Vraag & Antwoord

Beveiliging & privacy

Trojano-2481

Anoniem
J.J.M.Kuijper
14 antwoorden
 • Ik krijg telkens van avast de melding dat er er gedeelte van een trojan is ontdekt.
  Dat laat ik dan verwijderen, maar het komt telkens terug.
  Ik heb m'n comp nog even laten scannen door panda en daar schrok ik toch wel van; 66 spyware bestanden.
  Zal even een hijack plaatsen en tevens de scan van panda.
  Mischien dat iemand er even naar wil kijken?
  Moet ik de spyware handmatig verwijderen of is daar een progje voor?
  Ik heb reg-cleaner en hitman-pro voor de scan al laten draaien en die kon die spyware niet ontdekken.

  Logfile of HijackThis v1.99.1
  Scan saved at 13:19:09, on 2-10-2005
  Platform: Windows XP SP2 (WinNT 5.01.2600)
  MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

  Running processes:
  C:\WINDOWS\System32\smss.exe
  C:\WINDOWS\system32\winlogon.exe
  C:\WINDOWS\system32\services.exe
  C:\WINDOWS\system32\lsass.exe
  C:\WINDOWS\System32\Ati2evxx.exe
  C:\WINDOWS\system32\svchost.exe
  C:\WINDOWS\System32\svchost.exe
  C:\Program Files\Sygate\SPF\smc.exe
  C:\WINDOWS\system32\spoolsv.exe
  C:\WINDOWS\system32\Ati2evxx.exe
  C:\WINDOWS\Explorer.EXE
  C:\WINDOWS\system32\sstray.exe
  C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
  C:\WINDOWS\mk9885.exe
  C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
  C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
  C:\Program Files\QuickTime\qttask.exe
  C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
  C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
  C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
  C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
  C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
  C:\Program Files\Common Files\Real\Update_OB\realsched.exe
  C:\Program Files\Messenger\msmsgs.exe
  C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
  C:\Program Files\Alwil Software\Avast4\ashServ.exe
  C:\WINDOWS\system32\CTsvcCDA.EXE
  C:\WINDOWS\System32\svchost.exe
  C:\Program Files\MSN Messenger\msnmsgr.exe
  C:\WINDOWS\system32\NOTEPAD.EXE
  C:\Program Files\Mozilla Firefox\firefox.exe
  C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
  C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
  C:\Documents and Settings\Jos Kuijper\Mijn documenten\Jos\Beveiliging\HijackThis.exe

  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hccmagazine.nl/
  R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hccnet.nl
  R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
  O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\creative\acrobat\Reader\ActiveX\AcroIEHelper.ocx
  O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
  O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
  O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
  O4 - HKLM\..\Run: [CHotKey] mk9885.exe
  O4 - HKLM\..\Run: [MMTray] "C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe"
  O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
  O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
  O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
  O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
  O4 - HKLM\..\Run: [mmtask] "C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe"
  O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
  O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
  O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
  O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
  O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
  O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
  O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
  O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Program Files\IrfanView\Ebay\Ebay.htm
  O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
  O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
  O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
  O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab
  O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
  O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
  O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
  O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
  O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
  O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
  O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
  O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
  O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
  O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
  O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
  O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

