Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

Log-onderzoek

opamax
24 antwoorden
  • Hallo,
    Sinds gisteren krijg ik -af en toe- nar een zoekopdracht een melding van Firefox dat er iets niet goed is met mijn systeem, Heb de schonen-procedure afgewerkt en als laatste HT met hierbij daarvan de logfile. Zit daarin iets fouts ?[code:1:00e369db1c]
    Logfile of HijackThis v1.99.1
    Scan saved at 7:29:31, on 15-2-2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16608)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\multimedia\CDBurnerXP Pro 3\Tools\NMSAccess.exe
    C:\WINDOWS\System32\snmp.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\Common Files\Real\Update_OB\realsched.exe
    C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe
    D:\Cybershot\Picture Package Menu\SonyTray.exe
    D:\Cybershot\Picture Package Applications\Residence.exe
    C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
    C:\WINDOWS\system32\hpoipm07.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Program Files\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
    C:\Program Files\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe
    C:\Program Files\Mail\Thunderbird\Thunderbird1.5\thunderbird.exe
    C:\Program Files\Kantoor\Agenda\EssentPim\EssentialPIM.exe
    C:\Program Files\OpenOffice.org 2.0\program\soffice.exe
    C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
    C:\Program Files\Firefox-2\firefox.exe
    C:\Program Files\Security n Tools\hijackthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nu.nl/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O2 - BHO: Adobe PDF Reader Help bij koppelingen - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Security\Spybot - Search & Destroy\SDHelper.dll (file missing)
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Security\Spybot - Search & Destroy\Spybot - Search & Destroy\TeaTimer.exe
    O4 - Global Startup: HPAiODevice(hp officejet g series) - 1.lnk = C:\Program Files\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe
    O4 - Global Startup: Picture Package Menu.lnk = D:\Cybershot\Picture Package Menu\SonyTray.exe
    O4 - Global Startup: Picture Package VCD Maker.lnk = D:\Cybershot\Picture Package Applications\Residence.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O11 - Options group: [INTERNATIONAL] International*
    O15 - Trusted Zone: http://download.windowsupdate.com
    O15 - Trusted Zone: http://*.windowsupsate.com
    O15 - Trusted IP range: http://10.0.0.2
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1199525935542
    O17 - HKLM\System\CCS\Services\Tcpip\..\{64EC9E35-F61B-4740-89F9-624A81D4A905}: NameServer = 212.46.33.3
    O17 - HKLM\System\CCS\Services\Tcpip\..\{95886640-1499-4D7B-AF72-A09522AF0F56}: NameServer = 212.45.33.3,212.45.32.3
    O17 - HKLM\System\CCS\Services\Tcpip\..\{F95212CF-FD42-4457-A321-88F6545F43ED}: NameServer = 212.45.33.3
    O17 - HKLM\System\CCS\Services\Tcpip\..\{FD8340FC-F347-4596-BA36-559A01459FF5}: NameServer = 212.45.33.3
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
    O23 - Service: NMSAccess - Unknown owner - C:\Program Files\multimedia\CDBurnerXP Pro 3\Tools\NMSAccess.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
    vsvc32.exe[/code:1:00e369db1c]Mag ik hierover het oordeel van een vakman ?
    Bvd, opamax
  • Start Hijackthis op en kies voor 'Do a system scan only'
    Selecteer alleen de items die hieronder zijn genoemd:
    [b:0954503211]
    O15 - Trusted Zone: http://*.windowsupsate.com
    [/b:0954503211]
    Klik op 'Fix checked' om de items te verwijderen.

