Vraag & Antwoord

Beveiliging & privacy

Geen desktop ikonem meer

Anoniem
Grafcom
9 antwoorden
 • Hallo,

  ik heb een probleem dat er geen ikonen meer op mijn desktop komen. Ook geen taakbalk etc. alleen nog de achtergrond afbeelding.

  Via control alt delete kan ik nog wel e.e.a. opstarten en hierbij de HijackThis log.

  Dit is ontstaan nadat ik via mbam problemen had verwijderd ( zie die log daaronder)

  Kan mij iemand helpen?

  Bij voorbaat dank

  Logfile of Trend Micro HijackThis v2.0.2
  Scan saved at 11:23:34, on 27-2-2009
  Platform: Windows XP SP3 (WinNT 5.01.2600)
  MSIE: Internet Explorer v7.00 (7.00.6000.16762)
  Boot mode: Normal

  Running processes:
  C:\WINDOWS\System32\smss.exe
  C:\WINDOWS\system32\winlogon.exe
  C:\WINDOWS\system32\services.exe
  C:\WINDOWS\system32\lsass.exe
  C:\Program Files\Norman\Npm\Bin\Elogsvc.exe
  C:\Program Files\Norman\Ngs\Bin\Nprosec.exe
  C:\WINDOWS\system32\svchost.exe
  C:\WINDOWS\System32\svchost.exe
  C:\Program Files\Norman\Npm\Bin\Zanda.exe
  C:\Program Files\Norman\npm\bin\nvoy.exe
  C:\Program Files\Norman\npf\bin\npfsvc32.exe
  C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
  C:\WINDOWS\system32\spoolsv.exe
  C:\Program Files\Java\jre6\bin\jqs.exe
  C:\WINDOWS\System32\nvsvc32.exe
  C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
  C:\WINDOWS\System32\svchost.exe
  C:\Program Files\UPHClean\uphclean.exe
  C:\Program Files\Norman\Npm\Bin\Nvcsched.exe
  C:\Program Files\Norman\Npm\Bin\Njeeves.exe
  C:\WINDOWS\System32\svchost.exe
  C:\Program Files\Norman\Nvc\Bin\nvcoas.exe
  C:\WINDOWS\system32\wuauclt.exe
  C:\WINDOWS\system32\taskmgr.exe
  D:\mbam\HijackThis.exe

  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://eu.ixquick.com/ned/
  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
  R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
  F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
  O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
  O2 - BHO: Java™ Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
  O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
  O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
  O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
  O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
  O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
  O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
  O4 - HKLM\..\Run: [SetCacheMode] Rundll32.exe ptipbmf.dll,SetWriteCacheMode
  O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
  O4 - HKLM\..\Run: [Opware12] "C:\Program Files\ScanSoft\OmniPagePro12.0\Opware12.exe"
  O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
  O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
  O4 - HKLM\..\Run: [Norman ZANDA] "C:\Program Files\Norman\Npm\Bin\ZLH.EXE" /LOAD /SPLASH
  O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
  O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\Ad-Watch.exe
  O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] D:\mbam\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
  O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
  O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
  O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
  O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
  O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
  O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
  O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
  O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
  O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
  O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
  O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
  O17 - HKLM\System\CCS\Services\Tcpip\..\{C17F52E8-0B2A-45D4-A22F-613BCAFA2693}: NameServer = 192.168.1.1
  O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
  O23 - Service: Norman eLogger service 6 (eLoggerSvc6) - Norman ASA - C:\Program Files\Norman\Npm\Bin\Elogsvc.exe
  O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
  O23 - Service: Norman NJeeves - Norman ASA - C:\Program Files\Norman\Npm\Bin\Njeeves.exe
  O23 - Service: Norman ZANDA - Norman ASA - C:\Program Files\Norman\Npm\Bin\Zanda.exe
  O23 - Service: Norman Personal Firewall Service (NPFSvc32) - Norman ASA - C:\Program Files\Norman\npf\bin\npfsvc32.exe
  O23 - Service: Norman Security service (NPROSECSVC) - Norman ASA - C:\Program Files\Norman\Ngs\Bin\Nprosec.exe
  O23 - Service: Norman Scanner Engine Service (nsesvc) - Norman ASA - C:\Program Files\Norman\nse\bin\NSESVC.EXE
  O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Program Files\Norman\Nvc\Bin\nvcoas.exe
  O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman ASA - C:\Program Files\Norman\Npm\Bin\Nvcsched.exe
  O23 - Service: Norman's Very Own supplY of resources (NVOY) - Norman ASA - C:\Program Files\Norman\npm\bin\nvoy.exe
  O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
  O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
  O23 - Service: xControlCOM - Siemens - C:\Program Files\Gigaset\talk&surf 5.1\xControlCOM.exe