  Hier de scan van Panda
  Incident Status Location

  Spyware:spyware/betterinet No disinfected C:\WINDOWS\SYSTEM32\in10b6s.dll
  Adware:adware/securityerror No disinfected C:\WINDOWS\SYSTEM32\mscornet.exe
  Spyware:spyware/smitfraud No disinfected C:\WINDOWS\SYSTEM32\wppp.html
  Adware:adware/perfect-search No disinfected C:\Documents and Settings\Jos Kuijper\Favorieten\ONLINE PHARMACY\Adipex.url
  Adware:adware/cws No disinfected C:\Documents and Settings\Jos Kuijper\Favorieten\ONLINE PHARMACY\Lortab.url
  Adware:adware/popuper No disinfected C:\Documents and Settings\Jos Kuijper\Favorieten\Black Jack Online.url
  Adware:adware/superspider No disinfected C:\Documents and Settings\Jos Kuijper\Favorieten\Online Dating.url
  Adware:adware/webdir No disinfected C:\WINDOWS\webdir.dll
  Adware:adware/ist.istbar No disinfected C:\PROGRAM FILES\COMMON FILES\Totem Shared
  Adware:adware/block-checker No disinfected Windows Registry
  Adware:Adware/Webdir No disinfected C:\WINDOWS\pludll.exe
  Adware:Adware/VirtualBouncer No disinfected C:\WINDOWS\system32\BO2811040510.exe
  Adware:Adware/SecurityError No disinfected C:\WINDOWS\system32\ld516B.tmp
  Adware:Adware/SecurityError No disinfected C:\WINDOWS\system32\ld542A.tmp
  Adware:Adware/SecurityError No disinfected C:\WINDOWS\system32\ld5573.tmp
  Adware:Adware/SecurityError No disinfected C:\WINDOWS\system32\ld55B1.tmp
  Adware:Adware/SecurityError No disinfected C:\WINDOWS\system32\ld55C1.tmp
  Adware:Adware/SecurityError No disinfected C:\WINDOWS\system32\ld55F0.tmp
  Adware:Adware/SecurityError No disinfected C:\WINDOWS\system32\ld560F.tmp
  Adware:Adware/SecurityError No disinfected C:\WINDOWS\system32\ld561E.tmp
  Adware:Adware/SecurityError No disinfected C:\WINDOWS\system32\ld564D.tmp
  Adware:Adware/SecurityError No disinfected C:\WINDOWS\system32\ld567C.tmp
  Adware:Adware/SecurityError No disinfected C:\WINDOWS\system32\ld568C.tmp
  Adware:Adware/SecurityError No disinfected C:\WINDOWS\system32\ld56DA.tmp
  Adware:Adware/SecurityError No disinfected C:\WINDOWS\system32\ld56EA.tmp
  Adware:Adware/SecurityError No disinfected C:\WINDOWS\system32\ld5738.tmp
  Adware:Adware/SecurityError No disinfected C:\WINDOWS\system32\ld57D4.tmp
  Adware:Adware/SecurityError No disinfected C:\WINDOWS\system32\ld589F.tmp
  Adware:Adware/SecurityError No disinfected C:\WINDOWS\system32\ld58FD.tmp
  Adware:Adware/SecurityError No disinfected C:\WINDOWS\system32\ld590C.tmp
  Adware:Adware/SecurityError No disinfected C:\WINDOWS\system32\ld592C.tmp
  Adware:Adware/SecurityError No disinfected C:\WINDOWS\system32\ld596A.tmp
  Adware:Adware/SecurityError No disinfected C:\WINDOWS\system32\ld59A9.tmp
  Adware:Adware/SecurityError No disinfected C:\WINDOWS\system32\ld59E7.tmp