    [b:0954503211]
  • Bijna aan het einde van je bericht: PC WEL of NIET herstarten ???????????????
  • Ai ai sir, command executed. Hierbij file van RVAXO.exe: [code:1:1d17b499b7]
    —RVAXO.exe Updated: [b]2008-02-15[/b]—first run—
    [b]Files found:[/b]

    [b]Uninstallers:[/b]


    [b]Folders Found:[/b]


    Hosts-file was reset, If you use a custom hosts file please replace it…

    ————–RVAXO.exe last run—————

    [b]Files found:[/b] Logfile of HijackThis v1.99.1
    Scan saved at 11:41:31, on 16-2-2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16608)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\multimedia\CDBurnerXP Pro 3\Tools\NMSAccess.exe
    C:\WINDOWS\System32\snmp.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\system32
    otepad.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\Common Files\Real\Update_OB\realsched.exe
    C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
    C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
    C:\Program Files\Brother\ControlCenter3\brccMCtl.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe
    D:\Cybershot\Picture Package Menu\SonyTray.exe
    D:\Cybershot\Picture Package Applications\Residence.exe
    C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
    C:\WINDOWS\system32\hpoipm07.exe
    C:\Program Files\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
    C:\Program Files\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe
    C:\Program Files\Mail\Thunderbird\Thunderbird1.5\thunderbird.exe
    C:\Program Files\Firefox-2\firefox.exe
    C:\Program Files\Security n Tools\hijackthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nu.nl/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O2 - BHO: Adobe PDF Reader Help bij koppelingen - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Security\Spybot - Search & Destroy\SDHelper.dll (file missing)
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
    O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
    O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
    O4 - HKLM\..\Run: [IndexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe
    O4 - HKLM\..\Run: [BrMfcWnd] C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
    O4 - HKLM\..\Run: [ControlCenter3] C:\Program Files\Brother\ControlCenter3\brctrcen.exe /autorun
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Security\Spybot - Search & Destroy\Spybot - Search & Destroy\TeaTimer.exe
    O4 - Global Startup: HPAiODevice(hp officejet g series) - 1.lnk = C:\Program Files\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe
    O4 - Global Startup: Picture Package Menu.lnk = D:\Cybershot\Picture Package Menu\SonyTray.exe
    O4 - Global Startup: Picture Package VCD Maker.lnk = D:\Cybershot\Picture Package Applications\Residence.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O11 - Options group: [INTERNATIONAL] International*
    O15 - Trusted Zone: http://download.windowsupdate.com
    O15 - Trusted IP range: http://10.0.0.2
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1199525935542
    O17 - HKLM\System\CCS\Services\Tcpip\..\{64EC9E35-F61B-4740-89F9-624A81D4A905}: NameServer = 212.46.33.3
    O17 - HKLM\System\CCS\Services\Tcpip\..\{95886640-1499-4D7B-AF72-A09522AF0F56}: NameServer = 212.45.33.3,212.45.32.3
    O17 - HKLM\System\CCS\Services\Tcpip\..\{F95212CF-FD42-4457-A321-88F6545F43ED}: NameServer = 212.45.33.3
    O17 - HKLM\System\CCS\Services\Tcpip\..\{FD8340FC-F347-4596-BA36-559A01459FF5}: NameServer = 212.45.33.3
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
    O23 - Service: NMSAccess - Unknown owner - C:\Program Files\multimedia\CDBurnerXP Pro 3\Tools\NMSAccess.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
    vsvc32.exe[/code:1:1d17b499b7]Tevreden nu ?




    [b:1d17b499b7]Folders Found:[/b:1d17b499b7]

    ————–RVAXO.exe finished—————-[/ode] en de nieuwe van GJT:

  • Niet echt ik vind de O17 regels er raar uitzien.


    Download [b:2feb38dcac]Combofix[/b:2feb38dcac] naar je Bureaublad.
    Indien je Combofix al eerder hebt gebruikt, gelieve die versie te verwijderen en Combofix opnieuw te downloaden via bovenstaande link, want Combofix wordt dagelijks geupdate.

