Vraag & Antwoord

Beveiliging & privacy

Log van zoonlief

Anoniem
M@rc
20 antwoorden
 • Geachte specialisten. willen jullie je blik hierover laten gaan?
  NAVce en Hitmanpro laten lopen inclusief Housecall.maar er is iets fout…
  Buroblad veranders spontaan van kleur, blauw, wit , grijs …geen bepaalde tijd aan te geven, is willekeurig

  het log :

  Logfile of HijackThis v1.99.1
  Scan saved at 16:34:12, on 22-4-2005
  Platform: Windows 2000 SP3 (WinNT 5.00.2195)
  MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

  Running processes:
  C:\WINNT\System32\smss.exe
  C:\WINNT\system32\winlogon.exe
  C:\WINNT\system32\services.exe
  C:\WINNT\system32\lsass.exe
  C:\WINNT\system32\svchost.exe
  C:\WINNT\system32\spoolsv.exe
  C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
  C:\WINNT\System32\svchost.exe
  C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
  C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
  C:\WINNT\System32\nvsvc32.exe
  C:\WINNT\system32\regsvc.exe
  C:\WINNT\system32\MSTask.exe
  C:\WINNT\System32\WBEM\WinMgmt.exe
  C:\WINNT\system32\svchost.exe
  C:\WINNT\Explorer.exe
  c:\winnt\system32\ndpdcex.exe
  C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
  C:\WINNT\System32\LVCOMSX.EXE
  C:\Program Files\Logitech\Video\LogiTray.exe
  C:\Program Files\Common Files\Real\Update_OB\realsched.exe
  C:\Program Files\Winamp\winampa.exe
  C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
  C:\Program Files\MSN Messenger\msnmsgr.exe
  C:\PROGRA~1\COMMON~1\wwwm\wwwmm.exe
  C:\WINNT\system32\ctfmon.exe
  C:\PROGRA~1\COMMON~1\wwwm\wwwma.exe
  C:\Program Files\WinZip\WZQKPICK.EXE
  C:\Program Files\Logitech\Video\FxSvr2.exe
  C:\Program Files\Registry Cleaner Trial\RegClean.exe
  C:\Program Files\Registry Cleaner Trial\coupon.exe
  C:\Program Files\Internet Explorer\iexplore.exe
  D:\downloads\HijackThis.exe

  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
  R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
  F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\Nail.exe
  O2 - BHO: BolgerObj Class - {302A3240-4805-4a34-97D7-1645A0B08410} - C:\WINNT\Bolger.dll
  O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
  O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
  O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
  O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
  O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
  O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
  O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
  O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
  O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
  O4 - HKLM\..\Run: [LVCOMSX] C:\WINNT\System32\LVCOMSX.EXE
  O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
  O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
  O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
  O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
  O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
  O4 - HKLM\..\Run: [farmmext] C:\WINNT\farmmext.exe
  O4 - HKLM\..\Run: [wzdvfgq] c:\winnt\system32\ndpdcex.exe
  O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINNT\System32\spoolsrv32.exe
  O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
  O4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0
  O4 - HKCU\..\Run: [wwwm] C:\PROGRA~1\COMMON~1\wwwm\wwwmm.exe
  O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
  O4 - HKCU\..\Run: [Registry Cleaner] "C:\Program Files\Registry Cleaner Trial\RegClean.exe"
  O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINNT\System32\spoolsrv32.exe
  O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
  O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
  O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
  O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
  O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
  O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
  O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/7/532/6712/6c5b0a1ae398e3/player.virtools.com/downloads/player/Install2.5/Installer.exe
  O17 - HKLM\System\CCS\Services\Tcpip\..\{E33D7881-9B7E-4C06-9A4C-F533C0A9027F}: NameServer = 192.168.1.1
  O20 - Winlogon Notify: NavLogon - C:\WINNT\System32\NavLogon.dll
  O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
  O23 - Service: Logical Disk Manager Administrative-service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
  O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
  O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
  O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINNT\svcproc.exe
 • Download en installeer CCleaner.
  Gebruik het programma nog niet.