  Adware:Adware/SecurityError No disinfected C:\WINDOWS\system32\ld5A26.tmp
  Adware:Adware/SecurityError No disinfected C:\WINDOWS\system32\ld5A55.tmp
  Adware:Adware/SecurityError No disinfected C:\WINDOWS\system32\ld5AD2.tmp
  Adware:Adware/SecurityError No disinfected C:\WINDOWS\system32\ld5AF1.tmp
  Adware:Adware/SecurityError No disinfected C:\WINDOWS\system32\ld5B2F.tmp
  Adware:Adware/SecurityError No disinfected C:\WINDOWS\system32\ld5B5E.tmp
  Adware:Adware/SecurityError No disinfected C:\WINDOWS\system32\ld5B6E.tmp
  Adware:Adware/SecurityError No disinfected C:\WINDOWS\system32\ld5B7D.tmp
  Adware:Adware/SecurityError No disinfected C:\WINDOWS\system32\ld5B8D.tmp
  Adware:Adware/SecurityError No disinfected C:\WINDOWS\system32\ld5BBC.tmp
  Adware:Adware/SecurityError No disinfected C:\WINDOWS\system32\ld5BCC.tmp
  Adware:Adware/SecurityError No disinfected C:\WINDOWS\system32\ld5BDB.tmp
  Adware:Adware/SecurityError No disinfected C:\WINDOWS\system32\ld5BEB.tmp
  Adware:Adware/SecurityError No disinfected C:\WINDOWS\system32\ld5C0A.tmp
  Adware:Adware/SecurityError No disinfected C:\WINDOWS\system32\ld5C39.tmp
  Adware:Adware/SecurityError No disinfected C:\WINDOWS\system32\ld5C49.tmp
  Adware:Adware/SecurityError No disinfected C:\WINDOWS\system32\ld5C87.tmp
  Adware:Adware/SecurityError No disinfected C:\WINDOWS\system32\ld5CE5.tmp
  Adware:Adware/SecurityError No disinfected C:\WINDOWS\system32\ld5D04.tmp
  Adware:Adware/SecurityError No disinfected C:\WINDOWS\system32\ld5D14.tmp
  Adware:Adware/SecurityError No disinfected C:\WINDOWS\system32\ld5D33.tmp
  Adware:Adware/SecurityError No disinfected C:\WINDOWS\system32\ld5D52.tmp
  Adware:Adware/SecurityError No disinfected C:\WINDOWS\system32\ld5D81.tmp
  Adware:Adware/SecurityError No disinfected C:\WINDOWS\system32\ld5DA0.tmp
  Adware:Adware/SecurityError No disinfected C:\WINDOWS\system32\ld5DB0.tmp
  Adware:Adware/SecurityError No disinfected C:\WINDOWS\system32\ld5DC0.tmp
  Adware:Adware/SecurityError No disinfected C:\WINDOWS\system32\ld5E0E.tmp
  Adware:Adware/SecurityError No disinfected C:\WINDOWS\system32\ld5E2D.tmp
  Adware:Adware/SecurityError No disinfected C:\WINDOWS\system32\mscornet.exe
  Adware:Adware/MSView No disinfected C:\WINDOWS\system32\tdbO.dll
  Adware:Adware/PsGuard No disinfected C:\WINDOWS\system32\wppp.html
  Adware:Adware/Webdir No disinfected C:\WINDOWS\webdir.dll
 • Het HijackThis log lijkt op zich schoon.
  Heb je zelf met behulp van HijackThis ook al bepaalde infecties opgespoord, deze daarna gefixet en de bijbehorende mappen/bestanden verwijderd?
  Ik heb namelijk de indruk dat je een infectie van smitfraud gehad hebt, doe daarom dit eens:

