
  C:\PROGRAM FILES\HYACKTHIS\HIJACKTHIS.EXE

  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
  R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
  O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
  O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
  O4 - HKLM\..\Run: [EM_EXEC] C:\LOGITECH\MOUSE\SYSTEM\EM_EXEC.EXE
  O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
  O4 - HKLM\..\Run: [Taakcontrole] C:\WINDOWS\taskmon.exe
  O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
  O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
  O4 - HKLM\..\Run: [AVGCtrl] "C:\PROGRA~1\AVPERS~1\AVGCTRL.EXE" /min
  O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRAM FILES\AVPERSONAL\AVSCHED32.EXE /min
  O4 - HKLM\..\Run: [NPROTECT] C:\Program Files\Norton Utilities\NPROTECT.EXE
  O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
  O4 - HKLM\..\Run: [LoadQM] loadqm.exe
  O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
  O4 - HKLM\..\Run: [tgcmd] "C:\PROGRA~1\SUPPORT.COM\BIN\TGCMD.EXE" /server /startmonitor /deaf
  O4 - HKLM\..\Run: [Zone Labs Client] "D:\Program Files\ZoneAlarm\zlclient.exe"
  O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
  O4 - HKLM\..\RunServices: [MDM7] "C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE"
  O4 - HKLM\..\RunServices: [NPROTECT] C:\Program Files\Norton Utilities\NPROTECT.EXE
  O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe
  O4 - HKLM\..\RunServices: [Hidserv] Hidserv.exe run
  O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
  O4 - HKLM\..\RunServices: [truevector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
  O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
  O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://D:\MICROS~1\OFFICE10\EXCEL.EXE/3000
  O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
  O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
  O16 - DPF: {DF6A0F17-0B1E-11D4-829D-00C04F6843FE} (Microsoft Office Tools on the Web Control) - http://dgl.microsoft.com/downloads/outc.cab
  O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.es/activescan/as/asinst.cab
  O16 - DPF: {01111E00-3E00-11D2-8470-0060089874ED} (Support.com SmartIssue) - http://quickfix.chello.nl/sdccommon/download/tgctlsi.cab
  O16 - DPF: {01FE8D0A-51AD-459B-B62B-85E135128B32} (DD_v4.DDv4) - http://www.drivershq.com/DD_v4.CAB
  O16 - DPF: {C58EFA10-2CC0-4C50-8C77-B326555EC1B7} (LaunchApp.clsDefault) - http://quickfix2.chello.nl/quickfix2/asp/LaunchApp.CAB
  O16 - DPF: {1D185838-009D-47C8-824B-B65B4854430E} (chelloInstall.Install) - http://quickfix2.chello.nl/quickfix2/asp/chelloInstall.CAB
  O16 - DPF: {FE8287E9-5F43-11D3-ABCA-00105A5C1F46} (HouseCall Control) - http://www.housecall.nl/housecall/xscan4.cab
  O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
 • Als het om een virus gaat dan vindt AdAware het niet.
  Je zou nog extra een online scan uit kunnen voeren bij Trend. Mogelijk was dar de LOVEGATE virus.
  In jou Hijack this log zou je de 2e en 3e RO kunne verwijderen (waar geen site erbij staat).
 • [quote:247edef73d="Falconetti"]Als het om een virus gaat dan vindt AdAware het niet.
  Je zou nog extra een online scan uit kunnen voeren bij Trend. Mogelijk was dar de LOVEGATE virus.
  In jou Hijack this log zou je de 2e en 3e RO kunne verwijderen (waar geen site erbij staat).[/quote:247edef73d]


  Momenteel doet Bitfender een onlinescan.
  Hij heeft in System 32\CISVCS.exe dit gevonden:
  trojan.Downloader.Small.VL
  trojan.PWS.Bispy

  Bij beide trojans staat: disinfection failed.

  Als jullie alvast tips hebben, graag!
 • Maak eerst de online scan af en maak daarna een nieuwe hijackthislog.
 • Bitfenderscan heb ik na een uur afgebroken, duurde eindeloos. Daarna heb ik in de veilige modus AV-virusscan en AdAware laten scannen. Die vonden niets.
  Omdat er in System32 iets was gevonden door Bitfender (zie boven) heb ik in veilige modus die map opgezocht. Daarin staan o.a.:

  Cisvcs.exe
  confuSearch.dll
  DNSProxy.dll

  Kaspersky geeft aan dat alledrie zijn geinfecteerd met: not-a-virus AdWare Sticky Pops en met Trojan Downloader Win 32.small.vl. Alledrie verwijderen?

