Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

Problemen met verschillende W32 typen virussen.

None
30 antwoorden
  • Sinds een paar dagen meldt mijn virus scanner regelmatig het een of ander W32 virus. Die worden in de regel in quarantaine gezet. Maar omdat het steeds terugkomt zou ik willen verzoeken naar mijn Hijacthis.log file te kijken. Hier volgt die en alvast bedankt.

    Logfile of HijackThis v1.99.1
    Scan saved at 7:28:20 PM, on 10-Jun-09
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    E:\WINNT\System32\smss.exe
    E:\WINNT\system32\winlogon.exe
    E:\WINNT\system32\services.exe
    E:\WINNT\system32\lsass.exe
    E:\WINNT\system32\svchost.exe
    E:\WINNT\System32\svchost.exe
    E:\WINNT\system32\spoolsv.exe
    E:\WINNT\Explorer.EXE
    E:\WINNT\system32\VTTimer.exe
    E:\WINNT\system32\VTtrayp.exe
    E:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
    E:\WINNT\SOUNDMAN.EXE
    E:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe
    E:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe
    E:\WINNT\system32\oodtray.exe
    E:\Program Files\HighCriteria\TotalRecorder\TotRecSched.exe
    E:\Program Files\Lexmark 2300 Series\lxcgmon.exe
    E:\Program Files\Lexmark 2300 Series\ezprint.exe
    E:\Program Files\FRISK Software\F-PROT Antivirus for Windows\FProtTray.exe
    E:\Program Files\Registry Mechanic\RegMech.exe
    E:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
    E:\WINNT\system32\ctfmon.exe
    E:\WINNT\system32\cisvc.exe
    E:\Program Files\FRISK Software\F-PROT Antivirus for Windows\FPAVServer.exe
    E:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    E:\WINNT\system32\svchost.exe
    E:\WINNT\system32\mspmspsv.exe
    E:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    E:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
    E:\WINNT\system32\lxcgcoms.exe
    E:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
    E:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    E:\WINNT\system32\wscntfy.exe
    E:\WINNT\system32\cidaemon.exe
    E:\WINNT\System32\svchost.exe
    D:\Utilities\Hijjackthis\HIJACKTH.EXE

    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
    O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
    O4 - HKLM\..\Run: [PKWARE Certificate Proxy Client] E:\PROGRA~1\PKWARE\PKZIPW\pkpcsr.exe
    O4 - HKLM\..\Run: [ISUSPM Startup] E:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
    O4 - HKLM\..\Run: [ISUSScheduler] "E:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [AcronisTimounterMonitor] E:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe
    O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "E:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe"
    O4 - HKLM\..\Run: [OODefragTray] E:\WINNT\system32\oodtray.exe
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [TotalRecorderScheduler] "E:\Program Files\HighCriteria\TotalRecorder\TotRecSched.exe"
    O4 - HKLM\..\Run: [LXCGCATS] rundll32 E:\WINNT\System32\spool\DRIVERS\W32X86\3\LXCGtime.dll,_RunDLLEntry@16
    O4 - HKLM\..\Run: [lxcgmon.exe] "E:\Program Files\Lexmark 2300 Series\lxcgmon.exe"
    O4 - HKLM\..\Run: [EzPrint] "E:\Program Files\Lexmark 2300 Series\ezprint.exe"
    O4 - HKLM\..\Run: [FaxCenterServer] "E:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
    O4 - HKLM\..\Run: [F-PROT Antivirus Tray application] E:\Program Files\FRISK Software\F-PROT Antivirus for Windows\FProtTray.exe
    O4 - HKCU\..\Run: [RegistryMechanic] E:\Program Files\Registry Mechanic\RegMech.exe /H
    O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "E:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
    O4 - HKCU\..\Run: [MSMSGS] "E:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINNT\system32\ctfmon.exe
    O4 - HKCU\..\Run: [12CFG914-K641-26SF-N32P] C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0851\vse432.exe
    O4 - Startup: Shortcut to TCLOCKEX.EXE.lnk = D:\Utilities\TCLOCK\TCLOCKEX.EXE
    O4 - Startup: Start Firewall.lnk = E:\WINNT\system32
    et.exe
    O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNxmk570YYMZ
    O8 - Extra context menu item: Download with Xilisoft YouTube Video Converter - E:\Program Files\Xilisoft\YouTube Video Converter\upod_link.HTM
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei-4/SmileyCentralInitialSetup1.0.1.1.cab
    O23 - Service: Windows Network Data Management System Service (BNDMSS) - Unknown owner - C:\WINDOWS\system32\bndmss.exe (file missing)
    O23 - Service: F-PROT Antivirus for Windows system (FPAVServer) - FRISK Software International - E:\Program Files\FRISK Software\F-PROT Antivirus for Windows\FPAVServer.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - E:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    O23 - Service: lxcg_device - - E:\WINNT\system32\lxcgcoms.exe
    O23 - Service: NBService - Nero AG - E:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
    O23 - Service: NMIndexingService - Nero AG - E:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe

    MVG perloc
  • Kan je het niet oplossen met Malwarebytes ?
    http://www.malwarebytes.org/mbam.php
  • Ik zou bv eerst eens een nieuwe versie van Hijackthis gebruiken, deze is stokoud.

    Ten tweede mis ik een aantal elementen in de logfile, bv die van de browser die je gebruikt.
  • Eddy X: ik heb mbam gedraaid in de quick mode en hij heeft 4 virussen gevonden en verwijderd. Een complete draai duurt op dit moment te lang en zal ik later op de avond starten.

    Edouard: ik heb de nieuwste (denk ik) versie van hijackthis gedownload en een uitdraai gemaakt. Hier is de log file:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 10:12:25 PM, on 11-Jun-09
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    E:\WINNT\System32\smss.exe
    E:\WINNT\system32\winlogon.exe
    E:\WINNT\system32\services.exe
    E:\WINNT\system32\savedump.exe
    E:\WINNT\system32\lsass.exe
    E:\WINNT\system32\svchost.exe
    E:\WINNT\System32\svchost.exe
    E:\WINNT\system32\spoolsv.exe
    E:\WINNT\Explorer.EXE
    E:\WINNT\system32\VTTimer.exe
    E:\WINNT\system32\VTtrayp.exe
    E:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
    E:\WINNT\SOUNDMAN.EXE
    E:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe
    E:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe
    E:\WINNT\system32\oodtray.exe
    E:\Program Files\HighCriteria\TotalRecorder\TotRecSched.exe
    E:\Program Files\Lexmark 2300 Series\lxcgmon.exe
    E:\Program Files\Lexmark 2300 Series\ezprint.exe
    E:\Program Files\FRISK Software\F-PROT Antivirus for Windows\FProtTray.exe
    E:\Program Files\Registry Mechanic\RegMech.exe
    E:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
    E:\WINNT\system32\ctfmon.exe
    E:\WINNT\system32\cisvc.exe
    E:\Program Files\FRISK Software\F-PROT Antivirus for Windows\FPAVServer.exe
    E:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    E:\WINNT\system32\svchost.exe
    E:\WINNT\system32\mspmspsv.exe
    E:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    E:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
    E:\WINNT\system32\lxcgcoms.exe
    E:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
    E:\WINNT\system32\wscntfy.exe
    E:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\WINDOWS\system32\bndmss.exe
    E:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
    O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
    O4 - HKLM\..\Run: [PKWARE Certificate Proxy Client] E:\PROGRA~1\PKWARE\PKZIPW\pkpcsr.exe
    O4 - HKLM\..\Run: [ISUSPM Startup] E:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
    O4 - HKLM\..\Run: [ISUSScheduler] "E:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [AcronisTimounterMonitor] E:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe
    O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "E:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe"
    O4 - HKLM\..\Run: [OODefragTray] E:\WINNT\system32\oodtray.exe
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [TotalRecorderScheduler] "E:\Program Files\HighCriteria\TotalRecorder\TotRecSched.exe"
    O4 - HKLM\..\Run: [LXCGCATS] rundll32 E:\WINNT\System32\spool\DRIVERS\W32X86\3\LXCGtime.dll,_RunDLLEntry@16
    O4 - HKLM\..\Run: [lxcgmon.exe] "E:\Program Files\Lexmark 2300 Series\lxcgmon.exe"
    O4 - HKLM\..\Run: [EzPrint] "E:\Program Files\Lexmark 2300 Series\ezprint.exe"
    O4 - HKLM\..\Run: [FaxCenterServer] "E:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
    O4 - HKLM\..\Run: [F-PROT Antivirus Tray application] E:\Program Files\FRISK Software\F-PROT Antivirus for Windows\FProtTray.exe
    O4 - HKCU\..\Run: [RegistryMechanic] E:\Program Files\Registry Mechanic\RegMech.exe /H
    O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "E:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
    O4 - HKCU\..\Run: [MSMSGS] "E:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINNT\system32\ctfmon.exe
    O4 - HKCU\..\Run: [12CFG914-K641-26SF-N32P] C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0851\vse432.exe
    O4 - HKUS\S-1-5-19\..\Run: [internat.exe] internat.exe (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-19\..\RunOnce: [^SetupICWDesktop] E:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-20\..\Run: [internat.exe] internat.exe (User 'NETWORK SERVICE')
    O4 - HKUS\S-1-5-20\..\RunOnce: [^SetupICWDesktop] E:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'NETWORK SERVICE')
    O4 - HKUS\S-1-5-21-1801674531-1177238915-839522115-501\..\Run: [internat.exe] internat.exe (User 'Guest')
    O4 - HKUS\S-1-5-18\..\Run: [internat.exe] internat.exe (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\RunOnce: [^SetupICWDesktop] E:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] E:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
    O4 - Startup: Shortcut to TCLOCKEX.EXE.lnk = D:\Utilities\TCLOCK\TCLOCKEX.EXE
    O4 - Startup: Start Firewall.lnk = E:\WINNT\system32
    et.exe
    O8 - Extra context menu item: Download with Xilisoft YouTube Video Converter - E:\Program Files\Xilisoft\YouTube Video Converter\upod_link.HTM
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe
    O23 - Service: Windows Network Data Management System Service (BNDMSS) - Unknown owner - C:\WINDOWS\system32\bndmss.exe
    O23 - Service: F-PROT Antivirus for Windows system (FPAVServer) - FRISK Software International - E:\Program Files\FRISK Software\F-PROT Antivirus for Windows\FPAVServer.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - E:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    O23 - Service: lxcg_device - - E:\WINNT\system32\lxcgcoms.exe
    O23 - Service: NBService - Nero AG - E:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
    O23 - Service: NMIndexingService - Nero AG - E:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe


    End of file - 6593 bytes

    Alvast dank voor een "survey"!

    MVG perloc
  • Ik zie nu niets bijzonders meer, alleen deze

    [b:4062e02416]O23 - Service: Windows Network Data Management System Service (BNDMSS) - Unknown owner - C:\WINDOWS\system32\bndmss.exe [/b:4062e02416]

    was in de vorige logfile anders, daar stond [b:4062e02416]file missing[/b:4062e02416], waarschijnlijk opgelost door MBam.

    Kijk het even aan.
  • Gisteravond voor het naar bed gaan Mbam nog een keer gestart voor een volledige scan. Heeft er nog 3 gevonden waarvan 2 gedelete en de laatste zou na een reboot weg moeten zijn.
    Bovendien had F-prot gisteren ook die vermaledijde bndmess.exe gevonden in de win32 folder. Die heb ik handmatig verwijderd. Vanmorgen f-prot opnieuw gedraaid voor het hele systeem. Heeft nog 1 W32 gevonden en geparkeerd (in quarantaine).
    Zal eens kijken of het nu opgelost is.

    Hartelijk dank.
    perloc
  • Dan deze

    http://www.baidumsg.com/Howtoremove/Howtoremove_67786.html

    Opnieuw een Hijackthis draaien na bovengenoemde aktie en eventueel
    die O23 verwijderen met fix.
  • En deze is ook nuttig

    http://greatis.com/appdata/d/b/bndmss.exe.htm
  • Ik geloof dat ik hem kwijt ben. Mijn computer is weer op normale snelheid.
    Ik heb het lijstje uit je eerste link op twee punten afgewerkt. Punt 4 en punt 6 daar wist ik geen raad mee. Hoe kan ik (pnt 6) alle files geinfecteerd door bndmss deleten? Dat kan alleen met een virus-scanner.
    Na de hele sessie was bndmss weer vrolijk terug. Die was te vinden in mijn W98 partitie in system32. Zonder meer was die niet te deleten maar met de onvolprezen Killbox lukte dat wel. Ook in mijn WinXP partitie in \winnt\prefect stond een prefect naar bndmss. Die heb ik ook ge-delete. Daarna nog een keer het register nagezocht waar die ook een paar keer weer instond en daar ook ge-delete en toen leek, na een reboot de computer weer schoon want reageerde zoals voorheen. Dus aanmerkelijk sneller. We zullen zien of het nu schoon is.