  1. Download smitRem.exe.
  Pak alle bestanden uit op je bureaublad.

  2. Download, installeer en update de free trial versie van Ewido Security Suite.

  Tijdens de installatie, onder "Additional Options", haal je de vinkjes weg bij "Install background guard" en "Install scan via context menu".
  Als je Ewido voor de eerste keer start, zal je een foutmelding krijgen "Database could not be found!". Deze melding is normaal. Klik op "OK".
  In het hoofdscherm van Ewido, klik je op "Update" in het linkse menu, en vervolgens op de knop "Start update".
  Als de updates gedaan zijn, zal er op de status bar beneden "Update successful" staan.
  Sluit Ewido. Laat het nog [b:9f521ec45a]niet[/b:9f521ec45a] scannen.

  3. Start je computer op in veilige modus. Kijk hier hoe dat moet.

  4. Open de smitrem-map op je bureaublad, en dubbelklik op RunThis.bat. Volg de aanwijzigingen op het scherm.
  Je bureaublad en ikoontjes zullen even verdwijnen en daarna terug verschijnen, dit is normaal.
  Wacht tot het tooltje zijn werk heeft gedaan en Disk Cleanup afgelopen is. Dit kan enige tijd duren, dus wees geduldig.
  Nadien zal je Windows uiterlijk waarschijnlijk veranderd zijn in de zogenaamde "Klassieke stijl". Dit kan je zelf weer terug veranderen naar de "XP-stijl".