  End of file - 6442 bytes

  [b:47f724b4a2]MBAM LOG[/b:47f724b4a2]

  Malwarebytes' Anti-Malware 1.34
  Database versie: 1806
  Windows 5.1.2600 Service Pack 3

  26-2-2009 12:59:17
  mbam-log-2009-02-26 (12-59-10).txt

  Scan type: Snelle Scan
  Objecten gescand: 64517
  Verstreken tijd: 3 minute(s), 10 second(s)

  Geheugenprocessen geïnfecteerd: 0
  Geheugenmodulen geïnfecteerd: 0
  Registersleutels geïnfecteerd: 0
  Registerwaarden geïnfecteerd: 1
  Registerdata bestanden geïnfecteerd: 0
  Mappen geïnfecteerd: 1
  Bestanden geïnfecteerd: 0

  Geheugenprocessen geïnfecteerd:
  (Geen kwaadaardige items gevonden)

  Geheugenmodulen geïnfecteerd:
  (Geen kwaadaardige items gevonden)

  Registersleutels geïnfecteerd:
  (Geen kwaadaardige items gevonden)

  Registerwaarden geïnfecteerd:
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> No action taken.

  Registerdata bestanden geïnfecteerd:
  (Geen kwaadaardige items gevonden)

  Mappen geïnfecteerd:
  C:\Program Files\Microsoft Common (Trojan.Agent) -> No action taken.

  Bestanden geïnfecteerd:
  (Geen kwaadaardige items gevonden)
 • Zelf ook nog maar even bezig geweest…..

  [b:121e48813f]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe, [/b:121e48813f]

  Leek me een verdachte…..

  In het regsiter aangepast en het gedeelte "C:\WINDOWS\system32\sdra64.exe" weggehaald. Het bestand (sdra64.exe) stond ook al niet meer op de computer.

  Kon nu met Windows Taakbeheer Explorer opstarten (ging daarvoor niet)
  Had dus nu mijn desktop terug…. echter niet na opnieuw opstarten.

  Maar ik kon nu wel mijn virusscanner etc. uitzetten om Combo Fix te laten draaien…
  Daarna was/lijkt het probleem opgelost….

  Graag toch nog van jullie een reactie of ik nog wat moet doen.

  [b:121e48813f]Als eerste logfile van Combo Fix:[/b:121e48813f]

  ComboFix 09-02-26.02 - eigenaar 2009-02-27 15:17:45.4 - NTFSx86
  Microsoft Windows XP Professional 5.1.2600.3.1252.1.1043.18.511.196 [GMT 1:00]
  Gestart vanuit: c:\documents and settings\eigenaar\Bureaublad\ComboFix.exe
  AV: Norman Security Suite ver. 7.00 *On-access scanning disabled* (Updated)
  FW: Norman Personal Firewall v. 1.4 *disabled*
  FW: Persoonlijke firewall *enabled*
  * Nieuw herstelpunt werd aangemaakt
  .

  (((((((((((((((((((( Bestanden Gemaakt van 2009-01-27 to 2009-02-27 ))))))))))))))))))))))))))))))
  .

  2009-02-27 11:12 . 2004-08-04 01:03 578,560 –a—— c:\windows\system32\user32.dll
  2009-02-27 11:08 . 2009-02-27 11:08 <DIR> dr-h—– c:\documents and settings\eigenaar\Onlangs geopend
  2009-02-26 12:52 . 2009-02-26 12:52 <DIR> d——– c:\documents and settings\eigenaar\Application Data\Malwarebytes
  2009-02-26 12:52 . 2009-02-26 12:52 <DIR> d——– c:\documents and settings\All Users\Application Data\Malwarebytes
  2009-02-26 12:52 . 2009-02-11 10:19 38,496 –a—— c:\windows\system32\drivers\mbamswissarmy.sys
  2009-02-26 12:52 . 2009-02-11 10:19 15,504 –a—— c:\windows\system32\drivers\mbam.sys
  2009-02-25 21:43 . 2009-02-26 13:34 <DIR> d–hs—- c:\windows\system32\lowsec
  2009-01-28 13:41 . 2009-01-28 14:09 <DIR> d–h—– C:\_rpcs