  Zorg ervoor dat alle verborgen bestanden en mappen weergegeven worden.Hoe verborgen bestanden en mappen weergeven..

  Download Pocket KillBox.
  Unzip het programma naar je bureaublad.


  Sluit alle open vensters, run HijackThis nog een keer en plaats een vinkje bij de volgende items:

  [b:b89e56a470]R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

  F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\Nail.exe

  O2 - BHO: BolgerObj Class - {302A3240-4805-4a34-97D7-1645A0B08410} - C:\WINNT\Bolger.dll

  O4 - HKLM\..\Run: [farmmext] C:\WINNT\farmmext.exe
  O4 - HKLM\..\Run: [wzdvfgq] c:\winnt\system32\ndpdcex.exe
  O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINNT\System32\spoolsrv32.exe
  O4 - HKCU\..\Run: [wwwm] C:\PROGRA~1\COMMON~1\wwwm\wwwmm.exe
  O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINNT\System32\spoolsrv32.exe

  O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINNT\svcproc.exe[/b:b89e56a470]

  Klik daarna op "Fix checked" en sluit HijackThis af.

  Klik op killbox.exe.
  Selecteer de optie “Delete on reboot”.
  In het veld “Full path of file to delete" Kopieer en plak je het volgende:
  [code:1:b89e56a470]C:\WINNT\farmmext.exe
  [/code:1:b89e56a470]
  Klik op de knop met de rode cirkel en het witte kruis.
  Wanneer het programma vraagt om nu te rebooten, geef je hier geen toestemming voor. Klik op de knop "NO".
  Doe het zelfde voor de volgende bestanden
  [code:1:b89e56a470]
  C:\WINNT\Bolger.dll
  C:\WINNT\Nail.exe
  C:\WINNT\System32\spoolsrv32.exe[/code:1:b89e56a470]
  Als laatste voeg je dit bestand toe:
  [code:1:b89e56a470]C:\WINNT\svcproc.exe[/code:1:b89e56a470]
  Wanneer het programma vraagt om nu te rebooten, geef je hier toestemming voor. Klik op de knop "YES".

  Laat de computer opnieuw starten in normale modus. Controleer of de bovegenoemde bestanden weg zijn.


  Start daarna de computer in veilige modus.

  Zoek via Windows verkenner naar volgende bestanden of mappen, en verwijder deze indien ze nog aanwezig zijn:

  c:\winnt\system32\ndpdcex.exe
  C:\WINNT\svcproc.exe
  C:\PROGRA~1\COMMON~1\wwwm

  Start Ccleaner en klik op de knop "Opschonen".
  Herstart de computer in normale modus.

  Start HijackThis opnieuw, maak een nieuwe log en post deze.

  Geef even wat feedback als er iets niet lukt of als je iets niet hebt kunnen verwijderen.
 • Doe dit nadien ook nog even Anjo:
  Download rkfiles.zip .
  Pak de bestanden uit naar de map c:\rkfiles.
  Start de computer in veilige modus.
  Ga via de verkenner naar de map c:\rkfiles en dubbelklik op rkfiles.bat.
  De computer wordt nu gescand.
  Als het dosvenster sluit, start je de computer terug in normale modus.
  Zoek het bestand C:\log.txt
  Post de inhoud van dit bestand.

  edit: zorg zeker dat alle verborgen bestanden weergegeven worden.
 • WARNING!
  YOU'RE IN DANGER!  ALL YOU DO WITH COMPUTER IS STORED FOREVER IN YOUR HARD DISK. WHEN YOU VISIT SITES, SEND EMAILS… ALL YOUR ACTIONS ARE LOGGED. AND IT IS IMPOSSIBLE TO REMOVE THEM WITH STANDARD TOOLS. YOUR DATA IS STILL AVAILABLE FOR FORENSICS. AND IN SOME CASES FOR YOUR BOSS, YOUR FRIENDS, YOUR WIFE, YOUR CHILDREN.

  Every site you or somebody or even something, like spyware, opened in your browser, with all images, and all downloaded and maybe later removed movies or mp3 songs - ARE STILL THERE and could broke your life!


  SECURE YOURSELF RIGHT NOW!
  REMOVE ALL SPYWARE FROM YOUR PC!