  5. Open Ewido Security Suite.
  klik op "Scanner".
  Klik op "complete system scan".
  Laat het programma je pc scannen.

  Tijdens de scan zal je gevraagd worden of je de gevonden bestanden wil verwijderen. Klik dan op "OK".
  Als de scan beëindigd is, zal je een knop zien "Bewaar rapport".
  Klik op Bewaar rapport en sla het rapport op, op je bureaublad.
  Sluit Ewido af.

  6. Ga naar Start - Configuratiescherm - Beeldscherm - tabblad Bureaublad - klik op de knop "Bureaublad aanpassen" - tabblad Website. Haal indien nog aanwezig het vinkje weg bij "Security Info".

  7. Herstel je webinstellingen: Ga naar Configuratiescherm –> Internetopties –> tabblad Programma's.
  Klik op de "Webinstellingen herstellen".

  8. Maak je Temp-map leeg: Start – Uitvoeren tik in: %TEMP%
  Selecteer alles wat daar staat en verwijder deze.

  9. Maak daarna je prullenbak leeg.

  10. Ledig de map met Tijdelijke internetbestanden: Ga naar Configuratiescherm – Internetopties – tabblad Algemeen – klik bij Tijdelijke internetbestanden op Bestanden Verwijderen.

  11. Herstart daarna je computer in normale modus.
  Post het rapport (logje) van Ewido.
  Zoek naar [b:9f521ec45a]c:\smitfiles.txt[/b:9f521ec45a] en post de inhoud van dit bestand ook.
  Vertel even hoe de situatie nu is.

  Groeten smeenk :wink:
 • ———————————————————
  ewido security suite - Scan rapport
  ———————————————————

  + Gemaakt op: 21:16:33, 2-10-2005
  + Rapport samenvatting: D396DD76

  + Scan resultaten:

  HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\ins -> Spyware.WebRebates : Schoongemaakt met een backup
  :mozilla.10:C:\Documents and Settings\Jos Kuijper\Application Data\Mozilla\Firefox\Profiles\jzvo935e.jos\cookies.txt -> Spyware.Cookie.Sitestat : Schoongemaakt met een backup
  :mozilla.12:C:\Documents and Settings\Jos Kuijper\Application Data\Mozilla\Firefox\Profiles\jzvo935e.jos\cookies.txt -> Spyware.Cookie.Onestat : Schoongemaakt met een backup
  :mozilla.13:C:\Documents and Settings\Jos Kuijper\Application Data\Mozilla\Firefox\Profiles\jzvo935e.jos\cookies.txt -> Spyware.Cookie.Onestat : Schoongemaakt met een backup
  :mozilla.16:C:\Documents and Settings\Jos Kuijper\Application Data\Mozilla\Firefox\Profiles\jzvo935e.jos\cookies.txt -> Spyware.Cookie.Yieldmanager : Schoongemaakt met een backup
  :mozilla.17:C:\Documents and Settings\Jos Kuijper\Application Data\Mozilla\Firefox\Profiles\jzvo935e.jos\cookies.txt -> Spyware.Cookie.Yieldmanager : Schoongemaakt met een backup
  :mozilla.18:C:\Documents and Settings\Jos Kuijper\Application Data\Mozilla\Firefox\Profiles\jzvo935e.jos\cookies.txt -> Spyware.Cookie.Yieldmanager : Schoongemaakt met een backup
  :mozilla.19:C:\Documents and Settings\Jos Kuijper\Application Data\Mozilla\Firefox\Profiles\jzvo935e.jos\cookies.txt -> Spyware.Cookie.Yieldmanager : Schoongemaakt met een backup
  :mozilla.20:C:\Documents and Settings\Jos Kuijper\Application Data\Mozilla\Firefox\Profiles\jzvo935e.jos\cookies.txt -> Spyware.Cookie.Yieldmanager : Schoongemaakt met een backup
  :mozilla.28:C:\Documents and Settings\Jos Kuijper\Application Data\Mozilla\Firefox\Profiles\jzvo935e.jos\cookies.txt -> Spyware.Cookie.Sitestat : Schoongemaakt met een backup
  :mozilla.29:C:\Documents and Settings\Jos Kuijper\Application Data\Mozilla\Firefox\Profiles\jzvo935e.jos\cookies.txt -> Spyware.Cookie.Sitestat : Schoongemaakt met een backup
  C:\WINDOWS\pludll.exe -> Spyware.Webdir.a : Schoongemaakt met een backup
  C:\WINDOWS\system32\BO2802040113.dll -> Spyware.BargainBuddy : Schoongemaakt met een backup
  C:\WINDOWS\system32\in10b6s.dll/bi.dll -> Trojan.Bispy.A : Fout gedurende het schoonmake
  C:\WINDOWS\system32\in10b6s.dll/preInsBI.exe -> Spyware.BiSpy : Fout gedurende het schoonmake
  C:\WINDOWS\system32\in10b6s.dll/bi.dll -> Trojan.Bispy.A : Fout gedurende het schoonmake
  C:\WINDOWS\system32\in10b6s.dll/preInsBI.exe -> Spyware.BiSpy : Fout gedurende het schoonmake
  C:\WINDOWS\system32\tdbO.dll -> Spyware.BargainBuddy : Schoongemaakt met een backup
  C:\WINDOWS\webdir.dll -> Spyware.WebDirectory : Schoongemaakt met een backup