    Hier is de Hijackthis log file:
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 7:57:17 PM, on 12-Jun-09
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    E:\WINNT\System32\smss.exe
    E:\WINNT\system32\winlogon.exe
    E:\WINNT\system32\services.exe
    E:\WINNT\system32\lsass.exe
    E:\WINNT\system32\svchost.exe
    E:\WINNT\System32\svchost.exe
    E:\WINNT\system32\spoolsv.exe
    E:\WINNT\Explorer.EXE
    E:\WINNT\system32\VTTimer.exe
    E:\WINNT\system32\VTtrayp.exe
    E:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
    E:\WINNT\SOUNDMAN.EXE
    E:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe
    E:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe
    E:\WINNT\system32\oodtray.exe
    E:\Program Files\HighCriteria\TotalRecorder\TotRecSched.exe
    E:\Program Files\Lexmark 2300 Series\lxcgmon.exe
    E:\Program Files\Lexmark 2300 Series\ezprint.exe
    E:\Program Files\FRISK Software\F-PROT Antivirus for Windows\FProtTray.exe
    E:\Program Files\Registry Mechanic\RegMech.exe
    E:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
    E:\WINNT\system32\ctfmon.exe
    E:\WINNT\system32\cisvc.exe
    E:\Program Files\FRISK Software\F-PROT Antivirus for Windows\FPAVServer.exe
    E:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    E:\WINNT\system32\svchost.exe
    E:\WINNT\system32\mspmspsv.exe
    E:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    E:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
    E:\WINNT\system32\lxcgcoms.exe
    E:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
    E:\WINNT\system32\wscntfy.exe
    E:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    E:\WINNT\System32\svchost.exe
    E:\WINNT\system32\cidaemon.exe
    E:\Program Files\Messenger\msmsgs.exe
    E:\Program Files\Internet Explorer\iexplore.exe
    E:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
    O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
    O4 - HKLM\..\Run: [PKWARE Certificate Proxy Client] E:\PROGRA~1\PKWARE\PKZIPW\pkpcsr.exe
    O4 - HKLM\..\Run: [ISUSPM Startup] E:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
    O4 - HKLM\..\Run: [ISUSScheduler] "E:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [AcronisTimounterMonitor] E:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe
    O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "E:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe"
    O4 - HKLM\..\Run: [OODefragTray] E:\WINNT\system32\oodtray.exe
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [TotalRecorderScheduler] "E:\Program Files\HighCriteria\TotalRecorder\TotRecSched.exe"
    O4 - HKLM\..\Run: [LXCGCATS] rundll32 E:\WINNT\System32\spool\DRIVERS\W32X86\3\LXCGtime.dll,_RunDLLEntry@16
    O4 - HKLM\..\Run: [lxcgmon.exe] "E:\Program Files\Lexmark 2300 Series\lxcgmon.exe"
    O4 - HKLM\..\Run: [EzPrint] "E:\Program Files\Lexmark 2300 Series\ezprint.exe"
    O4 - HKLM\..\Run: [FaxCenterServer] "E:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
    O4 - HKLM\..\Run: [F-PROT Antivirus Tray application] E:\Program Files\FRISK Software\F-PROT Antivirus for Windows\FProtTray.exe
    O4 - HKCU\..\Run: [RegistryMechanic] E:\Program Files\Registry Mechanic\RegMech.exe /H
    O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "E:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
    O4 - HKCU\..\Run: [MSMSGS] "E:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINNT\system32\ctfmon.exe
    O4 - HKCU\..\Run: [12CFG914-K641-26SF-N32P] C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0851\vse432.exe
    O4 - HKUS\S-1-5-19\..\Run: [internat.exe] internat.exe (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-19\..\RunOnce: [^SetupICWDesktop] E:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-20\..\Run: [internat.exe] internat.exe (User 'NETWORK SERVICE')
    O4 - HKUS\S-1-5-20\..\RunOnce: [^SetupICWDesktop] E:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'NETWORK SERVICE')
    O4 - HKUS\S-1-5-21-1801674531-1177238915-839522115-501\..\Run: [internat.exe] internat.exe (User 'Guest')
    O4 - HKUS\S-1-5-18\..\Run: [internat.exe] internat.exe (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\RunOnce: [^SetupICWDesktop] E:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] E:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
    O4 - Startup: Shortcut to TCLOCKEX.EXE.lnk = D:\Utilities\TCLOCK\TCLOCKEX.EXE
    O4 - Startup: Start Firewall.lnk = E:\WINNT\system32
    et.exe
    O8 - Extra context menu item: Download with Xilisoft YouTube Video Converter - E:\Program Files\Xilisoft\YouTube Video Converter\upod_link.HTM
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe
    O23 - Service: F-PROT Antivirus for Windows system (FPAVServer) - FRISK Software International - E:\Program Files\FRISK Software\F-PROT Antivirus for Windows\FPAVServer.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - E:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    O23 - Service: lxcg_device - - E:\WINNT\system32\lxcgcoms.exe
    O23 - Service: NBService - Nero AG - E:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
    O23 - Service: NMIndexingService - Nero AG - E:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe


    End of file - 6558 bytes

    Nogmaals dank.
    Ik kom terug als het probleem ook weer terugkomt.
    MVG perloc
  • Niet weg helaas!!
    Vanmorgen de computer opgestart en gelijk weer twee meldingen van w32 virussen. Hoe nu verder? Het vervelende is dat het in alle 3 de partities voorkomt.
    perloc
  • Je moet nu wel je herstelpunten verwijderen, anders heb je het zo weer terug.
  • Nee Edouard, het probleem is nooit weggeweest.

    Start hijackthis en kies voor 'do a system scan only'
    Selecteer alleen de items die hieronder zijn genoemd:

    [b:ee6c1d36f8]O4 - HKCU\..\Run: [12CFG914-K641-26SF-N32P] C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0851\vse432.exe [/b:ee6c1d36f8]

    Sluit alle vensters behalve Hijackthis
    Klik op 'Fix checked' om de items te verwijderen.



    Download GV Killer.exe.
    Zet het in een eigen map bijvoorbeeld in de map C:\Program Files\GV Killer en maak vervolgens een snelkoppeling van C:\Program Files\GV Killer\GV Killer.exe naar je bureaublad.
    Start GV Killer en gebruik Kopiëren en Plakken om de namen van onderstaande bestanden en mappen in het bestand C:\Program Files\GV Killer\input.txt te zetten.

    [b:ee6c1d36f8]C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0851\vse432.exe [/b:ee6c1d36f8]

    Sluit het bestand C:\Program Files\GV Killer\input.txt en druk op de toets Start Killing om het programma te starten.
    Plaats de inhoud van het bestand C:\GV Killer.txt in je volgende bericht.




    Download [b:ee6c1d36f8] en sla het op je bureaublad op.
    Dubbelklik op [b:ee6c1d36f8]mbam-setup.exe[/b:ee6c1d36f8] om het programma te installeren.

    Zorg dat er na de installatie een vinkje is geplaatst bij:[list:ee6c1d36f8]
    [*:ee6c1d36f8]Update MalwareBytes' Anti-Malware
    [*:ee6c1d36f8]Start MalwareBytes' Anti-Malware
    [/list:u:ee6c1d36f8]Klik daarna op "[b:ee6c1d36f8]Voltooien[/b:ee6c1d36f8]".
    Indien een update gevonden wordt, zal die gedownload en geïnstalleerd worden.[list:ee6c1d36f8]
    [*:ee6c1d36f8]Zodra het programma gestart is, ga dan naar het tabblad "[b:ee6c1d36f8]Instellingen[/b:ee6c1d36f8]".
    [*:ee6c1d36f8]Vink hier aan: "[b:ee6c1d36f8]Sluit Internet Explorer tijdens verwijdering van malware[/b:ee6c1d36f8]".
    [*:ee6c1d36f8]Ga daarna naar het tabblad "[b:ee6c1d36f8]Scanner[/b:ee6c1d36f8]", kies hier voor "[b:ee6c1d36f8]Snelle Scan[/b:ee6c1d36f8]".
    [*:ee6c1d36f8]Druk vervolgens op "[b:ee6c1d36f8]Scannen[/b:ee6c1d36f8]" om de scan te starten.
    [*:ee6c1d36f8]Het scannen kan een tijdje duren, dus wees geduldig.

