Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

Win2000 start niet meer door hijacking! Dringend hulp gevr.!

Anoniem
None
51 antwoorden
  • Mijn Windows start niet meer op en blijft steeds hangen bij "bezig met het laden van de persoonlijke instellingen".
    Ik heb al vanalles geprobeerd: veilige modus, Windows herstellen met herstelconsole, via noodherstelprocedure, enz… niets lukt.

    Ik heb nu met veel moeite een 2de Windows 2000 geïnstalleerd in een andere map om te zien wat er aan de hand is en om op Internet te kunnen.
    Eénmaal deze opstartte zag ik direct wat er aan de hand was: vreemde icoontjes in de taakbalk onderaan, pop-ups, immens veel geheugen in gebruik, steeds maar nieuwe vensters die werden geopend, enz…

    Met HijackThis heb ik dan even gescand tot het geheugen helemaal "op" was en ik niets meer kon en heb al ongeveer 20 regels (zonder overdrijven) aangekruist om te verwijderen.
    Zaten er o.a. allemaal in: freeprodtb, ywiwqc, zango, MediaGateway, adtech2006, frwia,…allemaal exe's.

    Wie kan me verder helpen met opschonen en misschien nadien ook om terug tot die eerste Windows 2000 te komen en dan die 2de te verwijderen?

    Ik durf nu zelfs niet meer afsluiten omdat ik bang ben om dan te moeten een 3de Windows installeren om weer te kunnen werken. Ondertussen gaan er steeds weer nieuwe vensters open…

    Hier alvast de HijackThis-log (na verwijdering van die 20 items):

    Logfile of HijackThis v1.99.1
    Scan saved at 20:49:20, on 3/12/2005
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

    Running processes:
    C:\WINNT2\System32\smss.exe
    C:\WINNT2\system32\winlogon.exe
    C:\WINNT2\system32\services.exe
    C:\WINNT2\system32\lsass.exe
    C:\WINNT2\system32\svchost.exe
    C:\WINNT2\system32\spoolsv.exe
    C:\WINNT2\system32\svchost.exe
    C:\WINNT2\MSmedia.exe
    C:\WINNT2\system32\MSTask.exe
    C:\WINNT2\system32\wincntrl.exe
    C:\WINNT2\system32\svchost.exe
    C:\WINNT2\system32\rundll32.exe
    C:\WINNT2\Explorer.EXE
    C:\Win2\SpeedTouch USB\Dragdiag.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\WINNT2\system32\drwtsn32.exe
    I:\anti-spyware\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINNT2\system32\ddccc.dll
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Win2\SpeedTouch USB\Dragdiag.exe" /icon
    O14 - IERESET.INF: START_PAGE_URL=http://www.msn.nl
    O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.nl
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{7333E39C-5B70-46A1-AD76-F0F4F5AAA3C1}: NameServer = 62.235.14.4 62.235.13.199
    O20 - Winlogon Notify: ddccc - C:\WINNT2\SYSTEM32\ddccc.dll
    O20 - Winlogon Notify: URL - C:\WINNT2\system32\shi.dll
    O23 - Service: Logical Disk Manager Administrative-service (dmadmin) - VERITAS Software Corp. - C:\WINNT2\System32\dmadmin.exe
    O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINNT2\MSmedia.exe
    O23 - Service: MS Dns Service (WinNet) - Unknown owner - C:\WINNT2\system32\wincntrl.exe

    Alvast bedankt voor de hulp!

    Patrick
  • Geef me even, ik ga wat voor je maken.
  • OK,

    ondertussen kan ik melden dat ik ook last heb van volgende waarschijnlijk gekende ziektes: VX2, Zango en Look2Me.

    Ik ben ook aan het scannen op virussen en voorlopig heb ik er "nog maar" 11!!!!

    Mijn PC was 100% clean, wordt regelmatig gescand met HijackThis, Spybot en Ewido, ik gebruik 2 AV scanners door elkaar en alle verkeer wordt nauwgezet gecontroleerd door mijn firewall ("remember this setting" wordt niet gebruikt,…) en mijn vrouw heeft één keer geinternet als ik gaan werken was…

    Alle hulp is welkom!!!
  • Hopelijk heb je een andere computer om alles te downloaden, want je haalt deze pc best van het net tot alles opgelost is.
    Download om te beginnen dit: http://users.telenet.be/marcvn/temp/patrickda.exe

    Plaatst het op je bureaublad.
    Dubbelklik op de patrickda.exe en er wordt een map patrickda op je bureaublad geplaatst.
    In die map dubbelklik je op fix.bat.
    Alle iconen op je desktop verdwijnen, dit is normaal en als het dosvenster sluit, dan herstart je de computer via de Powerknop (de aan / uitknop). Niet op een andere manier.
    Na herstart worden er nog een aantal bestanden verwijderd.
    Maak een nieuwe hijackthislog en post deze.

    Maar probeer met deze computer van het I-net te blijven.
  • OK,

    Ik ben voor het ogenblik wel nog aan het "on-linescannen".
    Met Ewido heb ik 78 besmettingen verwijderd maar die Look2Me komt steeds terug.
    Kaspersky heeft ondertussen 20 virussen gevonden.

    Ik zal doen wat je zegt, die scans stopzetten en even van het Net gaan.

    Maar ik heb hier een 2de computer staan maar ik kan er niet mee op het Internet, waarschijnlijk zal ik dan pas maandag antwoorden vanop mijn werk.

    Ik wacht nog ongeveer 10 minuutjes voor als je n.a.v. deze post nog iets belangrijks te vertellen hebt.