  Removal instructions


  ik kreeg dit ineens op mijn bureaublad te zien toen ik klaar was met ccleaner… moet ik dit volgen of niet?


  Logfile of HijackThis v1.99.1
  Scan saved at 18:16:03, on 24-4-2005
  Platform: Windows 2000 SP3 (WinNT 5.00.2195)
  MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

  Running processes:
  C:\WINNT\System32\smss.exe
  C:\WINNT\system32\winlogon.exe
  C:\WINNT\system32\services.exe
  C:\WINNT\system32\lsass.exe
  C:\WINNT\system32\svchost.exe
  C:\WINNT\system32\spoolsv.exe
  C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
  C:\WINNT\System32\svchost.exe
  C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
  C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
  C:\WINNT\System32\nvsvc32.exe
  C:\WINNT\system32\regsvc.exe
  C:\WINNT\system32\MSTask.exe
  C:\WINNT\System32\WBEM\WinMgmt.exe
  C:\WINNT\system32\svchost.exe
  C:\WINNT\Explorer.exe
  C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
  C:\WINNT\system32\RUNDLL32.EXE
  C:\WINNT\System32\LVCOMSX.EXE
  C:\Program Files\Logitech\Video\LogiTray.exe
  C:\Program Files\Common Files\Real\Update_OB\realsched.exe
  C:\Program Files\Winamp\winampa.exe
  C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
  c:\winnt\system32\wblirdz.exe
  C:\Program Files\MSN Messenger\msnmsgr.exe
  C:\WINNT\system32\ctfmon.exe
  C:\Program Files\Registry Cleaner Trial\RegClean.exe
  C:\Program Files\WinZip\WZQKPICK.EXE
  C:\Program Files\Logitech\Video\FxSvr2.exe
  C:\Program Files\Mozilla Firefox\firefox.exe
  D:\downloads\HijackThis.exe

  R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
  F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\Nail.exe
  O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
  O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
  O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
  O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
  O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
  O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
  O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
  O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
  O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
  O4 - HKLM\..\Run: [LVCOMSX] C:\WINNT\System32\LVCOMSX.EXE
  O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
  O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
  O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
  O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
  O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
  O4 - HKLM\..\Run: [xpwwuyd] c:\winnt\system32\wblirdz.exe
  O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINNT\System32\spoolsrv32.exe
  O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
  O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
  O4 - HKCU\..\Run: [Registry Cleaner] "C:\Program Files\Registry Cleaner Trial\RegClean.exe"
  O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINNT\System32\spoolsrv32.exe
  O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
  O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
  O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
  O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
  O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
  O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
  O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/7/532/6712/6c5b0a1ae398e3/player.virtools.com/downloads/player/Install2.5/Installer.exe
  O17 - HKLM\System\CCS\Services\Tcpip\..\{E33D7881-9B7E-4C06-9A4C-F533C0A9027F}: NameServer = 192.168.1.1
  O20 - Winlogon Notify: NavLogon - C:\WINNT\System32\NavLogon.dll
  O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
  O23 - Service: Logical Disk Manager Administrative-service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
  O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
  O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
  O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINNT\svcproc.exe (file missing)


  maar voor de rest is alles gelukt denk ik alleen ik moest wel svcproc.exe deleten….
 • anjo,

  Laat het logje van rkfiles maar. We gaan dit anders aanpakken.
  Ik kom zo bij je terug met nieuwe instructies.
 • Sluit alle open vensters, run HijackThis nog een keer en plaats een vinkje bij de volgende items:

  [b:7c3008cb7a]O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINNT\System32\spoolsrv32.exe
  O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINNT\System32\spoolsrv32.exe[/b:7c3008cb7a]

  Klik daarna op "Fix checked" en sluit HijackThis af.

  Download Pocket KillBox.
  Unzip het programma naar je bureaublad.
  Klik op killbox.exe.
  Selecteer de optie “Delete on reboot”.
  In het veld “Full path of file to delete" Kopieer en plak je het volgende:
  [code:1:7c3008cb7a]C:\WINNT\System32\spoolsrv32.exe[/code:1:7c3008cb7a]
  Klik op de knop met de rode cirkel en het witte kruis.
  Wanneer het programma vraagt om nu te rebooten, geef je hier toestemming voor. Klik op de knop "YES".