  .
  ((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))
  .
  2009-02-27 14:10 ——— d—–w c:\program files\Norman
  2009-02-22 15:20 ——— d—–w c:\documents and settings\eigenaar\Application Data\AdobeUM
  2009-02-20 09:10 ——— d—a-w c:\documents and settings\All Users\Application Data\TEMP
  2009-02-05 14:56 ——— d—–w c:\program files\SpywareBlaster
  2009-01-14 14:17 ——— d—–w c:\program files\Barcode Maker 5
  2008-09-24 12:08 18,536 —-a-w c:\documents and settings\eigenaar\Application Data\GDIPFONTCACHEV1.DAT
  2008-09-19 19:06 32,768 –sha-w c:\windows\system32\config\systemprofile\Local Settings\Geschiedenis\History.IE5\MSHist012008091920080920\index.dat
  .

  ((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))
  .
  .
  *Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond
  REGEDIT4

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-11-10 136600]
  "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2003-06-05 77824]
  "Opware12"="c:\program files\ScanSoft\OmniPagePro12.0\Opware12.exe" [2002-08-01 49152]
  "NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2003-05-02 4640768]
  "Norman ZANDA"="c:\program files\Norman\Npm\Bin\ZLH.EXE" [2008-06-02 277616]
  "NeroCheck"="c:\windows\System32\NeroCheck.exe" [2001-07-09 155648]
  "Ad-Watch"="c:\program files\Lavasoft\Ad-Aware\Ad-Watch.exe" [2008-06-21 2468200]
  "SoundMan"="SOUNDMAN.EXE" [2002-10-16 c:\windows\SOUNDMAN.EXE]
  "SetCacheMode"="ptipbmf.dll" [2003-01-18 c:\windows\system32\ptipbmf.dll]
  "nwiz"="nwiz.exe" [2003-05-02 c:\windows\system32\nwiz.exe]

  [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
  "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

  c:\documents and settings\All Users\Menu Start\Programma's\Opstarten\
  Acrobat Assistant.lnk - c:\program files\Adobe\Acrobat 6.0\Distillr\acrotray.exe [2003-10-24 217194]
  Adobe Gamma Loader.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2003-06-05 110592]

  [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
  "EnableFirewall"= 0 (0x0)

  [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
  "%windir%\\system32\\sessmgr.exe"=
  "%windir%\\Network Diagnostic\\xpnetdiag.exe"=

  P2 NPFSvc32;Norman Personal Firewall Service;c:\program files\Norman\Npf\Bin\npfsvc32.exe [2008-11-19 597104]
  R0 NDIS_RD;Norman Firewall NDIS driver;c:\windows\system32\drivers\ndis_rd.sys [2008-11-19 79752]
  R1 NPROSEC;Norman Security driver;c:\program files\Norman\Ngs\Bin\nprosec.sys [2008-11-19 53816]
  R1 TDI_RD;Norman Firewall TDI driver;c:\windows\system32\drivers\tdi_rd.sys [2008-11-19 74624]
  R2 Ndiskio;Ndiskio;c:\program files\Norman\Nse\Bin\Ndiskio.sys [2008-11-19 20448]
  R2 NPROSECSVC;Norman Security service;c:\program files\Norman\Ngs\Bin\nprosec.exe [2008-11-19 121912]
  R2 NVOY;Norman's Very Own supplY of resources;c:\program files\Norman\Npm\Bin\nvoy.exe [2008-11-19 121912]
  R3 Gigusb;Dect USB Driver;c:\windows\system32\drivers\Gigusb.sys [2003-06-04 59070]
  R3 HRCMPA;ISDN Wan driver (Ver. 1.10.0021);c:\windows\system32\drivers\hrcmpa.sys [2003-06-04 253648]
  R3 IUAPIWDM;ISDN USB Interface (Ver. 1.10.0021);c:\windows\system32\drivers\IUAPIWDM.sys [2003-06-04 49344]
  R3 nsesvc;Norman Scanner Engine Service;c:\program files\Norman\Nse\Bin\Nsesvc.exe [2009-01-28 183352]
  R3 NvcMFlt;NvcMFlt;c:\windows\system32\drivers\nvcw32mf.sys [2008-11-19 19512]
  R3 nvcoas;Norman Virus Control on-access component;c:\program files\Norman\nvc\bin\Nvcoas.exe [2008-11-19 191544]
  R3 NVCScheduler;Norman Virus Control Scheduler;c:\program files\Norman\Npm\Bin\nvcsched.exe [2008-11-19 154680]
  R3 siellif;siellif;c:\windows\system32\drivers\siellif.sys [2003-06-04 115856]
  S1 smnstrns;smnstrns;\SystemRoot\System\smnstrns.sys –> \SystemRoot\System\smnstrns.sys [?]
  S3 FCUSB;Freecom Cable II USB Driver;c:\windows\system32\drivers\FCUSB.sys [2001-11-29 13104]
  S3 Ndisprot;ArcNet NDIS Protocol Driver;\??\c:\windows\system32\drivers\Ndisprot.sys –> c:\windows\system32\drivers\Ndisprot.sys [?]
  S3 PfsTape;1Vision Tape Drive;c:\windows\system32\DRIVERS\PfsTape.sys –> c:\windows\system32\DRIVERS\PfsTape.sys [?]
  S3 sc2k;sc2k;c:\windows\system32\drivers\sc2k.sys [2004-02-08 21536]
  S3 scsiscan;Stuurprogramma voor SCSI-scanner;c:\windows\system32\drivers\scsiscan.sys [2003-06-05 11520]
  S3 xControlCOM;xControlCOM;c:\program files\Gigaset\talk&surf 5.1\xControlCOM.exe [2003-01-24 339968]