    Patrick
  • Kijk Patrick, je vraagt hulp en je gaat ondertussen zelf vanalles doen.
    Op deze manier heeft het heel weinig nut om een fix voor je te posten.
    De worm die actief is op jouw pc, zal je m.i. met een onlinescan niet wegkrijgen.
    L2M zeker niet, die files wijzigen van naam. Daar zijn andere tools voor nodig.
    De vundovariant zal ook door een online-scan niet verwijderd worden.
    Probeer eerst wat ik je aangeraden heb en installeer een firewall en AV-programma voor je opnieuw met deze computer het internet opgaat. Blokkeer alles wat je niet vertrouwt.
    Installeer je geen firewall, dan heb je in de kortste keren nieuwe infecties op de pc, en is en blijft het eigenlijk dweilen met de kraan open.

    AVG, AntiVir of Avast zijn gratis antivirusprogramma's.
    Zonealarm, Sygate of Kerio zijn gratis firewalls.

    Succes.
  • M@rc,

    Die scans waren al bezig van voor ik een antwoord had gekregen.
    Zou ik proberen op te starten met mijn originele Windows 2000? Want daarop heb ik een firewall en AV (niet-online).

    Of probeer ik best eerst alles schoon te krijgen via die tweede Win2000?


    Groeten,

    Patrick
  • Wat er met je originele windowsinstallatie aan de hand is weet ik niet. Is die helemaal ok?
    Indien niet dan doe je best alles met deze installatie. Al moet ik zeggen dat deze ook al flinke deuken heeft gekregen.

    Maak een nieuwe hijackthislog en post deze.
  • OK,

    Nu mét firewall en AV (firewall meldt bijna constant dat programma's en dll's proberen toegang te verkrijgen tot het Internet).

    HijackThis-log:

    Logfile of HijackThis v1.99.1
    Scan saved at 0:14:57, on 4/12/2005
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

    Running processes:
    C:\WINNT2\System32\smss.exe
    C:\WINNT2\system32\winlogon.exe
    C:\WINNT2\system32\services.exe
    C:\WINNT2\system32\lsass.exe
    C:\WINNT2\system32\svchost.exe
    C:\WINNT2\system32\spoolsv.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
    C:\WINNT2\system32\svchost.exe
    C:\Win2\ewido\security suite\ewidoctrl.exe
    C:\Win2\ewido\security suite\ewidoguard.exe
    C:\WINNT2\system32\MSTask.exe
    C:\WINNT2\system32\ZoneLabs\vsmon.exe
    C:\WINNT2\system32\svchost.exe
    C:\WINNT2\Explorer.EXE
    C:\WINNT2\system32\rundll32.exe
    C:\Win2\SpeedTouch USB\Dragdiag.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
    C:\Win2\ZoneAlarm\zlclient.exe
    C:\WINNT2\system32\drwtsn32.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    I:\anti-spyware\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Win2\SpeedTouch USB\Dragdiag.exe" /icon
    O4 - HKLM\..\Run: [winsync] C:\WINNT2\system32\ywiwqc.exe reg_run
    O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
    O4 - HKLM\..\Run: [Zone Labs Client] C:\Win2\ZoneAlarm\zlclient.exe
    O14 - IERESET.INF: START_PAGE_URL=http://www.msn.nl
    O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.nl
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
    O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{7333E39C-5B70-46A1-AD76-F0F4F5AAA3C1}: NameServer = 62.235.14.4 62.235.13.199
    O20 - Winlogon Notify: RunOnceEx - C:\WINNT2\system32\rSssapi.dll
    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
    O23 - Service: Logical Disk Manager Administrative-service (dmadmin) - VERITAS Software Corp. - C:\WINNT2\System32\dmadmin.exe
    O23 - Service: ewido security suite control - ewido networks - C:\Win2\ewido\security suite\ewidoctrl.exe
    O23 - Service: ewido security suite guard - ewido networks - C:\Win2\ewido\security suite\ewidoguard.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT2\system32\ZoneLabs\vsmon.exe
  • Ondertussen ook nog eens geprobeerd om de originele Windows 2000 te starten: gaat nog steeds niet, blijft nog steeds hangen bij "bezig met het laden van de persoonlijke instellingen".

    Gaat die installatie helemaal naar de knoppen zijn a.g.v. die spyware-besmetting, of zou er iets anders aan de hand zijn? En vooral: hoe ga ik nog met die Windows kunnen opstarten?

    Of zou ik beter wachten tot mijn computer vanuit die 2de installatie 100% schoongemaakt is en dan nog iets proberen?
  • Goed en slecht nieuws.
    Goed: de worm ben je kwijt en die vundo infectie.
    Slechte nieuws is dat er buiten de L2M nog een andere lastpak bij is.

    Wat is er juist aan de hand of gebeurt met de originele installatie omdat deze niet opstart? Kan je wat meer uitleg geven?

    Zorg dat ewido volledig geupdate is:
    In het hoofdscherm van Ewido, klik je op "Update" in het linkse menu, en vervolgens op de knop "Start update".
    Als de updates gedaan zijn, zal er op de status bar beneden "Update successful" staan.
    Sluit Ewido. Laat het nog [b:277c532407]niet[/b:277c532407] scannen.


    Start de computer op in veilige modus. Hoe je dit doet kan je hier lezen.

    Met Hijackthis fix je deze indien nog aanwezig:
    O4 - HKLM\..\Run: [winsync] C:\WINNT2\system32\ywiwqc.exe reg_run

    Open Ewido Security Suite.
    klik op "Scanner".
    Klik op "complete system scan".
    Laat het programma je pc scannen.
    Tijdens de scan zal je gevraagd worden of je de gevonden bestanden wil verwijderen. Klik dan op "OK".
    Als de scan beëindigd is, zal je een knop zien "Bewaar rapport".
    Klik op Bewaar rapport en sla het rapport op, op je bureaublad.
    Sluit Ewido af.