  Controleer na de reboot of dat bestand effectief verdwenen is.

  Start HijackThis opnieuw, maak een nieuwe log en post deze.

  Download FindIt's: http://forums.net-integration.net/index.php?act=Attach&type=post&id=142443
  Unzip het naar c:\
  Ga naar c:\Find-It's en dubbelklik op FindIt's.bat.
  Wacht geduldig tot er een tekstbestandje opent. Post de inhoud.
 • Logfile of HijackThis v1.99.1
  Scan saved at 18:37:17, on 24-4-2005
  Platform: Windows 2000 SP3 (WinNT 5.00.2195)
  MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

  Running processes:
  C:\WINNT\System32\smss.exe
  C:\WINNT\system32\winlogon.exe
  C:\WINNT\system32\services.exe
  C:\WINNT\system32\lsass.exe
  C:\WINNT\system32\svchost.exe
  C:\WINNT\system32\spoolsv.exe
  C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
  C:\WINNT\System32\svchost.exe
  C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
  C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
  C:\WINNT\System32\nvsvc32.exe
  C:\WINNT\system32\regsvc.exe
  C:\WINNT\system32\MSTask.exe
  C:\WINNT\System32\WBEM\WinMgmt.exe
  C:\WINNT\system32\svchost.exe
  C:\WINNT\Explorer.exe
  C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
  C:\WINNT\system32\RUNDLL32.EXE
  C:\WINNT\System32\LVCOMSX.EXE
  C:\Program Files\Logitech\Video\LogiTray.exe
  C:\Program Files\Common Files\Real\Update_OB\realsched.exe
  C:\Program Files\Winamp\winampa.exe
  C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
  c:\winnt\system32\ckuiaqn.exe
  C:\Program Files\MSN Messenger\msnmsgr.exe
  C:\WINNT\system32\ctfmon.exe
  C:\Program Files\Registry Cleaner Trial\RegClean.exe
  C:\Program Files\WinZip\WZQKPICK.EXE
  C:\Program Files\Mozilla Firefox\firefox.exe
  C:\Program Files\Logitech\Video\FxSvr2.exe
  D:\downloads\HijackThis.exe

  R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
  F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\Nail.exe
  O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
  O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
  O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
  O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
  O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
  O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
  O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
  O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
  O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
  O4 - HKLM\..\Run: [LVCOMSX] C:\WINNT\System32\LVCOMSX.EXE
  O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
  O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
  O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
  O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
  O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
  O4 - HKLM\..\Run: [dydgjs] c:\winnt\system32\ckuiaqn.exe
  O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
  O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
  O4 - HKCU\..\Run: [Registry Cleaner] "C:\Program Files\Registry Cleaner Trial\RegClean.exe"
  O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
  O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
  O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
  O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
  O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
  O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
  O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/7/532/6712/6c5b0a1ae398e3/player.virtools.com/downloads/player/Install2.5/Installer.exe
  O17 - HKLM\System\CCS\Services\Tcpip\..\{E33D7881-9B7E-4C06-9A4C-F533C0A9027F}: NameServer = 192.168.1.1
  O20 - Winlogon Notify: NavLogon - C:\WINNT\System32\NavLogon.dll
  O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
  O23 - Service: Logical Disk Manager Administrative-service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
  O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
  O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
  O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINNT\svcproc.exe


  en dit is het text bestand van dat fix its
  Microsoft Windows 2000 [versie 5.00.2195]
  PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
  »»»»»»»»»»»»»»»»»»»»»»»» Todo Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»»»


  * Todo C:\WINNT\System32\CKUIAQN.EXE
  »»»»»»»»»»»»»»»»»»»»»»»» aurora Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»

  * aurora C:\WINNT\TSDZCYB.EXE

  »»»»»»»»»»»»»»»»»»»»»»»» Suspect's »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
  Dont delete file's in the section without guidance
  If any doubt back them up first

  * UPX! C:\WINNT\System32\CKUIAQN.EXE
  * UPX! C:\WINNT\FARMMEXT.EXE
  * UPX! C:\WINNT\NAIL.EXE
  * UPX! C:\WINNT\SVCPROC.EXE
  * UPX! C:\WINNT\VAPXCH~1.EXE

  * Sniffed C:\WINNT\System32\DRPMON.DLL
  »»»»» lagitamate file's can/will show in this section.