    [*:ee6c1d36f8]Wanneer de scan voltooid is, klik op [b:ee6c1d36f8]OK[/b:ee6c1d36f8], daarna "[b:ee6c1d36f8]Bekijk Resultaten[/b:ee6c1d36f8]" om de resultaten te zien.
    [*:ee6c1d36f8]Zorg ervoor dat daar alles aangevinkt is, daarna klik op: "[b:ee6c1d36f8]Verwijder geselecteerde[/b:ee6c1d36f8]".
    [*:ee6c1d36f8]Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten.
    [/list:u:ee6c1d36f8]Het log wordt automatisch bewaard door MalwareBytes' Anti-Malware en kan je terugvinden door op de "[b:ee6c1d36f8]Logs[/b:ee6c1d36f8]" tab te klikken in het programma.

    Plaats dit logje samen met een nieuw logje van HijackThis
  • Here we go!
    Ik heb het hele verhaal afgewerkt.
    Ben tot 3 keer opnieuw moeten beginnen omdat halfweg de computer niet meer vooruit te branden was.
    Totaan MBAM ging voorspoedig, mbam start zeer langzaam op (minuten), de update heb ik met de hand moeten starten en na de update kreeg een zandloper die niet weg wilde. Zag dat er Internet activiteit was en heb de stekker uit de telefoondoos afgekoppeld. Zandloper verdween en ik kon verder.
    Scannen met mbam duurde 15 min. en er zijn twee problemen gevonden.

    Na reboot van computer vond f-prot weer gelijk twee w32 virussen: 642.exe en 239.exe Dat is niet erg hoopvol….

    Hier komen de 3 log files:
    Logfile gv_killer_03.txt v7.0.9 - Copyright © GV_Soft Guido Vaesen
    Rapport datum: 13-Jun-09 8:13:34 PM log van Minda1 , Beheerder van deze computer
    Platform: Windows XP Prof SP2 ENU Normale modus

    BEGIN Geplande taken—————————————————————–
    EINDE Geplande taken—————————————————————–


    Lijst Notify keys——————————————————————–
    HKLM\software\microsoft\windows nt\currentversion\winlogon
    otify
    wzcnotif wzcdlg.dll
    Einde Notify keys——————————————————————–

    Verklaring Errorcodes—————————————————————-
    code 00 : Bestand is verwijderd.
    code 53 : Bestand of map werd niet gevonden op uw PC.
    code 70 : Bestand was in gebruik.
    code 75 : Services zijn nog geladen of bestand in gebruik.
    code M0 : Map is verwijderd.
    code ML : Map is volledig leeg gemaakt.
    code MN : Map werd niet gevonden op uw PC, is niet leeg gemaakt.
    code MV : Map werd niet gevonden op uw PC, is niet verwijderd.
    code K0 : Register key is verwijderd.
    Einde Errorcodes——————————————————————–

    BEGIN Inhoud van Input.txt———————————————————–
    C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0851\vse432.exe
    EINDE Inhoud van Input.txt———————————————————–

    00 C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0851\vse432.exe
    EINDE Inhoud van Input.txt———————————————————–


    ;3476487-009-8073003-22515=5JVTGRYD13

    ;EINDE GV_Killer ———————————————————————
    ***********************
    Malwarebytes' Anti-Malware 1.37
    Database version: 2272
    Windows 5.1.2600 Service Pack 2

    13-Jun-09 8:41:56 PM
    mbam-log-2009-06-13 (20-41-56).txt

    Scan type: Quick Scan
    Objects scanned: 98402
    Time elapsed: 15 minute(s), 23 second(s)

    Memory Processes Infected: 0
    Memory Modules Infected: 0
    Registry Keys Infected: 0
    Registry Values Infected: 1
    Registry Data Items Infected: 0
    Folders Infected: 0
    Files Infected: 1

    Memory Processes Infected:
    (No malicious items detected)

    Memory Modules Infected:
    (No malicious items detected)

    Registry Keys Infected:
    (No malicious items detected)

    Registry Values Infected:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Backdoor.Bot) -> Quarantined and deleted successfully.