    Herstart de computer in normale modus

    Download de L2Mfix hier.
    Plaats het bestand op je buroblad. Klik op l2mfix.exe.
    Klik op "Accept". Zorg dat de l2mfix-map op je bureaublad geplaatst wordt. Klik op "Install".
    Op je bureaublad open je de map l2mfix.
    Klik op l2fix.bat.
    Klik op "1" om optie te 1 selecteren: Run Find Log.
    Dit gaat even duren. Na een tijdje wordt er een kladblokbestand geopend.
    Kopieer en plak de inhoud van dit bestand in je volgende post.

    Let op: Optie 2 mag je voorlopig NIET gebruiken. Gebruik ook geen andere bestanden die zich in de map l2mfix bevinden!

    Post het ewido-logje en een nieuwe hijackthislog.
  • [quote:04040abac7="M@rc"]
    …Wat is er juist aan de hand of gebeurt met de originele installatie omdat deze niet opstart? Kan je wat meer uitleg geven?…
    [/quote:04040abac7]

    start niet meer op en blijft steeds hangen bij "bezig met het laden van de persoonlijke instellingen". Desnoods mag je een uur wachten, er gebeurt niets meer.
    De muis reageert wel nog, maar geen pictogrammen op het bureaublad, geen menu's, geen taakbalk, enz…, enkel dat ene venster. Wanneer je met dat venster iets probeert te doen (b.v. verslepen) reageert het pas na enige vertraging.
    Menu start oproepen of task manager gaat niet, geen reactie.
    In veilige modus exact hetzelfde resultaat.

    Ik ben er 99% zeker van dat mijn computer deze week nog volledig clean was. Wanneer die niet meer opstartte en ik er een tweede Windows 2000 heb naast gezet heb ik dus gezien dat deze met vanalles besmet was.
    Volgens mij kan het bijna niet anders of dat niet meer opstarten moet met die besmetting te maken hebben.
    Nadat ik de eerste keer was opgestart met die 2de Win 2000 werd het geheugen steeds meer en meer ingenomen totdat er op een bepaald moment niets meer kon gedaan worden. Misschien gebeurt er ook zoiets wanneer er geprobeerd wordt om op te starten met die eerste installatie?

    Ik zal nu eerst je aanwijzingen m.b.t. die L2M-fix en Ewido opvolgen.

    Voorlopig krijg ik nog steeds bijna constant meldingen van mijn firewall.

    Mijn vrouw meent "slechts één website" bezocht te hebben. Ik kan het niet nagaan want de geschiedenis (van die originele Win2000) is verdwenen.

    Groeten,

    Patrick
  • Ik stel voor dat we deze windows proberen proper te maken.
    Je andere windows staat in c:\winnt neem ik aan en die kan je bereiken vanuit deze installatie?
    Wat ik zo lees is dat er iets mis is met de userinit en/of de shell van die installatie.

    Ik kan me voorstellen dat er maar één site bezocht is. Veel infecties worden als een bundel aangeboden.
    De meeste zaken komen niet alleen.
  • Ja, ik kan de originele installatie bereiken vanuit die tweede (van waar ik nu werk).

    Hier eerst het resultaat van de gevraagde acties:
    (ondertussen probeert nog steeds een "rundll" op het Internet te geraken)

    Ewido:
    ———————————————————
    ewido security suite - Scan rapport
    ———————————————————

    + Gemaakt op: 11:08:01, 4/12/2005
    + Rapport samenvatting: 8831E1A0

    + Scan resultaten:

    [372] C:\WINNT2\system32\drkquoui.dll -> Spyware.Look2Me : Schoongemaakt met een backup
    [428] C:\WINNT2\system32\dodlgs.dll -> Spyware.Look2Me : Fout gedurende het schoonmake
    [488] C:\WINNT2\system32\dodlgs.dll -> Spyware.Look2Me : Fout gedurende het schoonmake
    C:\Documents and Settings\Administrator.PATRICK-2C24802\Cookies\administrator@doubleclick[1].txt -> Spyware.Cookie.Doubleclick : Schoongemaakt met een backup
    C:\Documents and Settings\Administrator.PATRICK-2C24802\Cookies\administrator@stat.onestat[2].txt -> Spyware.Cookie.Onestat : Schoongemaakt met een backup
    C:\WINNT2\system32\drkquoui.dll -> Spyware.Look2Me : Schoongemaakt met een backup
    C:\WINNT2\system32\mmmefilt.dll -> Spyware.Look2Me : Schoongemaakt met een backup
    C:\WINNT2\system32\suardssp.dll -> Spyware.Look2Me : Schoongemaakt met een backup


    ::Einde rapport

    L2M-fix:

    L2MFIX find log 120305
    These are the registry keys present
    **********************************************************************************
    Winlogon/notify:
    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AdminDebug]
    "Asynchronous"=dword:00000000
    "DllName"="C:\\WINNT2\\system32\\dodlgs.dll"
    "Impersonate"=dword:00000000
    "Logon"="WinLogon"
    "Logoff"="WinLogoff"
    "Shutdown"="WinShutdown"

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
    "Asynchronous"=dword:00000000
    "Impersonate"=dword:00000000
    "DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\
    6c,00,00,00
    "Logoff"="ChainWlxLogoffEvent"

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
    "Asynchronous"=dword:00000000
    "Impersonate"=dword:00000000
    "DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\
    6c,00,6c,00,00,00
    "Logoff"="CryptnetWlxLogoffEvent"

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
    "DLLName"="cscdll.dll"
    "Logon"="WinlogonLogonEvent"
    "Logoff"="WinlogonLogoffEvent"
    "ScreenSaver"="WinlogonScreenSaverEvent"
    "Startup"="WinlogonStartupEvent"
    "Shutdown"="WinlogonShutdownEvent"
    "StartShell"="WinlogonStartShellEvent"
    "Impersonate"=dword:00000000
    "Asynchronous"=dword:00000001

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Group Policy]
    "Asynchronous"=dword:00000000
    "DllName"="C:\\WINNT2\\system32\\fn4021hmg.dll"
    "Impersonate"=dword:00000000
    "Logon"="WinLogon"
    "Logoff"="WinLogoff"
    "Shutdown"="WinShutdown"