  Hier is de nieuwe log:
  Logfile of HijackThis v1.98.2
  Scan saved at 12:29:20, on 10-12-04
  Platform: Windows 98 SE (Win9x 4.10.2222A)
  MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

  Running processes:
  C:\WINDOWS\SYSTEM\KERNEL32.DLL
  C:\WINDOWS\SYSTEM\MSGSRV32.EXE
  C:\WINDOWS\SYSTEM\MPREXE.EXE
  C:\WINDOWS\ACCSTAT.EXE
  C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE
  C:\PROGRAM FILES\NORTON UTILITIES\NPROTECT.EXE
  C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
  C:\WINDOWS\SYSTEM\MSTASK.EXE
  C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
  C:\WINDOWS\SYSTEM\mmtask.tsk
  C:\WINDOWS\SYSTEM\HIDSERV.EXE
  C:\WINDOWS\EXPLORER.EXE
  C:\LOGITECH\MOUSE\SYSTEM\EM_EXEC.EXE
  C:\WINDOWS\TASKMON.EXE
  C:\WINDOWS\SYSTEM\SYSTRAY.EXE
  C:\PROGRAM FILES\AVPERSONAL\AVGCTRL.EXE
  C:\PROGRAM FILES\AVPERSONAL\AVSCHED32.EXE
  C:\WINDOWS\SYSTEM\STIMON.EXE
  C:\WINDOWS\LOADQM.EXE
  C:\PROGRAM FILES\COMMON FILES\REAL\UPDATE_OB\REALSCHED.EXE
  C:\PROGRAM FILES\SUPPORT.COM\BIN\TGCMD.EXE
  D:\PROGRAM FILES\ZONEALARM\ZLCLIENT.EXE
  C:\WINDOWS\SYSTEM\CTFMON.EXE
  C:\WINDOWS\SYSTEM\WMIEXE.EXE
  C:\PROGRAM FILES\OUTLOOK EXPRESS\MSIMN.EXE
  C:\WINDOWS\SYSTEM\PSTORES.EXE
  C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE
  C:\WINDOWS\SYSTEM\SPOOL32.EXE
  C:\PROGRAM FILES\HYACKTHIS\HIJACKTHIS.EXE

  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
  O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
  O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
  O4 - HKLM\..\Run: [EM_EXEC] C:\LOGITECH\MOUSE\SYSTEM\EM_EXEC.EXE
  O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
  O4 - HKLM\..\Run: [Taakcontrole] C:\WINDOWS\taskmon.exe
  O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
  O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
  O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAM FILES\AVPERSONAL\AVGCTRL.EXE /min
  O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRAM FILES\AVPERSONAL\AVSCHED32.EXE /min
  O4 - HKLM\..\Run: [NPROTECT] C:\Program Files\Norton Utilities\NPROTECT.EXE
  O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
  O4 - HKLM\..\Run: [LoadQM] loadqm.exe
  O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
  O4 - HKLM\..\Run: [tgcmd] "C:\PROGRA~1\SUPPORT.COM\BIN\TGCMD.EXE" /server /startmonitor /deaf
  O4 - HKLM\..\Run: [Zone Labs Client] "D:\Program Files\ZoneAlarm\zlclient.exe"
  O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
  O4 - HKLM\..\RunServices: [MDM7] "C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE"
  O4 - HKLM\..\RunServices: [NPROTECT] C:\Program Files\Norton Utilities\NPROTECT.EXE
  O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe
  O4 - HKLM\..\RunServices: [Hidserv] Hidserv.exe run
  O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
  O4 - HKLM\..\RunServices: [truevector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
  O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
  O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://D:\MICROS~1\OFFICE10\EXCEL.EXE/3000
  O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
  O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
  O16 - DPF: {DF6A0F17-0B1E-11D4-829D-00C04F6843FE} (Microsoft Office Tools on the Web Control) - http://dgl.microsoft.com/downloads/outc.cab
  O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.es/activescan/as/asinst.cab
  O16 - DPF: {01111E00-3E00-11D2-8470-0060089874ED} (Support.com SmartIssue) - http://quickfix.chello.nl/sdccommon/download/tgctlsi.cab
  O16 - DPF: {01FE8D0A-51AD-459B-B62B-85E135128B32} (DD_v4.DDv4) - http://www.drivershq.com/DD_v4.CAB
  O16 - DPF: {C58EFA10-2CC0-4C50-8C77-B326555EC1B7} (LaunchApp.clsDefault) - http://quickfix2.chello.nl/quickfix2/asp/LaunchApp.CAB
  O16 - DPF: {1D185838-009D-47C8-824B-B65B4854430E} (chelloInstall.Install) - http://quickfix2.chello.nl/quickfix2/asp/chelloInstall.CAB
  O16 - DPF: {FE8287E9-5F43-11D3-ABCA-00105A5C1F46} (HouseCall Control) - http://www.housecall.nl/housecall/xscan4.cab
  O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
  O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