  — Andere Services/Drivers In Geheugen —

  *NewlyCreated* - AD-WATCH_REGISTRY_FILTER
  *Deregistered* - Ad-Watch Registry Filter
  *Deregistered* - mchInjDrv
  *Deregistered* - uphcleanhlp

  [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8cc8dbea-d4cb-11dd-9166-000475e2861c}]
  \Shell\AutoRun\command - I:\LaunchU3.exe -a
  .
  .
  ——- Bijkomende Scan ——-
  .
  uStart Page = hxxp://eu.ixquick.com/ned/
  IE: E&xporteren naar Microsoft Excel - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
  TCP: {C17F52E8-0B2A-45D4-A22F-613BCAFA2693} = 192.168.1.1
  DPF: DirectAnimation Java Classes
  DPF: Microsoft XML Parser for Java
  .

  **************************************************************************

  catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
  Rootkit scan 2009-02-27 15:20:24
  Windows 5.1.2600 Service Pack 3 NTFS

  scannen van verborgen processen …

  scannen van verborgen autostart items …

  scannen van verborgen bestanden …

  Scan succesvol afgerond
  verborgen bestanden: 0

  **************************************************************************
  .
  Voltooingstijd: 2009-02-27 15:22:28
  ComboFix-quarantined-files.txt 2009-02-27 14:22:24

  Pre-Run: 36.699.316.224 bytes beschikbaar
  Post-Run: 36,689,227,776 bytes beschikbaar

  109 — E O F — 2008-06-21 17:41:40

  [b:121e48813f]Hierna nog een scan gedaan met MBAM[/b:121e48813f]

  Malwarebytes' Anti-Malware 1.34
  Database versie: 1806
  Windows 5.1.2600 Service Pack 3

  27-2-2009 16:10:49
  mbam-log-2009-02-27 (16-10-49).txt

  Scan type: Snelle Scan
  Objecten gescand: 64227
  Verstreken tijd: 3 minute(s), 43 second(s)

  Geheugenprocessen geïnfecteerd: 0
  Geheugenmodulen geïnfecteerd: 0
  Registersleutels geïnfecteerd: 0
  Registerwaarden geïnfecteerd: 0
  Registerdata bestanden geïnfecteerd: 0
  Mappen geïnfecteerd: 0
  Bestanden geïnfecteerd: 0

  Geheugenprocessen geïnfecteerd:
  (Geen kwaadaardige items gevonden)

  Geheugenmodulen geïnfecteerd:
  (Geen kwaadaardige items gevonden)

  Registersleutels geïnfecteerd:
  (Geen kwaadaardige items gevonden)

  Registerwaarden geïnfecteerd:
  (Geen kwaadaardige items gevonden)

  Registerdata bestanden geïnfecteerd:
  (Geen kwaadaardige items gevonden)

  Mappen geïnfecteerd:
  (Geen kwaadaardige items gevonden)

  Bestanden geïnfecteerd:
  (Geen kwaadaardige items gevonden)

  [b:121e48813f]Als laatste nogmaals een hijackthis.log[/b:121e48813f]

  Logfile of Trend Micro HijackThis v2.0.2
  Scan saved at 16:19:05, on 27-2-2009
  Platform: Windows XP SP3 (WinNT 5.01.2600)
  MSIE: Internet Explorer v7.00 (7.00.6000.16762)
  Boot mode: Normal