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\MS-DOS Emulation]
    "Asynchronous"=dword:00000000
    "DllName"="C:\\WINNT2\\system32\\o4role931h.dll"
    "Impersonate"=dword:00000000
    "Logon"="WinLogon"
    "Logoff"="WinLogoff"
    "Shutdown"="WinShutdown"

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
    "Logoff"="WLEventLogoff"
    "Impersonate"=dword:00000000
    "Asynchronous"=dword:00000001
    "DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\
    6c,00,6c,00,00,00

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
    "DLLName"="WlNotify.dll"
    "Lock"="SensLockEvent"
    "Logon"="SensLogonEvent"
    "Logoff"="SensLogoffEvent"
    "Safe"=dword:00000001
    "MaxWait"=dword:00000258
    "StartScreenSaver"="SensStartScreenSaverEvent"
    "StopScreenSaver"="SensStopScreenSaverEvent"
    "Startup"="SensStartupEvent"
    "Shutdown"="SensShutdownEvent"
    "StartShell"="SensStartShellEvent"
    "Unlock"="SensUnlockEvent"
    "Impersonate"=dword:00000001
    "Asynchronous"=dword:00000001

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wzcnotif]
    "DLLName"="wzcdlg.dll"
    "Logon"="WZCEventLogon"
    "Logoff"="WZCEventLogoff"
    "Impersonate"=dword:00000000
    "Asynchronous"=dword:00000000

    **********************************************************************************
    useragent:
    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
    "{181904C4-6A1E-6B62-2B7C-F67AEFC8B294}"=""