  Als jullie me niet kunnen helpen, ik vond dit op google:
  http://greatissoftware.com/forums/index.php?board=3;action=display;threadid=34
  Het gaat over Confusearch en Cisvcs. Er staat een advies bij maar ik weet niet precies hoe dat uit te voeren.
  Misschien openen jullie niet zomaar websitelinks. Daarom hieronder wat er precies staat:

  Today I tested the CISVC32.exe file received from RegRun user.
  It's not detected by antivirus.
  I use RegRun Trojan Analyser.
  ————————————-
  This is browser spyware: Confusearch.
  After running the CISVC32.exe it creates ConfuSearch.dll and
  STRAd32.dll in the %SysDir% folder (where %SysDir% is the the Widnows
  System(for Windows 95/98/Me) or System32 folder(for Windows
  NT4/2000/XP).
  CISVC32.exe registers both DLLs in th registry.
  STRAd32.dll is the Browser Helper Object. It's used for logging
  visited pages.
  Adds the sub-key {1433F750-E53F-11D8-9669-0800200C9A66} to:
  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

  ConfuSearch.dll - URL search hook object.
  Adds the sub-key {D7CD08F0-D691-11D8-9669-0800200C9A66} to the :
  HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks
  It sends the user search requests to the:
  http://www.dnscaching.net/search/?q=

  Creates the keys:
  HKCR\TypeLib\{D7CD08E1-D691-11D8-9669-0800200C9A66}
  HKCR\TypeLib\{1433F742-E53F-11D8-9669-0800200C9A66}
  HKCR\CLSID\{1433F750-E53F-11D8-9669-0800200C9A66}
  HKCR\Interface\{1433F74F-E53F-11D8-9669-0800200C9A66}

  To remove it you need to unregister both DLL's.
  Run the command:
  regsvr32 /u STRAd32.dll
  regsvr32 /u ConfuSearch.dll

  Delete other registry keys using regedit (it's not necessary).

  Ik moet volgens dit advies iets in het register wijzigen.
 • Verander de extenties eens naar .xxx (in veilige modus) zodat je ze later nog terug kan zetten. Herstart vervolgens in gewone modus en kijk of de problemen weg zijn. Als de problemen weg zijn smijt je die programma's van je pc af.
 • [quote:0d0d054035="pcguy"]
  Als de problemen weg zijn smijt je die programma's van je pc af.
  [/quote:0d0d054035]
  Uiteraard wel met de geadviseerde commando's "regsvr32 /u STRAd32.dll" en "regsvr32 /u ConfuSearch.dll" die je uitvoert met Start/Run (Uitvoeren), anders gaat Windows bij elke reboot mekkeren dat ie die 2 dll's niet gevonden heeft.

  Het lijkt me overigens niet dat je hiermee je e-mailprobleem oplost, maar proberen kan altijd.
 • Hij laad ze niet met het opstarten dus hij gaat ook niet mekkeren dat hij ze niet heeft, mekkert hij wel kan je altijd die regels in het register er nog uitknallen.
 • Jullie moeten me even helpen. Ik heb geen ervaring met wijzigen van register. Als ik bij Start-Uitvoeren de regels intyp, kan de computer ze niet vinden. Ik heb windows 98.
  Ik typte:
  regvr 32/u ConfuSearch.dll
  en:
  regsvr 32/u STRAd32.dll

  Ik heb ondertussen de zaken die Kaspersky als geinfecteerd herkende (Cisvcs.exe, confuSearch.dll, enDNSProxy.dll) verwijderd uit de map Win32.
 • Dan is het goed,

  In mijn laatste post gaf ik al aan dat die stappen niet nodig waren, zijn de problemen nu opgelost?
 • Het probleem van het geen e-mails kunnen versturen in Outlook bestaat nog steeds. Wel lijkt de computer sneller geworden.
 • Welke foutmelding krijg je in outlook? Kan je een screenshotje posten?
 • [quote:38fe3d43d8="pcguy"]Welke foutmelding krijg je in outlook? Kan je een screenshotje posten?[/quote:38fe3d43d8]

  Te laat, hij doet het weer! Ik heb een update van Windows gedownload, moest daarna de computer herstarten, en hoewel de niet verzonden mail er nog steeds in stond, kan ik wel nieuwe berichten versturen.

  Probleem opgelost dus.

  Overigens kreeg ik de laatste tijd veel rare mail, zal wel door dat virus gekomen zijn. Hopelijk stopt dat nu ook.

  Thank you all en alvast prettige feestdagen.

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.