  Running processes:
  C:\WINDOWS\System32\smss.exe
  C:\WINDOWS\system32\csrss.exe
  C:\WINDOWS\system32\winlogon.exe
  C:\WINDOWS\system32\services.exe
  C:\WINDOWS\system32\lsass.exe
  C:\Program Files\Norman\Npm\Bin\Elogsvc.exe
  C:\Program Files\Norman\Ngs\Bin\Nprosec.exe
  C:\WINDOWS\system32\svchost.exe
  C:\WINDOWS\system32\svchost.exe
  C:\WINDOWS\System32\svchost.exe
  C:\Program Files\Norman\Npm\Bin\Zanda.exe
  C:\Program Files\Norman\npm\bin\nvoy.exe
  C:\WINDOWS\System32\svchost.exe
  C:\WINDOWS\system32\svchost.exe
  C:\Program Files\Norman\npf\bin\npfsvc32.exe
  C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
  C:\WINDOWS\system32\spoolsv.exe
  C:\WINDOWS\Explorer.EXE
  C:\Program Files\Java\jre6\bin\jusched.exe
  C:\WINDOWS\SOUNDMAN.EXE
  C:\Program Files\QuickTime\qttask.exe
  C:\Program Files\ScanSoft\OmniPagePro12.0\Opware12.exe
  C:\Program Files\Norman\Npm\Bin\ZLH.EXE
  C:\Program Files\Java\jre6\bin\jqs.exe
  C:\WINDOWS\System32\nvsvc32.exe
  C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
  C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
  C:\WINDOWS\System32\svchost.exe
  C:\Program Files\UPHClean\uphclean.exe
  C:\Program Files\Lavasoft\Ad-Aware\Ad-Watch.exe
  C:\Program Files\Norman\Npm\Bin\Nvcsched.exe
  C:\Program Files\Norman\Npm\Bin\Njeeves.exe
  C:\Program Files\Norman\nse\bin\NSESVC.EXE
  C:\WINDOWS\System32\alg.exe
  C:\WINDOWS\System32\svchost.exe
  C:\Program Files\Norman\Nvc\Bin\nvcoas.exe
  C:\Program Files\Norman\Nvc\Bin\Nip.exe
  C:\Program Files\Norman\Nvc\Bin\cclaw.exe
  C:\WINDOWS\system32\wuauclt.exe
  C:\Program Files\Norman\npf\bin\npfuser.exe
  D:\mbam\HijackThis.exe
  C:\WINDOWS\System32\wbem\wmiprvse.exe

  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://eu.ixquick.com/ned/
  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
  R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
  O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
  O2 - BHO: Java™ Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
  O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
  O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
  O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
  O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
  O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
  O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
  O4 - HKLM\..\Run: [SetCacheMode] Rundll32.exe ptipbmf.dll,SetWriteCacheMode
  O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
  O4 - HKLM\..\Run: [Opware12] "C:\Program Files\ScanSoft\OmniPagePro12.0\Opware12.exe"
  O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
  O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
  O4 - HKLM\..\Run: [Norman ZANDA] "C:\Program Files\Norman\Npm\Bin\ZLH.EXE" /LOAD /SPLASH
  O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
  O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\Ad-Watch.exe
  O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
  O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
  O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
  O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
  O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
  O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
  O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
  O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
  O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
  O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
  O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
  O17 - HKLM\System\CCS\Services\Tcpip\..\{C17F52E8-0B2A-45D4-A22F-613BCAFA2693}: NameServer = 192.168.1.1
  O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
  O23 - Service: Norman eLogger service 6 (eLoggerSvc6) - Norman ASA - C:\Program Files\Norman\Npm\Bin\Elogsvc.exe
  O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
  O23 - Service: Norman NJeeves - Norman ASA - C:\Program Files\Norman\Npm\Bin\Njeeves.exe
  O23 - Service: Norman ZANDA - Norman ASA - C:\Program Files\Norman\Npm\Bin\Zanda.exe
  O23 - Service: Norman Personal Firewall Service (NPFSvc32) - Norman ASA - C:\Program Files\Norman\npf\bin\npfsvc32.exe
  O23 - Service: Norman Security service (NPROSECSVC) - Norman ASA - C:\Program Files\Norman\Ngs\Bin\Nprosec.exe
  O23 - Service: Norman Scanner Engine Service (nsesvc) - Norman ASA - C:\Program Files\Norman\nse\bin\NSESVC.EXE
  O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Program Files\Norman\Nvc\Bin\nvcoas.exe
  O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman ASA - C:\Program Files\Norman\Npm\Bin\Nvcsched.exe
  O23 - Service: Norman's Very Own supplY of resources (NVOY) - Norman ASA - C:\Program Files\Norman\npm\bin\nvoy.exe
  O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
  O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
  O23 - Service: xControlCOM - Siemens - C:\Program Files\Gigaset\talk&surf 5.1\xControlCOM.exe


  End of file - 6905 bytes

  Is er nog iets dat ik moet doen?