    **********************************************************************************
    Shell Extension key:
    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
    "{00022613-0000-0000-C000-000000000046}"="Eigenschappenvenster van multimediabestand"
    "{176d6597-26d3-11d1-b350-080036a75b03}"="ICM-scannerbeheer"
    "{1F2E5C40-9550-11CE-99D2-00AA006E086C}"="Het tabblad Beveiliging"
    "{3EA48300-8CF6-101B-84FB-666CCB9BCD32}"="Eigenschappenblad voor OLE-docbestand"
    "{40dd6e20-7c17-11ce-a804-00aa003ca9f6}"="Shelluitbreidingen voor delen"
    "{41E300E0-78B6-11ce-849B-444553540000}"="Configuratiescherm-uitbreiding PlusPack"
    "{42071712-76d4-11d1-8b24-00a0c9068ff3}"="Configuratieschermuitbreiding Beeldschermadapter"
    "{42071713-76d4-11d1-8b24-00a0c9068ff3}"="Configuratieschermuitbreiding Monitor"
    "{42071714-76d4-11d1-8b24-00a0c9068ff3}"="Configuratieschermuitbreiding Beeldscherm-panning"
    "{4E40F770-369C-11d0-8922-00A024AB2DBB}"="Het tabblad Beveiliging"
    "{56117100-C0CD-101B-81E2-00AA004AE837}"="Knipselgegevensverwerker van shell"
    "{59099400-57FF-11CE-BD94-0020AF85B590}"="Schijfkopieer-uitbreiding"
    "{59be4990-f85c-11ce-aff7-00aa003ca9f6}"="Shelluitbreidingen voor Microsoft Windows Network-objecten"
    "{5DB2625A-54DF-11D0-B6C4-0800091AA605}"="ICM-monitorbeheer"
    "{675F097E-4C4D-11D0-B6C1-0800091AA605}"="ICM-printerbeheer"
    "{764BF0E1-F219-11ce-972D-00AA00A14F56}"="Shelluitbreidingen voor bestandcompressie"
    "{77597368-7b15-11d0-a0c2-080036af3f03}"="Web Printer-shelluitbreiding"
    "{7988B573-EC89-11cf-9C00-00AA00A14F56}"="Disk Quota UI"
    "{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA}"="Snelmenu Codering"
    "{85BBD920-42A0-1069-A2E4-08002B30309D}"="Werkmap"
    "{88895560-9AA2-1069-930E-00AA0030EBC8}"="HyperTerminal-pictogramextensie"
    "{BD84B380-8CA2-1069-AB1D-08000948F534}"="Fonts"
    "{DBCE2480-C732-101B-BE72-BA78E9AD5B27}"="ICC-profiel"
    "{F37C5810-4D3F-11d0-B4BF-00AA00BBB723}"="Het tabblad Beveiliging voor printers"
    "{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}"="Shelluitbreidingen voor delen"
    "{f92e8c40-3d33-11d2-b1aa-080036a75b03}"="Display TroubleShoot CPL Extension"
    "{60254CA5-953B-11CF-8C96-00AA00B8708C}"="Shelluitbreidingen voor Windows Script Host"
    "{7444C717-39BF-11D1-8CD9-00C04FC29D45}"="Crypto PKO-extensie"
    "{7444C719-39BF-11D1-8CD9-00C04FC29D45}"="Crypto-handtekeningextensie"
    "{7007ACC7-3202-11D1-AAD2-00805FC1270E}"="Netwerk- en inbelverbindingen"
    "{EFA24E61-B078-11d0-89E4-00C04FC9E26E}"="Favorites Band"
    "{0A89A860-D7B1-11CE-8350-444553540000}"="Shell Automation Inproc Service"
    "{E7E4BC40-E76A-11CE-A9BB-00AA004AE837}"="Shell DocObject Viewer"
    "{FBF23B40-E3F0-101B-8488-00AA003E56F8}"="InternetShortcut"
    "{3C374A40-BAE4-11CF-BF7D-00AA006946EE}"="Microsoft Url-geschiedenisservice"
    "{FF393560-C2A7-11CF-BFF4-444553540000}"="Geschiedenis"
    "{7BD29E00-76C1-11CF-9DD0-00A0C9034933}"="Tijdelijke Internet-bestanden"
    "{CFBFAE00-17A6-11D0-99CB-00C04FD64497}"="Microsoft Url-zoeken Hook"
    "{A2B0DD40-CC59-11d0-A3A5-00C04FD706EC}"="IE4 Suite-welkomstscherm"
    "{67EA19A0-CCEF-11d0-8024-00C04FD75D13}"="CDF Extension Copy Hook"
    "{131A6951-7F78-11D0-A979-00C04FD705A2}"="ISFBand OC"
    "{9461b922-3c5a-11d2-bf8b-00c04fb93661}"="Search Assistant OC"
    "{3DC7A020-0ACD-11CF-A9BB-00AA004AE837}"="Het Internet"
    "{871C5380-42A0-1069-A2EA-08002B30309D}"="Internet Name Space"
    "{DD2110F0-9EEF-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Icon Handler"
    "{797F1E90-9EDD-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Shell Extension"
    "{D6277990-4C6A-11CF-8D87-00AA0060F5BF}"="Geplande taken"
    "{1A9BA3A0-143A-11CF-8350-444553540000}"="Map Favorieten"
    "{20D04FE0-3AEA-1069-A2D8-08002B30309D}"="Deze computer"
    "{86747AC0-42A0-1069-A2E6-08002B30309D}"="Map Werkmap"
    "{0AFACED1-E828-11D1-9187-B532F1E9575D}"="Snelkoppeling naar map"
    "{12518493-00B2-11d2-9FA5-9E3420524153}"="Gekoppeld volume"
    "{21B22460-3AEA-1069-A2DC-08002B30309D}"="Uitbreiding van eigenschappenblad Bestand"
    "{B091E540-83E3-11CF-A713-0020AFD79762}"="Pagina met bestandstypen"
    "{FBF23B41-E3F0-101B-8488-00AA003E56F8}"="MIME Hook voor bestandstypen"
    "{C2FBB630-2971-11d1-A18C-00C04FD75D13}"="Microsoft CopyTo-service"
    "{C2FBB631-2971-11d1-A18C-00C04FD75D13}"="Microsoft MoveTo-service"
    "{13709620-C279-11CE-A49E-444553540000}"="Shell Automatiseringsservice"
    "{62112AA1-EBE4-11cf-A5FB-0020AFE7292D}"="Shell geautomatiseerd mapbeeld"
    "{4622AD11-FF23-11d0-8D34-00A0C90F2719}"="Menu Start"
    "{7BA4C740-9E81-11CF-99D3-00AA004AE837}"="Microsoft SendTo-service"
    "{D969A300-E7FF-11d0-A93B-00A0C90F2719}"="Microsoft New Object-service"
    "{09799AFB-AD67-11d1-ABCD-00C04FC30936}"="Snelmenu-handler voor Openen met"
    "{3FC0B520-68A9-11D0-8D77-00C04FD70822}"="HTML-extensies in het Configuratiescherm weergeven"
    "{75048700-EF1F-11D0-9888-006097DEACF9}"="ActiveDesktop"
    "{6D5313C0-8C62-11D1-B2CD-006097DF8C11}"="Uitbreiding van eigenschappenblad Mapopties"
    "{57651662-CE3E-11D0-8D77-00C04FC99D61}"="CmdFileIcon"
    "{4657278A-411B-11d2-839A-00C04FD918D0}"="Shell Slepen en neerzetten"
    "{A470F8CF-A1E8-4f65-8335-227475AA5C46}"="Het item Coderen toevoegen aan de snelmenu's van Verkenner"
    "{5E6AB780-7743-11CF-A12B-00AA004AE837}"="Microsoft Internet Toolbar"