  »»»»»»»»»»»»»»»»»»»»»»»» Buddy file's »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
  * buddy C:\WINNT\VAPXCH~1.EXE

  »»»»»»»»»»»»»»»»»»»»»»»» SAHAgent Files found »»»»»»»»»»»»»»»»»»»»»»»»»

  * SAHAgent C:\WINNT\System32\AP9H4QMO.INI
  »»»»»»»»»»»»»»»»»»»»»»»» Misc checks »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


  »»»»» Checking Windir\svcproc.exe and nail.exe.

  svcproc.exe
  Nail.exe
  »»»»» Checking for System32\DrPMon.dll.

  DrPMon.dll
  »»»»» Check for Windows\SYSTEM32\cache32_rtneg* folder.

  Het volume in station C heeft geen naam.
  Het volumenummer is 201A-187D

  Map van C:\WINNT\SYSTEM32

  »»»»» Checking for SAHAgent ico files.
  Het volume in station C heeft geen naam.
  Het volumenummer is 201A-187D

  Map van C:\WINNT\system32


  »»»»»»»»»»»»»»»»»»»»»»»».
 • Logje van findits lijkt me niet volledig. Normaal volgt er nog een gedeelte met registersleutels en dat had ik graag gezien.

  Download de trialversie van Ewido Security Suite: http://www.ewido.net/en/download/
  Installeer het.
  Na de installatie controleer je of er updates beschikbaar zijn. Download de nieuwste updates.
  Start daarna de computer in veilige modus.
  Voer een volledige systeemscan uit, en verwijder alles wat gevonden wordt.
  Herstart nadien de computer in normale modus, en post de inhoud van de logfile gemaakt tijdens het scannen met Ewido.

  Maak ook een nieuwe HijackThislog en post deze.
 • ———————————————————
  ewido security suite - Scan rapport
  ———————————————————

  + Gemaakt op: 21:26:58, 24-4-2005
  + Rapport samenvatting: 43EE0C42

  + Datum van de database: 24-4-2005
  + Versienummer van de scanner: v3.0

  + Duur: 37 min
  + Gescande bestanden: 63383
  + Snelheid: 28.24 Bestanden/Seconde
  + Geinfecteerde bestanden: 16
  + Verwijderde bestanden: 16
  + Bestanden in quarantaine gezet: 16
  + Bestanden die niet konden worden geopend: 0
  + Bestanden die niet konden worden schoongemaakt: 0