  ::Einde rapport  smitRem log file
  version 2.5

  by noahdfear


  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

  Pre-run Files Present


  ~~~ Program Files ~~~  ~~~ Shortcuts ~~~  ~~~ Favorites ~~~  ~~~ system32 folder ~~~

  ld****.tmp
  ncompat.tlb
  wppp.html
  hp***.tmp
  logfiles


  ~~~ Icons in System32 ~~~  ~~~ Windows directory ~~~  ~~~ Drive root ~~~


  ~~~ Miscellaneous Files/folders ~~~
  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~  Post-run Files Present


  ~~~ Program Files ~~~  ~~~ Shortcuts ~~~  ~~~ Favorites ~~~  ~~~ system32 folder ~~~  ~~~ Icons in System32 ~~~  ~~~ Windows directory ~~~  ~~~ Drive root ~~~  ~~~ Miscellaneous Files/folders ~~~
  ~~~ Wininet.dll ~~~

  CLEAN! :)


  Oke ,dit was het.
  Kan ik het progje van ewido security gebruiken, of moet ik daar maar van af zien.
  Hij vond 12 verdachte bestanden.
 • Ewido is trialsoftware, als je het wilt blijven gebruiken zul je het moeten aanschaffen.

  Download Pocket KillBox.
  Unzip het programma naar je bureaublad.
  Klik op killbox.exe.
  Selecteer de optie “Delete on reboot”.
  In het veld “Full path of file to delete" Kopieer en plak je het volgende:
  [code:1:0e8932df22]C:\WINDOWS\system32\in10b6s.dll
  C:\WINDOWS\SYSTEM32\mscornet.exe[/code:1:0e8932df22]
  Klik op de knop met de rode cirkel en het witte kruis.
  Wanneer het programma vraagt om nu te rebooten, geef je hier toestemming voor. Klik op de knop "YES".
  Als deze niet wil rebooten herstart dan zelf je computer.

  Zou je even een nieuwe scan met de Panda online scan willen doen en het resultaat van het logje dat je dan krijgt hier weer willen posten?
  Zijn er nog problemen?

  Groeten smeenk :wink:
 • Doe ik morgen even, het wordt me nu te laat.
  Bedankt voor je moeite alvast.
 • Doe dan eerst ook dit nog even:
  Kopieer onderstaande code in notepad:
  [code:1:2a77bb32ad]REGEDIT4

  [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History\anrdoezrs.net]
  [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History\bfast.com]
  [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History\cc-dt.com]
  [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History\commission-junction.com]
  [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History\dpbolvw.net]
  [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History\fastclick.com]
  [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History\fastclick.net]
  [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History\jdoqocy.com]
  [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History\kqzyfj.com]
  [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History\linksynergy.com]
  [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History\qksrv.net]
  [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History\tkqlhce.com]
  [-HKEY_CURRENT_USER\Software\VB and VBA Program Settings\IMAdvertiser]
  [-HKEY_CLASSES_ROOT\CLSID\{C2EEB4FA-B6D6-41b9-9CFA-ABA87F862BCB}]
  [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C2EEB4FA-B6D6-41b9-9CFA-ABA87F862BCB}]
  [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Block Checker]
  [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Startup]
  [-HKEY_LOCAL_MACHINE\SOFTWARE\System Process]
  [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow]
  [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History]
  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History]
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  "BlockChecker"=-
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls]
  "C:\Program Files\Block Checker\block-checker.exe"=-
  [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Block Checker]
  [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Startup]
  [-HKEY_LOCAL_MACHINE\SOFTWARE\System Process]
  [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
  "%windir%\system32\ccapp.exe"=-
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
  "%windir%\system32\ccapp.exe"=-[/code:1:2a77bb32ad]Sla het bestand op het bureaublad op als [b:2a77bb32ad]fix.reg[/b:2a77bb32ad]
  Opslaan als bestandstype: [b:2a77bb32ad]Alle bestanden(*.*)[/b:2a77bb32ad]