    "{22BF0C20-6DA7-11D0-B373-00A0C9034938}"="Download Status"
    "{568804CA-CBD7-11d0-9816-00C04FD91972}"="Menu Shell Folder"
    "{5b4dae26-b807-11d0-9815-00c04fd91972}"="Menu Band"
    "{8278F931-2A3E-11d2-838F-00C04FD918D0}"="Tracking Shell Menu"
    "{E13EF4E4-D2F2-11d0-9816-00C04FD91972}"="Menu Site"
    "{ECD4FC4F-521C-11D0-B792-00A0C90312E1}"="Menu Desk Bar"
    "{91EA3F8B-C99B-11d0-9815-00C04FD91972}"="Augmented Shell Folder"
    "{6413BA2C-B461-11d1-A18A-080036B11A03}"="Augmented Merge Shell Folder"
    "{F61FFEC1-754F-11d0-80CA-00AA005B4383}"="BandProxy"
    "{D82BE2B0-5764-11D0-A96E-00C04FD705A2}"="IShellFolderBand"
    "{7BA4C742-9E81-11CF-99D3-00AA004AE837}"="Microsoft BrowserBand"
    "{30D02401-6A81-11d0-8274-00C04FD5AE38}"="Microsoft SearchBand"
    "{169A0691-8DF9-11d1-A1C4-00C04FD75D13}"="In-pane search"
    "{07798131-AF23-11d1-9111-00A0C98BA67D}"="Web Search"
    "{0E5CBF21-D15F-11d0-8301-00AA005B4383}"="K&oppelingen"
    "{AF4F6510-F982-11d0-8595-00AA004CD6D8}"="Registry Tree Options Utility"
    "{01E04581-4EEE-11d0-BFE9-00AA005B4383}"="&Adres"
    "{A08C11D2-A228-11d0-825B-00AA005B4383}"="Address EditBox"
    "{00BB2763-6A77-11D0-A535-00C04FD7D062}"="Microsoft AutoComplete"
    "{7487cd30-f71a-11d0-9ea7-00805f714772}"="Thumbnail Image"
    "{7376D660-C583-11d0-A3A5-00C04FD706EC}"="TridentImageExtractor"
    "{6756A641-DE71-11d0-831B-00AA005B4383}"="MRU AutoComplete List"
    "{00BB2764-6A77-11D0-A535-00C04FD7D062}"="Microsoft History AutoComplete List"
    "{03C036F1-A186-11D0-824A-00AA005B4383}"="Microsoft Shell Folder AutoComplete List"
    "{00BB2765-6A77-11D0-A535-00C04FD7D062}"="Microsoft Multiple AutoComplete List Container"
    "{ECD4FC4E-521C-11D0-B792-00A0C90312E1}"="Shell Band Site Menu"
    "{3CCF8A41-5C85-11d0-9796-00AA00B90ADF}"="Shell DeskBarApp"
    "{ECD4FC4C-521C-11D0-B792-00A0C90312E1}"="Shell DeskBar"
    "{ECD4FC4D-521C-11D0-B792-00A0C90312E1}"="Shell Rebar BandSite"
    "{DD313E04-FEFF-11d1-8ECD-0000F87A470C}"="User Assist"
    "{EF8AD2D1-AE36-11D1-B2D2-006097DF8C11}"="Global Folder Settings"
    "{9E56BE60-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
    "{9E56BE61-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
    "{88C6C381-2E85-11D0-94DE-444553540000}"="Cachemap van ActiveX"
    "{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"="WebCheck"
    "{ABBE31D0-6DAE-11D0-BECA-00C04FD940BE}"="Subscription Mgr"
    "{F5175861-2688-11d0-9C5E-00AA00A45957}"="Map met abonnementen"
    "{08165EA0-E946-11CF-9C87-00AA005127ED}"="WebCheckWebCrawler"
    "{E3A8BDE6-ABCE-11d0-BC4B-00C04FD929DB}"="WebCheckChannelAgent"
    "{E8BB6DC0-6B4E-11d0-92DB-00A0C90C2BD7}"="TrayAgent"
    "{7D559C10-9FE9-11d0-93F7-00AA0059CE02}"="Code Download Agent"
    "{E6CC6978-6B6E-11D0-BECA-00C04FD940BE}"="ConnectionAgent"
    "{D8BD2030-6FC9-11D0-864F-00AA006809D9}"="PostAgent"
    "{7FC0B86E-5FA7-11d1-BC7C-00C04FD929DB}"="WebCheck SyncMgr Handler"
    "{8BEBB290-52D0-11D0-B7F4-00C04FD706EC}"="Miniatuurweergaven"
    "{EAB841A0-9550-11CF-8C16-00805F1408F3}"="HTML-extractie voor miniatuurweergaven"
    "{1AEB1360-5AFC-11D0-B806-00C04FD706EC}"="Office-filters voor extractie van miniatuurweergaven"
    "{9DBD2C50-62AD-11D0-B806-00C04FD706EC}"="Informatie over de handler voor miniatuurweergaven (DOCFILES)"
    "{500202A0-731E-11D0-B829-00C04FD706EC}"="LNK-bestand voor de interface van miniatuurweergaven delegeren"
    "{352EC2B7-8B9A-11D1-B8AE-006008059382}"="Shell Toepassingsbeheer"
    "{0B124F8C-91F0-11D1-B8B5-006008059382}"="Programma voor inventarisatie van ge‹nstalleerde toepassingen"
    "{CFCCC7A0-A282-11D1-9082-006008059382}"="Darwin App Publisher"
    "{f39a0dc0-9cc8-11d0-a599-00c04fd64433}"="Kanaal-bestand"
    "{f3aa0dc0-9cc8-11d0-a599-00c04fd64434}"="Kanaal-snelkoppeling"
    "{f3ba0dc0-9cc8-11d0-a599-00c04fd64435}"="Handler-object voor kanalen"
    "{f3da0dc0-9cc8-11d0-a599-00c04fd64437}"="Channel Menu"
    "{f3ea0dc0-9cc8-11d0-a599-00c04fd64438}"="Channel Properties"
    "{fe1290f0-cfbd-11cf-a330-00aa00c16e65}"="Directory Namespace"
    "{9E51E0D0-6E0F-11d2-9601-00C04FA31A86}"="Shell properties for a DS object"
    "{8A23E65E-31C2-11d0-891C-00A024AB2DBB}"="Directory Query UI"
    "{163FDC20-2ABC-11d0-88F0-00A024AB2DBB}"="Directory Object Find"
    "{F020E586-5264-11d1-A532-0000F8757D7E}"="Directory Start/Search Find"
    "{0D45D530-764B-11d0-A1CA-00AA00C16E65}"="Directory Property UI"
    "{62AE1F9A-126A-11D0-A14B-0800361B1103}"="Directory Context Menu Verbs"
    "{450D8FBA-AD25-11D0-98A8-0800361B1103}"="MyDocs Folder"
    "{ECF03A33-103D-11d2-854D-006008059367}"="MyDocs Copy Hook"
    "{ECF03A32-103D-11d2-854D-006008059367}"="MyDocs Drop Target"
    "{4a7ded0a-ad25-11d0-98a8-0800361b1103}"="MyDocs Properties"
    "{750fdf0e-2a26-11d1-a3ea-080036587f03}"="Menu Off line bestanden"
    "{10CFC467-4392-11d2-8DB4-00C04FA31A66}"="Mapopties Off line bestanden"
    "{AFDB1F70-2A4C-11d2-9039-00C04F8EEB3E}"="Map Off line bestanden"
    "{7A80E4A8-8005-11D2-BCF8-00C04F72C717}"="MMC Icon Handler"
    "{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}"=".CAB file viewer"
    "{D5167949-E193-4397-A43B-493AFEBAA63B}"=""
    "{2F8190ED-D05A-4C6B-95CB-90576CBFA8A3}"=""
    "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}"="AVG7 Shell Extension"
    "{9F97547E-460A-42C5-AE0C-81C61FFAEBC3}"="AVG7 Find Extension"
    "{9631E09B-C3E9-4972-B5C1-B7C1AADA85C5}"=""