    OPMERKING: indien je, tijdens of na het downloaden van Combofix of tijdens het gebruik van Combofix een melding krijgt van je Antivirus- of een andere realtime scanner, schakel dan deze scanner uit en [b:2feb38dcac]download Combofix opnieuw[/b:2feb38dcac]. Sommige scanners zien bepaalde componenten die Combofix gebruikt als verdacht en gaan deze blokkeren of verwijderen![list:2feb38dcac]
    Dubbelklik op [b:2feb38dcac]Combofix.exe[/b:2feb38dcac]
    Volg de instructies, aanvaard de disclaimer door [b:2feb38dcac]Yes[/b:2feb38dcac] te klikken.
    Tijdens het runnen van de fix, [b:2feb38dcac]NIET[/b:2feb38dcac] in het venster klikken, want dit zal je pc doen vasthangen.[/list:u:2feb38dcac]
    Wanneer de fix voltooid is en na herstart, zal de log [b:2feb38dcac]combofix.txt[/b:2feb38dcac] openen.
    [i:2feb38dcac]Plaats dit log in je volgende post samen met een nieuw HijackThis log.[/i:2feb38dcac]

    gebruik wel de juiste versie aub.

    * Download [b:2feb38dcac]Trend Micro Hijack This™[/b:2feb38dcac]
    Dubbelklik [b:2feb38dcac]HJTInstall.exe[/b:2feb38dcac] om HijackThis te installeren.
    Standaard zal HijackThis in de Program Files\Trendmicro map geïnstalleerd worden en een snelkoppeling zal op je bureaublad komen te staan.
    HijackThis zal openen na het installeren.
    Klik de [b:2feb38dcac]Scan[/b:2feb38dcac] knop onderaan.
    Dit zal de scan starten en een log openen.
    Kopieer en plak deze log in je volgende post.
  • Gaan we nog een keer. Eerst dan de log van Combo: [code:1:fc0e663161] ComboFix 08-02-16.2 - Gebruiker 2008-02-16 15:06:04.2 - NTFSx86
    Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1043.18.58 [GMT 1:00]
    Gestart vanuit: C:\Documents and Settings\Gebruiker\Bureaublad\ComboFix.exe
    * Nieuw herstelpunt werd aangemaakt

    [color=red][b]WAARSCHUWING - DE RECOVERY CONSOLE IS NIET OP DIT SYSTEEM GEINSTALLEERD !![/b][/color]
    .

    (((((((((((((((((((( Bestanden Gemaakt van 2008-01-16 to 2008-02-16 ))))))))))))))))))))))))))))))
    .

    2008-02-16 11:34 . 2008-02-16 11:34 <DIR> d——– C:\RVAXO
    2008-02-16 11:31 . 2008-02-15 20:22 696,538 –a—— C:\WINDOWS\system32\RVAXO.bat
    2008-02-16 11:31 . 2001-10-01 14:51 69,632 –a—— C:\WINDOWS\system32\remove.exe
    2008-02-15 16:35 . 2008-02-15 16:35 <DIR> d——– C:\Program Files\Brother
    2008-02-15 16:33 . 2003-09-24 11:37 27,134 –a—— C:\WINDOWS\maxlink.ini
    2008-02-15 16:32 . 2008-02-15 16:32 <DIR> d——– C:\Program Files\ScanSoft
    2008-02-15 16:32 . 2008-02-15 16:32 <DIR> d——– C:\Program Files\Common Files\ScanSoft Shared
    2008-02-15 16:32 . 2008-02-15 16:32 <DIR> d——– C:\Documents and Settings\All Users\Sjablonen
    2008-02-15 16:32 . 2008-02-15 16:32 <DIR> d——– C:\Documents and Settings\All Users\Application Data\ScanSoft
    2008-02-15 16:32 . 2008-02-15 16:32 <DIR> d——– C:\Documents and Settings\All Users\Application Data\InstallShield
    2008-02-15 16:31 . 2008-02-15 16:31 <DIR> d——– C:\Documents and Settings\All Users\Application Data\Brother