  Dubbelklik daarna op [b:2a77bb32ad]fix.reg[/b:2a77bb32ad] en laat de wijzigingen aan het register toevoegen.
  De restanten van adware/block-checker zullen dan uit je register verwijderd worden :wink:

  Open kladblok en kopieer onderstaande code in dit kladblokbestand. Sla het op je bureaublad op als [b:2a77bb32ad]del.bat[/b:2a77bb32ad]
  Kies voor opslaan als bestandstype: Alle bestanden(*.*)
  [code:1:2a77bb32ad]C:
  deltree /y C:\DOCUME~1\JOSKUI~1\FAVORI~1\ONLINE~1
  cd C:\Documents and Settings\Jos Kuijper\Favorieten
  attrib -r -s -h BLACKJ~1.URL
  del BLACKJ~1.url
  attrib -r -s -h ONLINE~1.URL
  del ONLINE~1.URL
  deltree /y C:\PROGRA~1\COMMON~1/TOTEMS~1[/code:1:2a77bb32ad]Dubbelklik daarna op [b:2a77bb32ad]del.bat[/b:2a77bb32ad]
  Hiermee worden de adware "Favorieten"verwijderd en de map "Totem Shared"(zie Panda log)

  Groeten smeenk :wink:
 • Als ik nu een volledige scan (my computer) laat doen door Panda slaat I.E. vast op de volgende file.
  c:\windows\sytem32\msxml4.dll.
  Dat is al direct aan het begin.
  Ik heb het bestandje nog even na getrokken en hij staat in;
  c:\windows\system32 en in c:\Program Files\HP\hpcoretech
 • Dat is een internet explorer bestand voor het parsen van XML.
 • Ik heb geen idee waarom dat probleem nu optreedt en niet bij de eerste scan met Panda. Ik vond dit: http://forums.devshed.com/t77791/s.html
  Misschien is het bestand wel corrupt geraakt, wellicht op deze wijze te herstellen: http://www.windowsnetworking.com/articles_tutorials/Internet-Explorer-corrupted-fix.html
 • Dat parsen zegt mij niets.
  Ik kan niets ontdekken aan I.E. dat er iets niet werkt.
  Standaard browser is Firefox, gebruik dus I.E. haast nooit, dus zo'n ramp zal het niet zijn.
  Alleen het scannen met panda gaat alleen via I.E., want Firefox wordt niet ondersteunt.
 • Kan dit de oplossing zijn van het probleem?
  Ik zit liever niet in het register, omdat ik daar geen verstand van heb.
  Aangezien het onderstaande artikel ook nog in het Engels is , waag ik mij er helemaal maar niet aan.

  For all of those who can't use the mmc, this registry hack will work on Win2k, XP and Win2k3.

  Set these values in the registry to allow for non-encrypted data to be posted.

  HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Security_HKLM_only (Dword value) = 1
  You may have to create CurrentVersion and Internet Settings folders

  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1601 (Dword value) = 0

  This will allow you to use ServerXMLHTTP post with msxml4 sp2.

  hope this helps
 • Het gaat in ieder geval over een probleem met hetzelfde bestand.
  Je zou dit even kunnen proberen, de wijzigingen kunnen we altijd nog weer ongedaan maken.

  Ik heb ook even een versie van msxml4.dll online gezet, je zou deze kunnen downloaden en via rechtsklikken via "Eigenschappen"de versie vergelijken met het bestand van jouw. Je moet dan wel verborgen bestanden kunnen zien. Kijk hier hoe dat moet.

  1) Open een klablokbestand.
  2) Kopieer onderstaande code in dit kladblokbestand.
  3) Ga naar Bestand - Opslaan als.
  -Bij "Opslaan in" kies je: Bureaublad
  -Bij "Bestandsnaam" zet je: fix.reg
  -Bij "Opslaan als type" selecteer je: Alle bestanden (*.*).
  -Klik op de knop Opslaan.
  [code:1:70ecb0c20a]REGEDIT4

  [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\
  Internet Settings]
  "Security_HKLM_only"=dword:00000001

  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
  "1601"=dword:00000000[/code:1:70ecb0c20a]4) Dubbelklik op de fix.reg file en laat de wijzigingen aan het register toevoegen. Herstart daarna je computer maar even.

  Als Panda het dan nog niet goed doet, probeer dan een onlinescan uit met Kaspersky WebScanner.

  Klik "Launch Kaspersky Anti-Virus Web Scanner"
  Er wordt gevraagd of je de activeX wil installeren, klik op "ja".
  Het programma zal daarna beginnen met de database/definition files te downloaden.
  Wanneer dit voltooid is, klik je op "Next"

  * Klik op "Scan Settings"
  Selecteer het volgende: (zal normaal gesproken standaard al zo staan)

  °Scan using the following Anti-Virus database: Standard

  °Scan Options: Scan Archives
  Scan Mail Bases