    **********************************************************************************
    HKEY ROOT CLASSIDS:
    Windows Registry Editor Version 5.00

    [HKEY_CLASSES_ROOT\CLSID\{D5167949-E193-4397-A43B-493AFEBAA63B}]
    @=""
    "IDEx"="ADDR"

    [HKEY_CLASSES_ROOT\CLSID\{D5167949-E193-4397-A43B-493AFEBAA63B}\Implemented Categories]
    @=""

    [HKEY_CLASSES_ROOT\CLSID\{D5167949-E193-4397-A43B-493AFEBAA63B}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
    @=""

    [HKEY_CLASSES_ROOT\CLSID\{D5167949-E193-4397-A43B-493AFEBAA63B}\InprocServer32]
    @="C:\\WINNT2\\system32\\shi.dll"
    "ThreadingModel"="Apartment"

    Windows Registry Editor Version 5.00

    [HKEY_CLASSES_ROOT\CLSID\{2F8190ED-D05A-4C6B-95CB-90576CBFA8A3}]
    @=""

    [HKEY_CLASSES_ROOT\CLSID\{2F8190ED-D05A-4C6B-95CB-90576CBFA8A3}\Implemented Categories]
    @=""

    [HKEY_CLASSES_ROOT\CLSID\{2F8190ED-D05A-4C6B-95CB-90576CBFA8A3}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
    @=""

    [HKEY_CLASSES_ROOT\CLSID\{2F8190ED-D05A-4C6B-95CB-90576CBFA8A3}\InprocServer32]
    @="C:\\WINNT2\\system32\\dodlgs.dll"
    "ThreadingModel"="Apartment"

    Windows Registry Editor Version 5.00

    [HKEY_CLASSES_ROOT\CLSID\{9631E09B-C3E9-4972-B5C1-B7C1AADA85C5}]
    @=""

    [HKEY_CLASSES_ROOT\CLSID\{9631E09B-C3E9-4972-B5C1-B7C1AADA85C5}\Implemented Categories]
    @=""

    [HKEY_CLASSES_ROOT\CLSID\{9631E09B-C3E9-4972-B5C1-B7C1AADA85C5}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
    @=""

    [HKEY_CLASSES_ROOT\CLSID\{9631E09B-C3E9-4972-B5C1-B7C1AADA85C5}\InprocServer32]
    @="C:\\WINNT2\\system32\\guard.tmp"
    "ThreadingModel"="Apartment"

    **********************************************************************************
    Files Found are not all bad files:

    C:\WINNT2\SYSTEM32\
    dodlgs.dll Sun 4 Dec 2005 10:14:04 ..S.R 236.155 230,62 K
    fn4021~1.dll Sun 4 Dec 2005 10:14:04 ..S.R 234.268 228,78 K
    gfefq.dll Sun 4 Dec 2005 9:37:00 A…. 12.288 12,00 K
    qeoesnp.dll Sun 4 Dec 2005 11:14:10 A…. 73.216 71,50 K
    r46u0e~1.dll Sun 4 Dec 2005 10:14:00 ..S.R 233.730 228,25 K
    vsdata.dll Tue 15 Nov 2005 0:50:30 A…. 83.720 81,76 K
    vsinit.dll Tue 15 Nov 2005 0:50:42 A…. 141.064 137,76 K
    vsmonapi.dll Tue 15 Nov 2005 0:50:52 A…. 104.208 101,77 K
    vspubapi.dll Tue 15 Nov 2005 0:50:56 A…. 227.088 221,77 K
    vsregexp.dll Tue 15 Nov 2005 0:51:00 A…. 71.440 69,77 K
    vsutil.dll Tue 15 Nov 2005 0:51:12 A…. 382.728 373,76 K
    vsxml.dll Tue 15 Nov 2005 0:51:20 A…. 100.104 97,76 K
    zlcomm.dll Tue 15 Nov 2005 0:51:40 A…. 79.624 77,76 K
    zlcommdb.dll Tue 15 Nov 2005 0:51:44 A…. 71.440 69,77 K
    __dele~1.dll Sun 4 Dec 2005 11:13:32 A…. 236.155 230,62 K

    15 items found: 15 files (3 H/S), 0 directories.
    Total of file sizes: 2.287.228 bytes 2,18 M
    Locate .tmp files:

    C:\WINNT2\SYSTEM32\
    guard.tmp Sun 4 Dec 2005 11:10:02 ..S.R 236.732 231,18 K

    1 item found: 1 file (1 H/S), 0 directories.
    Total of file sizes: 236.732 bytes 231,18 K
    **********************************************************************************
    Directory Listing of system files:
    De volumenaam van station C is Win2000
    Het volumenummer is 80DD-0C2B

    Map van C:\WINNT2\System32

    04/12/2005 11:10 236.732 guard.tmp
    04/12/2005 10:14 236.155 dodlgs.dll
    04/12/2005 10:14 234.268 fn4021hmg.dll
    04/12/2005 10:13 233.730 r46u0ej9eho.dll
    03/12/2005 19:14 <DIR> dllcache
    4 bestand(en) 940.885 bytes
    1 map(pen) 9.153.748.992 bytes beschikbaar
  • Sluit alle openstaande programma's.
    Dubbelklik op l2mfix.bat.
    Klik op "2" om optie 2 te selecteren: Run Fix.
    Druk op Enter.
    De iconen op je bureaublad zullen verdwijnen en de L2Mfix gaat je computer scannen. Als het scannen klaar is, zal de computer aangeven dat hij opnieuw gaat opstarten.
    Druk op Enter en de pc zal automatisch herstarten.
    Als de computer opnieuw gestart is, opent er een kladblokbestandje.
    Post de inhoud van dit bestandje samen met een nieuwe hijackthislog.
    Let op: Gebruik GEEN andere bestanden uit de map l2mfix!
  • Ewido had je gedaan in veilige modus?
  • [quote:e578b4ed82="M@rc"]Ewido had je gedaan in veilige modus?[/quote:e578b4ed82]

    Ja, en die L2M-fix na herstarten in normale modus.