    .
    ((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-02-16 13:58 ——— d—–w C:\Program Files\Firefox-2
    2008-02-15 15:35 ——— d—–w C:\Program Files\Common Files\InstallShield
    2008-02-15 15:34 ——— d–h–w C:\Program Files\InstallShield Installation Information
    2008-02-15 14:50 ——— d—–w C:\Documents and Settings\Gebruiker\Application Data\OpenOffice.org2
    2008-02-14 13:56 96,256 —-a-w C:\WINDOWS\system32\drivers\sptd3069.sys
    2008-01-10 12:31 ——— d—–w C:\Documents and Settings\Gebruiker\Application Data\EssentialPIM
    2008-01-10 09:38 ——— d—–w C:\Program Files\Kantoor
    2007-12-18 09:51 179,584 —-a-w C:\WINDOWS\system32\drivers\mrxdav.sys
    2007-12-17 22:13 ——— d—–w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
    2007-12-17 20:36 ——— d—–w C:\Program Files\Java
    2007-02-26 12:56 284 —-a-w C:\Documents and Settings\Gebruiker\Application Data\ViewerApp.dat
    2005-01-19 23:22 72,826,832 -c–a-w C:\Program Files\A140609_NLD_XP.exe
    2004-08-03 23:03 73,728 –sha-w C:\WINDOWS\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe
    2007-07-02 14:03 4,775,712 –sha-w C:\WINDOWS\system32\drivers\fidbox.dat
    2007-07-02 14:03 172,320 –sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
    .

    ((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:03 15360]
    "updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [ ]
    "SpybotSD TeaTimer"="C:\Program Files\Security\Spybot - Search & Destroy\Spybot - Search & Destroy\TeaTimer.exe" [ ]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-07-12 17:15 106496]
    "NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2004-07-15 10:42 81920]
    "NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2004-07-15 10:42 4112384]
    "SoundMan"="SOUNDMAN.EXE" [2004-06-18 09:31 67584 C:\WINDOWS\SOUNDMAN.EXE]
    "TkBellExe"="C:\Program Files\Common Files\Real\Update_OB\realsched.exe" [2007-03-25 14:49 180269]
    "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51 39792]
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
    "SSBkgdUpdate"="C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 10:22 155648]
    "PaperPort PTD"="C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe" [2005-03-18 12:40 57393]
    "IndexSearch"="C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe" [2005-03-18 12:53 40960]
    "BrMfcWnd"="C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe" [2006-06-28 07:46 622592]
    "ControlCenter3"="C:\Program Files\Brother\ControlCenter3\brctrcen.exe" [2006-06-29 12:18 77824]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:03 15360]

    C:\Documents and Settings\All Users\Menu Start\Programma's\Opstarten\
    HPAiODevice(hp officejet g series) - 1.lnk - C:\Program Files\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe [2002-11-20 16:15:00 151552]
    Picture Package Menu.lnk - D:\Cybershot\Picture Package Menu\SonyTray.exe [2005-04-18 02:38:48 151552]
    Picture Package VCD Maker.lnk - D:\Cybershot\Picture Package Applications\Residence.exe [2005-04-18 02:38:46 106496]

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
    C:\Program Files\MSN Messenger\MsnMsgr.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
    C:\WINDOWS\system32\NeroCheck.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
    –a—— 2004-07-15 10:42 4112384 C:\WINDOWS\System32\NvCpl.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg
    wiz]
    –a—— 2004-07-15 10:42 843776 C:\WINDOWS\system32
    wiz.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
    C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
    C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe


    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{242a407d-9d74-11d9-8ce6-806d6172696f}]
    \Shell\AutoRun\command - F:\setup.exe