  Bij voorbaat dank
 • Misschien iets te simpel, maar toch…
  Heb je al wel met rechts geklikt op je bureaublad en bij 'Beeld' gekozen voor "Bureaublad pictogrammen weergeven"?
 • [quote:4839b8a04f="gerardb"]Misschien iets te simpel, maar toch…
  Heb je al wel met rechts geklikt op je bureaublad en bij 'Beeld' gekozen voor "Bureaublad pictogrammen weergeven"?[/quote:4839b8a04f]

  Uiteraard, maar dat werkte dus niet.
 • Ik was op vakantie in Duitsland, vandaar dat ik niet kon reageren.


  Het is verstandig om in het vervolg wat minder zelfstandig te werk te gaan.
  In dit geval was het bestand inderdaad Malware, dus daar heb je wel goed aan gedaan maar het kon ook heel anders uitpakken.


  Download Flash_Disinfector.exe en plaats hem op je bureaublad: http://download.bleepingcomputer.com/sUBs/Flash_Disinfector.exe
  Zorg dat de flasdrives / usbsticks / externe harde schijven ook ingestoken zijn.
  Dubbelklik op Flash_Disinfector.exe om de tool te starten.
  Als de tool klaar is, zal de computer opnieuw starten.  Open een kladblokbestand.
  Kopieer de onderstaande code, en plak deze in het kladblokbestand.

 • Hallo Othuroyo

  dank voor je reactie!

  Dit Flash_Disinfector.exe gestart maar de computer start niet opnieuw op :?

  De txt file met jouw inhoud naar Combo fix gesleept.

  Hierbij de logfile:

  ComboFix 09-02-28.01 - eigenaar 2009-03-01 17:49:33.6 - NTFSx86
  Microsoft Windows XP Professional 5.1.2600.3.1252.1.1043.18.511.221 [GMT 1:00]
  Gestart vanuit: c:\documents and settings\eigenaar\Bureaublad\ComboFix.exe
  gebruikte Opdracht switches :: c:\documents and settings\eigenaar\Bureaublad\CFScript.txt
  AV: Norman Security Suite ver. 7.00 *On-access scanning disabled* (Updated)
  FW: Norman Personal Firewall v. 1.4 *disabled*
  FW: Persoonlijke firewall *disabled*
  * Nieuw herstelpunt werd aangemaakt
  .

  (((((((((((((((((((( Bestanden Gemaakt van 2009-02-01 to 2009-03-01 ))))))))))))))))))))))))))))))
  .

  2009-02-27 20:50 . 2009-03-01 17:48 <DIR> dr-h—– c:\documents and settings\eigenaar\Onlangs geopend
  2009-02-27 11:12 . 2004-08-04 01:03 578,560 –a—— c:\windows\system32\user32.dll
  2009-02-25 21:43 . 2009-02-26 13:34 <DIR> d–hs—- c:\windows\system32\lowsec

  .
  ((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))
  .
  2009-03-01 07:27 ——— d—–w c:\program files\Norman
  2009-02-27 16:21 ——— d—a-w c:\documents and settings\All Users\Application Data\TEMP
  2009-02-22 15:20 ——— d—–w c:\documents and settings\eigenaar\Application Data\AdobeUM
  2009-02-05 14:56 ——— d—–w c:\program files\SpywareBlaster
  2009-01-22 11:41 19,512 —-a-w c:\windows\system32\drivers\nvcw32mf.sys
  2009-01-14 14:17 ——— d—–w c:\program files\Barcode Maker 5
  2008-12-20 23:03 826,368 —-a-w c:\windows\system32\wininet.dll
  2008-09-24 12:08 18,536 —-a-w c:\documents and settings\eigenaar\Application Data\GDIPFONTCACHEV1.DAT
  2008-09-19 19:06 32,768 –sha-w c:\windows\system32\config\systemprofile\Local Settings\Geschiedenis\History.IE5\MSHist012008091920080920\index.dat
  .