    Ondertussen het verslag van die optie 2 van die L2M-fix:

    L2mfix Beta 120305
    Creating Account.
    De opdracht is voltooid.


    Adding Administrative privleges.
    De opdracht is voltooid.


    Checking for L2MFix account(0=no 1=yes):
    1
    Granting SeDebugPrivilege to L2MFIX … successful
    Checking for L2MFix account(0=no 1=yes):
    0
  • Is de computer opnieuw opgestart als je de L2M fix optie 2 uitgevoerd hebt?
    L2M fix geeft deze melding.

    Maak een nieuwe Hijackthislog en post deze ook.
  • [quote:80a8caa450="M@rc"]Is de computer opnieuw opgestart als je de L2M fix optie 2 uitgevoerd hebt?…[/quote:80a8caa450]

    Ja.

    [quote:80a8caa450="M@rc"]…Maak een nieuwe Hijackthislog en post deze ook…[/quote:80a8caa450]

    Hier komt ie:
    (zonder nogmaals herstarten, dus na die ene herstart na uitvoeren van die optie 2 van die L2M-fix is de computer niet meer heropgestart)

    Logfile of HijackThis v1.99.1
    Scan saved at 12:35:44, on 4/12/2005
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

    Running processes:
    C:\WINNT2\System32\smss.exe
    C:\WINNT2\system32\winlogon.exe
    C:\WINNT2\system32\services.exe
    C:\WINNT2\system32\lsass.exe
    C:\WINNT2\system32\svchost.exe
    C:\WINNT2\system32\spoolsv.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
    C:\WINNT2\system32\svchost.exe
    C:\Win2\ewido\security suite\ewidoctrl.exe
    C:\Win2\ewido\security suite\ewidoguard.exe
    C:\WINNT2\system32\MSTask.exe
    C:\WINNT2\system32\ZoneLabs\vsmon.exe
    C:\WINNT2\system32\svchost.exe
    C:\WINNT2\system32\rundll32.exe
    C:\WINNT2\Explorer.EXE
    C:\Win2\SpeedTouch USB\Dragdiag.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
    C:\Win2\ZoneAlarm\zlclient.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    I:\anti-spyware\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Win2\SpeedTouch USB\Dragdiag.exe" /icon
    O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
    O4 - HKLM\..\Run: [Zone Labs Client] C:\Win2\ZoneAlarm\zlclient.exe
    O4 - HKLM\..\Run: [winsync] C:\WINNT2\system32\ywiwqc.exe reg_run
    O14 - IERESET.INF: START_PAGE_URL=http://www.msn.nl
    O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.nl
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
    O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{7333E39C-5B70-46A1-AD76-F0F4F5AAA3C1}: NameServer = 62.235.14.4 62.235.13.199
    O20 - Winlogon Notify: AdminDebug - C:\WINNT2\system32\dodlgs.dll
    O20 - Winlogon Notify: MS-DOS Emulation - C:\WINNT2\system32\o4role931h.dll (file missing)
    O20 - Winlogon Notify: Shell Extensions - C:\WINNT2\system32\fn4021hmg.dll
    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
    O23 - Service: Logical Disk Manager Administrative-service (dmadmin) - VERITAS Software Corp. - C:\WINNT2\System32\dmadmin.exe
    O23 - Service: ewido security suite control - ewido networks - C:\Win2\ewido\security suite\ewidoctrl.exe
    O23 - Service: ewido security suite guard - ewido networks - C:\Win2\ewido\security suite\ewidoguard.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT2\system32\ZoneLabs\vsmon.exe
  • Heeft maar gedeeltelijk zijn werk gedaan.
    Oorzaak vermoed ik die 2windows installaties naast elkaar.
    Ik stel voor dat we L2M met spysweeper gaan verwijderen.

    Download de trial versie van Spysweeper: http://www.webroot.com/consumer/products/spysweeper
    Kies bij de installatie voor "standaard installatie", en geef je emailadres in wanneer daar naar gevraagd wordt.
    Er zal gevraagd worden of je de nieuwste definities wil downloaden, sta dit dan toe (dit kan even duren).

    Download de L2Mfix: http://www.atribune.org/downloads/l2mfix.exe
    Plaats het bestand op je bureaublad. Klik op l2mfix.exe.
    Klik op "Accept". Zorg dat de l2mfix-map op je bureaublad geplaatst wordt. Klik op "Install".

    Start de computer op in veilige modus. Hoe je dit doet kan je hier lezen.

    Start Spysweeper
    Klik daarna op Options - Sweep Options en vink het volgende aan:
    Sweep all Folders on Selected drives en Local Disc C.
    Bij "What to Sweep", vink je alles aan.
    Klik dan op"Sweep" en laat het je systeem volledig scannen.

    Na afloop van de scan, klik je op "Remove", en vervolgens klik je op "Select All" en daarna "Next".

    Klik op "Results" en vervolgens op het tabblad "Session Log".
    klik dan op "Save to File" en bewaar het logje op je bureaublad.

    Sluit Spysweeper af.

    Herstart de computer in normale modus.


    Op je bureaublad open je de map l2mfix.
    Klik op l2fix.bat.
    Klik op "1" om optie te 1 selecteren: Run Find Log.
    Dit gaat even duren. Na een tijdje wordt er een kladblokbestand geopend.
    Kopieer en plak de inhoud van dit bestand in je volgende post.

    Let op: Optie 2 mag je voorlopig NIET gebruiken. Gebruik ook geen andere bestanden die zich in de map l2mfix bevinden!

    Plaats de inhoud van het log van spysweeper in je volgende post, samen met een nieuw logje van hijackthis.

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.