    .
    Inhoud van de 'Gedeelde Taken' map
    "2008-02-14 23:59:00 C:\WINDOWS\Tasks\PrijzenBackup.bat.job"
    - C:\PrijzenBackup.bat
    .
    **************************************************************************

    catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-02-16 15:10:30
    Windows 5.1.2600 Service Pack 2 NTFS

    scannen van verborgen processen …

    scannen van verborgen autostart items …

    scannen van verborgen bestanden …

    Scan succesvol afgerond
    verborgen bestanden: 0

    **************************************************************************
    .
    ———————— Other Running Processes ————————
    .
    C:\Program Files\multimedia\CDBurnerXP Pro 3\Tools\NMSAccess.exe
    C:\WINDOWS\System32\snmp.exe
    C:\WINDOWS\system32\wdfmgr.exe
    C:\Program Files\Brother\ControlCenter3\brccMCtl.exe
    C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
    C:\WINDOWS\system32\hpoipm07.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Program Files\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
    C:\Program Files\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe
    .
    **************************************************************************
    .
    Voltooingstijd: 2008-02-16 15:11:46 - machine was rebooted
    ComboFix-quarantined-files.txt 2008-02-16 14:11:36
    ComboFix2.txt 2007-10-17 19:54:05
    .
    2008-02-13 10:02:45 — E O F — [/code:1:fc0e663161] en dan die van HJT: [code:1:fc0e663161] Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 16:08:05, on 16-2-2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16608)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\multimedia\CDBurnerXP Pro 3\Tools\NMSAccess.exe
    C:\WINDOWS\System32\snmp.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\Common Files\Real\Update_OB\realsched.exe
    C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
    C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe
    D:\Cybershot\Picture Package Menu\SonyTray.exe
    C:\Program Files\Brother\ControlCenter3\brccMCtl.exe
    D:\Cybershot\Picture Package Applications\Residence.exe
    C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
    C:\WINDOWS\system32\hpoipm07.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\explorer.exe
    C:\Program Files\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
    C:\Program Files\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe
    C:\WINDOWS\system32
    otepad.exe
    C:\Program Files\Firefox-2\firefox.exe
    C:\Program Files\Mail\Thunderbird\Thunderbird1.5\thunderbird.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nu.nl/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O2 - BHO: Adobe PDF Reader Help bij koppelingen - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Security\Spybot - Search & Destroy\SDHelper.dll (file missing)
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
    O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
    O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
    O4 - HKLM\..\Run: [IndexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe
    O4 - HKLM\..\Run: [BrMfcWnd] C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
    O4 - HKLM\..\Run: [ControlCenter3] C:\Program Files\Brother\ControlCenter3\brctrcen.exe /autorun
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Security\Spybot - Search & Destroy\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Lokale service')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Netwerkservice')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: HPAiODevice(hp officejet g series) - 1.lnk = C:\Program Files\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe
    O4 - Global Startup: Picture Package Menu.lnk = D:\Cybershot\Picture Package Menu\SonyTray.exe
    O4 - Global Startup: Picture Package VCD Maker.lnk = D:\Cybershot\Picture Package Applications\Residence.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O10 - Unknown file in Winsock LSP: c:\windows\system32
    wprovau.dll
    O15 - Trusted Zone: http://download.windowsupdate.com
    O15 - Trusted IP range: http://10.0.0.2
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1199525935542
    O17 - HKLM\System\CCS\Services\Tcpip\..\{64EC9E35-F61B-4740-89F9-624A81D4A905}: NameServer = 212.46.33.3
    O17 - HKLM\System\CCS\Services\Tcpip\..\{95886640-1499-4D7B-AF72-A09522AF0F56}: NameServer = 212.45.33.3,212.45.32.3
    O17 - HKLM\System\CCS\Services\Tcpip\..\{F95212CF-FD42-4457-A321-88F6545F43ED}: NameServer = 212.45.33.3
    O17 - HKLM\System\CCS\Services\Tcpip\..\{FD8340FC-F347-4596-BA36-559A01459FF5}: NameServer = 212.45.33.3
    O23 - Service: NMSAccess - Unknown owner - C:\Program Files\multimedia\CDBurnerXP Pro 3\Tools\NMSAccess.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
    vsvc32.exe


    End of file - 6399 bytes[/code:1:fc0e663161] hoe oogt het nu ?