  * Klik OK
  * Onder 'select a target to scan', kies je voor "My Computer"

  * Nu zal het scannen beginnen. Dit zal een tijdje duren, dus wees geduldig.
  Wanneer de volledige scan gedaan is zal er een lijst getoond worden van alle geïnfecteerde bestanden.

  * Klik op de "Save as Text"-knop:
  Bewaar die log op je bureaublad en kopieer en plak de inhoud in je volgende bericht

  Groeten smeenk :wink:
 • Panda liep weer vast op msxml4.dll.
  Toen een scan met Kaspersky, en hier is de log;

  ——————————————————————————-
  KASPERSKY ON-LINE SCANNER REPORT
  Tuesday, October 04, 2005 19:47:50
  Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
  Kaspersky On-line Scanner version: 5.0.67.0
  Kaspersky Anti-Virus database last update: 4/10/2005
  Kaspersky Anti-Virus database records: 143218
  ——————————————————————————-

  Scan Settings:
  Scan using the following antivirus database: standard
  Scan Archives: true
  Scan Mail Bases: true

  Scan Target - My Computer:
  A:\
  C:\
  D:\
  E:\
  F:\

  Scan Statistics:
  Total number of scanned objects: 51145
  Number of viruses found: 5
  Number of infected objects: 15
  Number of suspicious objects: 0
  Duration of the scan process: 1966 sec

  Infected Object Name - Virus Name
  C:\System Volume Information\_restore{4FD67474-7265-4B05-B45F-D28C970BBE4C}\RP146\A0015237.tlb Infected: Trojan.Win32.StartPage.adg
  C:\System Volume Information\_restore{4FD67474-7265-4B05-B45F-D28C970BBE4C}\RP146\A0016237.tlb Infected: Trojan.Win32.StartPage.adg
  C:\System Volume Information\_restore{4FD67474-7265-4B05-B45F-D28C970BBE4C}\RP146\A0017251.tlb Infected: Trojan.Win32.StartPage.adg
  C:\System Volume Information\_restore{4FD67474-7265-4B05-B45F-D28C970BBE4C}\RP146\A0017264.tlb Infected: Trojan.Win32.StartPage.adg
  C:\System Volume Information\_restore{4FD67474-7265-4B05-B45F-D28C970BBE4C}\RP146\A0017276.tlb Infected: Trojan.Win32.StartPage.adg
  C:\System Volume Information\_restore{4FD67474-7265-4B05-B45F-D28C970BBE4C}\RP146\A0018280.tlb Infected: Trojan.Win32.StartPage.adg
  C:\System Volume Information\_restore{4FD67474-7265-4B05-B45F-D28C970BBE4C}\RP146\A0018294.tlb Infected: Trojan.Win32.StartPage.adg
  C:\System Volume Information\_restore{4FD67474-7265-4B05-B45F-D28C970BBE4C}\RP146\A0018305.tlb Infected: Trojan.Win32.StartPage.adg
  C:\System Volume Information\_restore{4FD67474-7265-4B05-B45F-D28C970BBE4C}\RP146\A0018317.tlb Infected: Trojan.Win32.StartPage.adg
  C:\System Volume Information\_restore{4FD67474-7265-4B05-B45F-D28C970BBE4C}\RP147\A0018332.tlb Infected: Trojan.Win32.StartPage.adg
  C:\System Volume Information\_restore{4FD67474-7265-4B05-B45F-D28C970BBE4C}\RP147\A0018340.dll Infected: Trojan.Win32.Dialer.ks
  C:\System Volume Information\_restore{4FD67474-7265-4B05-B45F-D28C970BBE4C}\RP147\A0018387.exe Infected: Trojan.Win32.StartPage.adg
  C:\System Volume Information\_restore{4FD67474-7265-4B05-B45F-D28C970BBE4C}\RP147\A0018388.exe Infected: Trojan-Downloader.Win32.Zlob.ap
  C:\System Volume Information\_restore{4FD67474-7265-4B05-B45F-D28C970BBE4C}\RP161\A0020804.dll Infected: Trojan-Dropper.Win32.Agent.og
  C:\WINDOWS\system32\secure32.txt Infected: Trojan.JS.StartPage.r

  Scan process completed.
 • Open kladblok en kopieer onderstaande code in dit kladblokbestand. Sla het op als [b:459c8cc725]delete.bat[/b:459c8cc725] op je bureaublad.
  Kies voor opslaan als bestandstype: Alle bestanden (*.*)
  [code:1:459c8cc725]cd C:\WINDOWS\system32
  attrib -r -s -h SECURE32.TXT
  del SECURE32.TXT[/code:1:459c8cc725]Dubbelklik daarna op [b:459c8cc725]delete.bat[/b:459c8cc725]

  Er zitten ook nog wat infecties in je systeemherstel, dit los je op de volgende manier op:
  Schakel Systeemherstel uit. Herstart de computer. Schakel Systeemherstel weer in.
  Kijk hier hoe je je systeemherstel moet uitschakelen.

  Waarom Panda vastslaat op dat bestand weet ik niet, Kaspersky heeft er dus blijkbaar geen last van.
  Houdt het maar in de gaten, mochten er meer problemen zijn, kom dan maar terug op dit forum en plaats in een nieuw topic een link naar dit topic.

  Groeten smeenk
  :wink:

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.