  + Binder: Ja
  + Crypter: Ja
  + Archieven: Ja

  + Gescande items:
  C:\
  D:\

  + Scan resultaten:
  C:\Documents and Settings\Administrator\Cookies\administrator@guide.real[1].txt -> Spyware.Tracking-Cookie -> Schoongemaakt met een backup
  C:\Documents and Settings\Administrator\Cookies\administrator@real[2].txt -> Spyware.Tracking-Cookie -> Schoongemaakt met een backup
  C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OQ4AX5PK\DrPMon[1].dll -> Trojan.Agent.db -> Schoongemaakt met een backup
  C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\RF7R4MCQ\Bolger[1].dll -> Spyware.BetterInternet -> Schoongemaakt met een backup
  C:\Documents and Settings\Onno\Cookies\onno@11.rtcode[1].txt -> Spyware.Tracking-Cookie -> Schoongemaakt met een backup
  C:\Documents and Settings\Onno\Cookies\onno@www.nethit-free[1].txt -> Spyware.Tracking-Cookie -> Schoongemaakt met een backup
  C:\Documents and Settings\onno.ONNO\Local Settings\Temporary Internet Files\Content.IE5\2XAZCV2L\DrPMon[1].dll -> Trojan.Agent.db -> Schoongemaakt met een backup
  C:\Documents and Settings\onno.ONNO\Local Settings\Temporary Internet Files\Content.IE5\4NOV8FY5\Nail[1].exe -> Trojan.Nail -> Schoongemaakt met een backup
  C:\Program Files\Common Files\wwwm\wwwma.exe -> TrojanDownloader.TSUpdate.l -> Schoongemaakt met een backup
  C:\Program Files\Common Files\wwwm\wwwml.exe -> TrojanDownloader.TSUpdate.j -> Schoongemaakt met een backup
  C:\Program Files\Common Files\wwwm\wwwmm.exe -> TrojanDownloader.TSUpdate.k -> Schoongemaakt met een backup
  C:\Program Files\Common Files\wwwm\wwwmp.exe -> Spyware.Xupiter.m -> Schoongemaakt met een backup
  C:\WINNT\Bolger.dll -> Spyware.BetterInternet -> Schoongemaakt met een backup
  C:\WINNT\farmmext.exe -> Spyware.ConsCorr -> Schoongemaakt met een backup
  C:\WINNT\vapxchnsb.exe -> Spyware.BetterInternet -> Schoongemaakt met een backup
  D:\downloads\backups\backup-20050424-174047-780.dll -> Spyware.BetterInternet -> Schoongemaakt met een backup


  ::Einde rapport  Logfile of HijackThis v1.99.1
  Scan saved at 21:31:23, on 24-4-2005
  Platform: Windows 2000 SP3 (WinNT 5.00.2195)
  MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

  Running processes:
  C:\WINNT\System32\smss.exe
  C:\WINNT\system32\winlogon.exe
  C:\WINNT\system32\services.exe
  C:\WINNT\system32\lsass.exe
  C:\WINNT\system32\svchost.exe
  C:\WINNT\system32\spoolsv.exe
  C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
  C:\WINNT\System32\svchost.exe
  C:\Program Files\ewido\security suite\ewidoctrl.exe
  C:\Program Files\ewido\security suite\ewidoguard.exe
  C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
  C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
  C:\WINNT\System32\nvsvc32.exe
  C:\WINNT\system32\regsvc.exe
  C:\WINNT\system32\MSTask.exe
  C:\WINNT\System32\WBEM\WinMgmt.exe
  C:\WINNT\system32\svchost.exe
  C:\WINNT\Explorer.EXE
  C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
  C:\WINNT\system32\RUNDLL32.EXE
  C:\WINNT\System32\LVCOMSX.EXE
  C:\Program Files\Logitech\Video\LogiTray.exe
  C:\Program Files\Common Files\Real\Update_OB\realsched.exe
  C:\Program Files\Winamp\winampa.exe
  C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
  C:\Program Files\MSN Messenger\msnmsgr.exe
  C:\WINNT\system32\ctfmon.exe
  C:\Program Files\Logitech\Video\FxSvr2.exe
  C:\Program Files\Registry Cleaner Trial\RegClean.exe
  C:\Program Files\WinZip\WZQKPICK.EXE
  C:\Program Files\Mozilla Firefox\firefox.exe
  C:\WINNT\system32\NOTEPAD.EXE
  D:\downloads\HijackThis.exe

  R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
  O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
  O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
  O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
  O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
  O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
  O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
  O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
  O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
  O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
  O4 - HKLM\..\Run: [LVCOMSX] C:\WINNT\System32\LVCOMSX.EXE
  O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
  O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
  O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
  O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
  O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
  O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
  O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
  O4 - HKCU\..\Run: [Registry Cleaner] "C:\Program Files\Registry Cleaner Trial\RegClean.exe"
  O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
  O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
  O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
  O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
  O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
  O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
  O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
  O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/7/532/6712/6c5b0a1ae398e3/player.virtools.com/downloads/player/Install2.5/Installer.exe
  O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
  O17 - HKLM\System\CCS\Services\Tcpip\..\{E33D7881-9B7E-4C06-9A4C-F533C0A9027F}: NameServer = 192.168.1.1
  O20 - Winlogon Notify: NavLogon - C:\WINNT\System32\NavLogon.dll
  O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
  O23 - Service: Logical Disk Manager Administrative-service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
  O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
  O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
  O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
  O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
  O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINNT\svcproc.exe
 • Open een klablokbestand.
  Kopieer onderstaande code in dit kladblokbestand.
  Ga naar Bestand - Opslaan als.
  Bij "Opslaan in" kies je: Bureaublad
  Bij "Bestandsnaam" zet je: fix.reg
  Bij "Opslaan als type" selecteer je: Alle bestanden (*.*).
  Klik op de knop Opslaan.
  [code:1:80e61518a3]REGEDIT4