  • nou vreemd.

    neem nou deze code van de O17 regel.
    O17 - HKLM\System\CCS\Services\Tcpip\..\{64EC9E35-F61B-4740-89F9-624A81D4A905}: NameServer = 212.46.33.3

    [b:14e2229b37]212.46.33.3[/b:14e2229b37] dit dus

    als ik die opzoek krijg ik dus dit.
    [b:14e2229b37]212.46.32.0 - 212.46.38.15
    Saudi Business Machines Ltd.
    Head Office - Jeddah[/b:14e2229b37]

    [b:14e2229b37]212.45.33.3,212.45.32.3 [/b:14e2229b37] geeft .
    Unable to resolve hostname 212.45.33.3,212.45.32.3 to IP address
    of
    Location: Netherlands [City: ]
    Solcon Technical Role Account
    address: Dutch
    address: Solcon Internetdiensten BV
    address: P.O. Box 127
    address: 8250 AC Dronten
    address: The Netherlands

    komen deze je bekend voor ?
  • Saudi zegt me totaal niets.
    Solcon is min ISP
  • Saudi eruit gefixt en nieuwe HJT waarvan hier de logLogfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:23:56, on 18-2-2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16608) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\multimedia\CDBurnerXP Pro 3\Tools\NMSAccess.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\snmp.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe C:\WINDOWS\system32\ctfmon.exe D:\Cybershot\Picture Package Menu\SonyTray.exe D:\Cybershot\Picture Package Applications\Residence.exe C:\Program Files\Mail\Thunderbird\Thunderbird1.5\thunderbird.exe C:\Program Files\Common Files\Real\Update_OB\RealOneMessageCenter.exe C:\Program Files\Firefox-2\firefox.exe C:\Program Files\Security n Tools\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nu.nl/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O2 - BHO: Adobe PDF Reader Help bij koppelingen - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Security\Spybot - Search & Destroy\SDHelper.dll (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [BrMfcWnd] C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN O4 - HKLM\..\Run: [SetDefPrt] C:\Program Files\Brother\Brmfl06b\BrStDvPt.exe O4 - HKLM\..\Run: [ControlCenter3] C:\Program Files\Brother\ControlCenter3\brctrcen.exe /autorun O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe O4 - HKLM\..\Run: [IndexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe O4 - HKLM\..\Run: [Installation Diagnostics] "C:\Program Files\Brother\Brmfl06b\Brinstck.exe" /I MFC-5460CN USB O4 - HKLM\..\RunOnce: [Brother MFC-5460CN USB] C:\Program Files\Brother\Brmfl06b\BrWiEvRg.exe /R /M="Brother MFC-5460CN USB" /A="ControlCenter3" O4 - HKLM\..\RunOnce: [BrCCStoFix] C:\Program Files\Brother\ControlCenter3\BrCCStoFix.exe "Brother MFC-5460CN" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9 O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Security\Spybot - Search & Destroy\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Lokale service') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Netwerkservice') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Picture Package Menu.lnk = D:\Cybershot\Picture Package Menu\SonyTray.exe O4 - Global Startup: Picture Package VCD Maker.lnk = D:\Cybershot\Picture Package Applications\Residence.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32
    wprovau.dll O15 - Trusted Zone: http://download.windowsupdate.com O15 - Trusted IP range: http://10.0.0.2 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1199525935542 O17 - HKLM\System\CCS\Services\Tcpip\..\{95886640-1499-4D7B-AF72-A09522AF0F56}: NameServer = 212.45.33.3,212.45.32.3 O17 - HKLM\System\CCS\Services\Tcpip\..\{F95212CF-FD42-4457-A321-88F6545F43ED}: NameServer = 212.45.33.3 O17 - HKLM\System\CCS\Services\Tcpip\..\{FD8340FC-F347-4596-BA36-559A01459FF5}: NameServer = 212.45.33.3 O23 - Service: NMSAccess - Unknown owner - C:\Program Files\multimedia\CDBurnerXP Pro 3\Tools\NMSAccess.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
    vsvc32.exe – End of file - 6303 bytes[code] Hoe ziet het er nu uit ?