  ((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))
  .
  .
  *Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond
  REGEDIT4

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-11-10 136600]
  "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2003-06-05 77824]
  "Opware12"="c:\program files\ScanSoft\OmniPagePro12.0\Opware12.exe" [2002-08-01 49152]
  "NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2003-05-02 4640768]
  "Norman ZANDA"="c:\program files\Norman\Npm\Bin\ZLH.EXE" [2009-02-11 187504]
  "NeroCheck"="c:\windows\System32\NeroCheck.exe" [2001-07-09 155648]
  "Ad-Watch"="c:\program files\Lavasoft\Ad-Aware\Ad-Watch.exe" [2008-06-21 2468200]
  "SoundMan"="SOUNDMAN.EXE" [2002-10-16 c:\windows\SOUNDMAN.EXE]
  "SetCacheMode"="ptipbmf.dll" [2003-01-18 c:\windows\system32\ptipbmf.dll]
  "nwiz"="nwiz.exe" [2003-05-02 c:\windows\system32\nwiz.exe]

  [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
  "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

  c:\documents and settings\All Users\Menu Start\Programma's\Opstarten\
  Acrobat Assistant.lnk - c:\program files\Adobe\Acrobat 6.0\Distillr\acrotray.exe [2003-10-24 217194]
  Adobe Gamma Loader.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2003-06-05 110592]

  [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
  "EnableFirewall"= 0 (0x0)

  [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
  "%windir%\\system32\\sessmgr.exe"=
  "%windir%\\Network Diagnostic\\xpnetdiag.exe"=

  P2 NPFSvc32;Norman Personal Firewall Service;c:\program files\Norman\Npf\Bin\npfsvc32.exe [2008-11-19 597104]
  R0 NDIS_RD;Norman Firewall NDIS driver;c:\windows\system32\drivers\ndis_rd.sys [2008-11-19 79752]
  R1 NPROSEC;Norman Security driver;c:\program files\Norman\Ngs\Bin\nprosec.sys [2008-11-19 53816]
  R1 TDI_RD;Norman Firewall TDI driver;c:\windows\system32\drivers\tdi_rd.sys [2008-11-19 74624]
  R2 Ndiskio;Ndiskio;c:\program files\Norman\Nse\Bin\Ndiskio.sys [2008-11-19 20448]
  R2 NPROSECSVC;Norman Security service;c:\program files\Norman\Ngs\Bin\nprosec.exe [2008-11-19 121912]
  R2 NVOY;Norman Resource Provider;c:\program files\Norman\Npm\Bin\nvoy.exe [2008-11-19 126008]
  R3 Gigusb;Dect USB Driver;c:\windows\system32\drivers\Gigusb.sys [2003-06-04 59070]
  R3 HRCMPA;ISDN Wan driver (Ver. 1.10.0021);c:\windows\system32\drivers\hrcmpa.sys [2003-06-04 253648]
  R3 IUAPIWDM;ISDN USB Interface (Ver. 1.10.0021);c:\windows\system32\drivers\IUAPIWDM.sys [2003-06-04 49344]
  R3 nsesvc;Norman Scanner Engine Service;c:\program files\Norman\Nse\Bin\Nsesvc.exe [2009-01-28 183352]
  R3 NvcMFlt;NvcMFlt;c:\windows\system32\drivers\nvcw32mf.sys [2008-11-19 19512]
  R3 nvcoas;Norman Virus Control on-access component;c:\program files\Norman\nvc\bin\Nvcoas.exe [2008-11-19 195640]
  R3 NVCScheduler;Norman Virus Control Scheduler;c:\program files\Norman\Npm\Bin\nvcsched.exe [2008-11-19 154680]
  R3 siellif;siellif;c:\windows\system32\drivers\siellif.sys [2003-06-04 115856]
  S1 NGS;Norman General Security Driver;c:\program files\Norman\Ngs\Bin\ngs.sys [2009-02-27 22712]
  S1 smnstrns;smnstrns;\SystemRoot\System\smnstrns.sys –> \SystemRoot\System\smnstrns.sys [?]
  S3 FCUSB;Freecom Cable II USB Driver;c:\windows\system32\drivers\FCUSB.sys [2001-11-29 13104]
  S3 Ndisprot;ArcNet NDIS Protocol Driver;\??\c:\windows\system32\drivers\Ndisprot.sys –> c:\windows\system32\drivers\Ndisprot.sys [?]
  S3 PfsTape;1Vision Tape Drive;c:\windows\system32\DRIVERS\PfsTape.sys –> c:\windows\system32\DRIVERS\PfsTape.sys [?]
  S3 sc2k;sc2k;c:\windows\system32\drivers\sc2k.sys [2004-02-08 21536]
  S3 scsiscan;Stuurprogramma voor SCSI-scanner;c:\windows\system32\drivers\scsiscan.sys [2003-06-05 11520]
  S3 xControlCOM;xControlCOM;c:\program files\Gigaset\talk&surf 5.1\xControlCOM.exe [2003-01-24 339968]