  [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\BolgerDll.BolgerDllObj]

  [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\BolgerDll.BolgerDllObj.1]

  [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{302A3240-4805-4a34-97D7-1645A0B08410}]

  [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{BB0D5ADC-028D-4185-9288-722DDCE2C757}]

  [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{92DAF5C1-2135-4E0C-B7A0-259ABFCD3904}]

  [-HKEY_CURRENT_USER\Software\Bolger]

  [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVCPROC]

  [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SvcProc]

  [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SVCPROC]

  [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SvcProc]

  [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVCPROC]

  [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcProc]

  [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{302A3240-4805-4a34-97D7-1645A0B08410}]

  [-HKEY_CURRENT_USER\Software\aurora]

  [-HKEY_CURRENT_USER\Software\ceres]

  [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Monitors\ZepMon]

  [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Print\Monitors\ZepMon]

  [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Print\Monitors\ZepMon]

  [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Monitors\ZepMon]

  [-HKEY_CLASSES_ROOT\mfiltis]

  [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993}]

  [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993}]

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ext\CLSID]
  "{5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993}"=-
  [/code:1:80e61518a3]
  Gebruik het regje nog niet.

  Start de computer in veilige modus.
  Dubbelklik dan op de fix.reg file en laat de wijzigingen aan het register toevoegen.

  Verwijder: C:\WINNT\svcproc.exe

  Herstart de computer in normale modus, maak een nieuwe hijackthislog en post deze.

  Hoe is de situatie nu?


  Marc
 • Logfile of HijackThis v1.99.1
  Scan saved at 15:21:25, on 25-4-2005
  Platform: Windows 2000 SP3 (WinNT 5.00.2195)
  MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

  Running processes:
  C:\WINNT\System32\smss.exe
  C:\WINNT\system32\winlogon.exe
  C:\WINNT\system32\services.exe
  C:\WINNT\system32\lsass.exe
  C:\WINNT\system32\svchost.exe
  C:\WINNT\system32\spoolsv.exe
  C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
  C:\WINNT\System32\svchost.exe
  C:\Program Files\ewido\security suite\ewidoctrl.exe
  C:\Program Files\ewido\security suite\ewidoguard.exe
  C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
  C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
  C:\WINNT\System32\nvsvc32.exe
  C:\WINNT\system32\regsvc.exe
  C:\WINNT\system32\MSTask.exe
  C:\WINNT\System32\WBEM\WinMgmt.exe
  C:\WINNT\system32\svchost.exe
  C:\WINNT\Explorer.EXE
  C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
  C:\WINNT\system32\RUNDLL32.EXE
  C:\WINNT\System32\LVCOMSX.EXE
  C:\Program Files\Logitech\Video\LogiTray.exe
  C:\Program Files\Common Files\Real\Update_OB\realsched.exe
  C:\Program Files\Winamp\winampa.exe
  C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
  C:\Program Files\Logitech\Video\FxSvr2.exe
  C:\Program Files\MSN Messenger\msnmsgr.exe
  C:\WINNT\system32\ctfmon.exe
  C:\Program Files\Registry Cleaner Trial\RegClean.exe
  C:\Program Files\WinZip\WZQKPICK.EXE
  C:\Program Files\Mozilla Firefox\firefox.exe
  D:\downloads\HijackThis.exe