  • Nou ik wil nog wel wat proberen.

    Download [b:9fce210bc0] op je bureaublad.
    Dubbelklik [b:9fce210bc0]mbam-setup.exe[/b:9fce210bc0] en kies voor "[b:9fce210bc0]Next[/b:9fce210bc0]" om de tool te installeren.
    Als de installatie voltooid is zet je vinkjes bij "[b:9fce210bc0]Update MalwareBytes' Anti-Malware[/b:9fce210bc0]" en bij "[b:9fce210bc0]Launch MalwareBytes' Anti-Malware[/b:9fce210bc0]".
    Druk daarna op "[b:9fce210bc0]Finish[/b:9fce210bc0]".
    Kies in het hoofdscherm voor de tab "[b:9fce210bc0]Scanner[/b:9fce210bc0]" en selecteer het keuzerondje "[b:9fce210bc0]Perform full scan[/b:9fce210bc0]".
    Druk op de knop "[b:9fce210bc0]Scan[/b:9fce210bc0]" en zorg dat al je harde schijven/partities aangevinkt staan.
    Druk dan op de knop "[b:9fce210bc0]Start Scan[/b:9fce210bc0]".
    Wanneer de scan voltooid is klik je op OK, daarna op "[b:9fce210bc0]Show Results[/b:9fce210bc0]" om de resultaten te zien.
    Zorg ervoor dat alles aangevinkt is, klik daarna op "[b:9fce210bc0]Remove Selected[/b:9fce210bc0]".
    Als het programma je computer wil laten herstarten, sta je dit toe.
    Daarna opent een logje(mbam-log-XX-XX-XXXX(xx-xx-xx).txt)
    Post deze log in je volgende bericht :)
  • Hierbij de log van Malwarebytes: [code:1:0475fdf577]Malwarebytes' Anti-Malware 1.03
    Database versie: 374

    Scan type: Volledige Scan (C:\|D:\|E:\|)
    Objecten gescand: 84061
    Verstreken tijd: 15 minute(s), 11 second(s)

    Geheugenprocessen geïnfecteerd: 0
    Geheugenmodulen geïnfecteerd: 0
    Registersleutels geïnfecteerd: 1
    Registerwaarden geïnfecteerd: 0
    Registerdata bestanden geïnfecteerd: 0
    Mappen geïnfecteerd: 0
    Bestanden geïnfecteerd: 0

    Geheugenprocessen geïnfecteerd:
    (Geen kwaadaardige items gevonden)

    Geheugenmodulen geïnfecteerd:
    (Geen kwaadaardige items gevonden)

    Registersleutels geïnfecteerd:
    HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications (Rogue.Multiple) -> Quarantined and deleted successfully.

    Registerwaarden geïnfecteerd:
    (Geen kwaadaardige items gevonden)

    Registerdata bestanden geïnfecteerd:
    (Geen kwaadaardige items gevonden)

    Mappen geïnfecteerd:
    (Geen kwaadaardige items gevonden)

    Bestanden geïnfecteerd:
    (Geen kwaadaardige items gevonden)[/code:1:0475fdf577] en toen ?
  • So far, hartelijk dank voor de genomen moeite. En dan nog:
    -Wat was er nou precies verkerd ?
    -Hoe ,op welke manier, kon dat binnenkomen.
    -Hoe had ik dat kunnen voorkomen ? Wat voor soort en welk prog ?
    Nogmaals bedankt,
    opamax
  • [quote:0485395ab5="opamax"]So far, hartelijk dank voor de genomen moeite. En dan nog:
    -Wat was er nou precies verkeerd ?
    -Hoe , en op welke manier, kon dat binnenkomen.
    -Hoe had ik dat kunnen voorkomen ? Met wat voor soort en welk programma ?
    Nogmaals bedankt,
    opamax[/quote:0485395ab5]

    Je mag alle gebruikte tools en aangemaakte mappen terug verwijderen.