  — Andere Services/Drivers In Geheugen —

  *NewlyCreated* - AD-WATCH_REAL-TIME_SCANNER
  *NewlyCreated* - AD-WATCH_REGISTRY_FILTER
  *Deregistered* - mchInjDrv
  *Deregistered* - uphcleanhlp
  .
  .
  ——- Bijkomende Scan ——-
  .
  uStart Page = hxxp://eu.ixquick.com/ned/
  IE: E&xporteren naar Microsoft Excel - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
  TCP: {C17F52E8-0B2A-45D4-A22F-613BCAFA2693} = 192.168.1.1
  DPF: DirectAnimation Java Classes
  DPF: Microsoft XML Parser for Java
  .

  **************************************************************************

  catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
  Rootkit scan 2009-03-01 17:52:09
  Windows 5.1.2600 Service Pack 3 NTFS

  scannen van verborgen processen …

  scannen van verborgen autostart items …

  scannen van verborgen bestanden …

  Scan succesvol afgerond
  verborgen bestanden: 0

  **************************************************************************
  .
  Voltooingstijd: 2009-03-01 17:54:14
  ComboFix-quarantined-files.txt 2009-03-01 16:54:10
  ComboFix2.txt 2009-03-01 16:45:16

  Pre-Run: 36.437.508.096 bytes beschikbaar
  Post-Run: 36,418,564,096 bytes beschikbaar

  107 — E O F — 2008-06-21 17:41:40
 • Zijn er nog problemen?
 • Hallo Othuroyo,

  zover ik zie niet. De desktop doet het nog steeds.

  Als dit verder goed is, hoe verwijder ik Combo fix en Flash_Disinfector?

  Dank voor je hulp.

  groet,
  Grafcom
 • Download ATF cleaner (mirror)(gemaakt door Atribune)

  Belangrijk: Sluit al je browservensters(IE en/of Firefox en/of Opera) om de tool goed te kunnen laten werken.

  Dubbelklik op

  ATF cleaner om het programma te starten.
  Op het tabblad Main, plaats je een vinkje bij Select All.
  Klik op de knop Empty Selected.

  Het volgende doen als je ook FireFox als browser hebt:

  Klik op tabblad Firefox, plaats een vinkje bij Select All.
  Wil je de door Firefox opgeslagen wachtwoorden behouden, dan klik je in het venster dat verschijnt op No.
  (dit haalt het vinkje weer weg bij Firefox saved passwords)
  Klik op de knop Empty Selected.

  Het volgende doen als je ook Opera als browser hebt:

  Klik op tabblad Opera, plaats een vinkje bij Select All.
  Wil je de door Opera opgeslagen wachtwoorden behouden, dan klik je in het venster dat verschijnt op No.
  Klik op de knop Empty Selected.
  Ga naar het tabblad Main en klik op de knop Exit om het programma af te sluiten.3. Je mag alle gebruikte tools en aangemaakte mappen terug verwijderen.(Denk eraan Combofix verwijderen doormiddel van start->uitvoeren [b:66a50f0d24]ComboFix /U[/b:66a50f0d24] typen en op enter drukken!!)


  - Ga naar Start/Alle programma's/Bureau-accessoires/Systeemwerkset/Systeemherstel.
  - Klik in de linkerhelft van het venster op "Instellingen van systeemherstel".
  - Zet een vinkje voor "Systeemherstel uitschakelen".
  - Klik "Toepassen".
  - Windows vraagt of je dat zeker weet.
  - Klik "Ja".
  - Klik "OK".
  - Start de pc opnieuw op.
  - Ga weer naar Start/Alle programma's/Bureau-accessoires/Systeemwerkset/Systeemherstel.
  - Je krijgt de melding: "Systeemherstel is uitgeschakeld. Wilt u systeemherstel nu inschakelen?"
  - Klik "Ja".
  - Verwijder het vinkje voor "Systeemherstel uitschakelen".
  - Klik "Toepassen".
  - Klik "OK".
  - Start de pc opnieuw op
  - Er is nu een nieuw schoon herstel punt aangemaakt


  Flash Disinfector verwijder je door gewoon de bestanden en mappen ervan te verwijderen.

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.