  R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
  O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
  O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
  O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
  O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
  O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
  O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
  O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
  O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
  O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
  O4 - HKLM\..\Run: [LVCOMSX] C:\WINNT\System32\LVCOMSX.EXE
  O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
  O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
  O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
  O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
  O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
  O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
  O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
  O4 - HKCU\..\Run: [Registry Cleaner] "C:\Program Files\Registry Cleaner Trial\RegClean.exe"
  O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
  O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
  O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
  O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
  O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
  O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
  O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
  O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/7/532/6712/6c5b0a1ae398e3/player.virtools.com/downloads/player/Install2.5/Installer.exe
  O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
  O17 - HKLM\System\CCS\Services\Tcpip\..\{E33D7881-9B7E-4C06-9A4C-F533C0A9027F}: NameServer = 192.168.1.1
  O20 - Winlogon Notify: NavLogon - C:\WINNT\System32\NavLogon.dll
  O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
  O23 - Service: Logical Disk Manager Administrative-service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
  O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
  O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
  O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
  O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe

  alleen het virus wat op in mijn bureaublad zit is er nog steeds…
 • M@rc, ik zet mijn vraagtekens bij deze:

  [b:7167a00079]O4 - HKCU\..\Run: [Registry Cleaner] "C:\Program Files\Registry Cleaner Trial\RegClean.exe" [/b:7167a00079]

  Zoekacties naar dit item leveren namelijk niets op en ik vind het vreemd dat een "Registry Cleaner" continue als een running process aanwezig is

  Groeten smeenk
 • ja, dat snap ik ook niet.. want ik wil hem ook steeds unistalleren maar hij blijft dan hangen…
 • Vond dit nog:

  http://www.freeware-antivirus.co.uk/results/premium-free-registry-cleaner-windows-links.html

  Deze link wordt bij mij geblockt, waarschijnlijk geen zuivere koffie

  vr.gr.smeenk
 • Open een klablokbestand.
  Kopieer onderstaande code in dit kladblokbestand.
  Ga naar Bestand - Opslaan als.
  Bij "Opslaan in" kies je: Bureaublad
  Bij "Bestandsnaam" zet je: pol.bat
  Bij "Opslaan als type" selecteer je: Alle bestanden (*.*).
  Klik op de knop Opslaan.
  [code:1:9c29b069f4]
  regedit /e C:\policies.txt "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies"
  notepad C:\policies.txt
  [/code:1:9c29b069f4]

  Dubbelklik op de pol.bat. Er opent een kladblokbestandje. Post de inhoud van dit bestandje.


  Zoek dit bestand: C:\Program Files\Registry Cleaner Trial\RegClean.exe

  Rechtsklik er op en kies voor eigenschappen. Kijk op het tabje "versie". Kijk bij 'Bedrijf'. Staat daar wat ingevuld?

  Je kan het bestand ook laten scannen op jotti: http://virusscan.jotti.org/

  Wil je kwijt dan beëindig je eerst het actieve proces. Start daarna het deïnstallatieproces.
 • Windows Registry Editor Version 5.00

  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies]

  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
  "NoDriveTypeAutoRun"=dword:00000095
 • dit stoned bij bedrijfs naam:
  RegistryOptimizer.com
 • controleer of dit bestand aanwezig is:
  c\windows\web\desktop.html

  zo ja verwijder het.

  Ga naar Start - Configuratiescherm - Beeldscherm - tabblad Bureaublad - klik op de knop "Bureaublad aanpassen" - tabblad Website. Vink hier alles uit wat je vindt en klik op verwijderen.
 • [quote:920dde750b="Anjo"]dit stoned bij bedrijfs naam:
  RegistryOptimizer.com[/quote:920dde750b]Had zostraks dus deze link:

  http://www.trojaner-board.de/showthread.php?t=16209

  vergelijk deze 2 sites eens:

  www.RegistryOptimizer.com en www.registrydefender.com

  Zo te zien afkomstig van hetzelfde bedrijf, dit freeware produkt zorgt volgens de eerste link ook voor ads
 • het probleem van het bureaublad is opgelosd dank je wel… m,aar de registry cleaner is ook een anti spyware.. maar het was een prototype.. en hij vond een aantal spuware dingen maar ik kon er maar 20 deleten en meer niet.. en nu blijf hij de hele tijd zeggen of ik de volledige versie wil kopen… daarom is hij de hele tijd actief…

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.