    Verwijder ComboFix via [b:0485395ab5]Start[/b:0485395ab5] > [b:0485395ab5]Uitvoeren[/b:0485395ab5], kopiëer en plak [b:0485395ab5]Combofix /U[/b:0485395ab5] klik op OK of toets Enter.
    Dit verwijdert zowel ComboFix, als je oude systeemherstelpunten (met eventuele restanten van malware), en maakt een nieuw systeemherstelpunt aan.

    [img:0485395ab5]http://hicheckthis.gethost.nl/images/Uninstall_combofix.JPG[/img:0485395ab5]

    Je had een infectie binnengekregen , waarschijnlijk tijdens downloaden van het een of ander. Of tijdens het bezoek van een besmette pagina tijdens het surfen.
    Voorkomen , niet overal maar op klikken en niet alles zo maar accepteren.
    installeer 1 antivirusscanner , gebruik 1 goede firewall ( en zet dan die van windows uit ) doe af en toe eens een online scan.
  • Voorlaatste regel: en ik al menen dat ik voorzichtig was !
    Heb -eigenlijk- geen AV ! Komt omdat er nog een restant zit van TrendMicro. Het is me nog steeds niet gelukt dat weg te krijgen en veroorzaakt heel vaak problemen. Daarom nog geen AV.
    Wordt nu echt tijd om dat stukje TrendMicro weg te werken. Enig idee hoe dat te doen ? Met 'Softeare' lukt het me niet. Is dat overigens een goede AV ? Dan zou ik die opnieuw kunnen installeren. Heb overigens pas Kaspersky versie 7.0 aangeschaft. Omdat die beter zou zijn. Als dat zo is dan moet TrendMicro er dus uit. Wat is jouw gewaardeerd advies ?
  • Waar zie jij dat restje ??


    Probeer dit eens.
    Download en installeer CCleaner
    (De CCLeaner Yahoo Toolbar is niet nodig)

    Start [b:580436a77c]CCleaner[/b:580436a77c]
    Ccleaner biedt je de mogelijkheid om in te stellen wat er opgeschoond moet worden.
    Kies in ieder geval voor de volgende items:
    Internet Explorer:
    - Tijdelijke Internet bestanden
    Systeem:
    - Prullenbak leegmaken
    - Tijdelijke bestanden

    klik nu in Ccleaner op [b:580436a77c]opschonen[/b:580436a77c] (rechts onderaan).
  • Dat restje staat in 'Software', maar ik kan het vandaar niet wissen. Zal TrendMicro nog een opnieuw installeren. Misschien gaat dan na het wissen wel alles weg
  • Heb enkele pogingen gedaan om TrendMicro te installeren. Tijden de install ziet ie ouds spul en vraagt of de PC herstart mag worden en om meteen daarna verder te gaan met de install. En inderdaad na de reboot gaat ie verder met install van TrendMicro tot hetzelfde punt: er is een oude vewrsie; mag ik herstarten en verder gaan. En verder kom ik dus niet. Dus alles (zichtbare) van Trend verwijderd, maar er blijft toch iets achter. Wat kan ik doen om dat zichtbaar -en verwijderbaar- te maken ??
  • Weet ik niet ik zal dat eens navragen.

    Hier staan wat tips
    http://www.gored.nl/installatie-verwijderen.html
  • Kan ik met REGEDIT wissen wat ik er van vind in HOT_KEY…… zonder gevaar ??
  • Hoe bedoel je precies, wat wil je verwijderen

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.