    Registry Data Items Infected:
    (No malicious items detected)

    Folders Infected:
    (No malicious items detected)

    Files Infected:
    e:\documents and settings\Minda1\local settings\Temp\865.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    *******************************
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 9:01:12 PM, on 13-Jun-09
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    E:\WINNT\System32\smss.exe
    E:\WINNT\system32\winlogon.exe
    E:\WINNT\system32\services.exe
    E:\WINNT\system32\lsass.exe
    E:\WINNT\system32\svchost.exe
    E:\WINNT\System32\svchost.exe
    E:\WINNT\system32\spoolsv.exe
    E:\WINNT\Explorer.EXE
    E:\WINNT\system32\VTTimer.exe
    E:\WINNT\system32\VTtrayp.exe
    E:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
    E:\WINNT\SOUNDMAN.EXE
    E:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe
    E:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe
    E:\WINNT\system32\oodtray.exe
    E:\Program Files\HighCriteria\TotalRecorder\TotRecSched.exe
    E:\Program Files\Lexmark 2300 Series\lxcgmon.exe
    E:\Program Files\Lexmark 2300 Series\ezprint.exe
    E:\Program Files\FRISK Software\F-PROT Antivirus for Windows\FProtTray.exe
    E:\Program Files\Registry Mechanic\RegMech.exe
    E:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
    E:\WINNT\system32\ctfmon.exe
    E:\WINNT\system32\cisvc.exe
    E:\Program Files\FRISK Software\F-PROT Antivirus for Windows\FPAVServer.exe
    E:\WINNT\system32\svchost.exe
    E:\WINNT\system32\mspmspsv.exe
    E:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
    E:\WINNT\system32\lxcgcoms.exe
    E:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
    E:\WINNT\system32\wscntfy.exe
    E:\Program Files\Internet Explorer\iexplore.exe
    E:\WINNT\system32\cidaemon.exe
    E:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
    E:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    F2 - REG:system.ini: UserInit=E:\WINNT\system32\userinit.exe,E:\DOCUME~1\Minda1\LOCALS~1\Temp\081.exe,
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
    O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
    O4 - HKLM\..\Run: [PKWARE Certificate Proxy Client] E:\PROGRA~1\PKWARE\PKZIPW\pkpcsr.exe
    O4 - HKLM\..\Run: [ISUSPM Startup] E:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
    O4 - HKLM\..\Run: [ISUSScheduler] "E:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [AcronisTimounterMonitor] E:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe
    O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "E:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe"
    O4 - HKLM\..\Run: [OODefragTray] E:\WINNT\system32\oodtray.exe
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [TotalRecorderScheduler] "E:\Program Files\HighCriteria\TotalRecorder\TotRecSched.exe"
    O4 - HKLM\..\Run: [LXCGCATS] rundll32 E:\WINNT\System32\spool\DRIVERS\W32X86\3\LXCGtime.dll,_RunDLLEntry@16
    O4 - HKLM\..\Run: [lxcgmon.exe] "E:\Program Files\Lexmark 2300 Series\lxcgmon.exe"
    O4 - HKLM\..\Run: [EzPrint] "E:\Program Files\Lexmark 2300 Series\ezprint.exe"
    O4 - HKLM\..\Run: [FaxCenterServer] "E:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
    O4 - HKLM\..\Run: [F-PROT Antivirus Tray application] E:\Program Files\FRISK Software\F-PROT Antivirus for Windows\FProtTray.exe
    O4 - HKCU\..\Run: [RegistryMechanic] E:\Program Files\Registry Mechanic\RegMech.exe /H
    O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "E:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
    O4 - HKCU\..\Run: [MSMSGS] "E:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINNT\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [internat.exe] internat.exe (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-19\..\RunOnce: [^SetupICWDesktop] E:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-20\..\Run: [internat.exe] internat.exe (User 'NETWORK SERVICE')
    O4 - HKUS\S-1-5-20\..\RunOnce: [^SetupICWDesktop] E:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'NETWORK SERVICE')
    O4 - HKUS\S-1-5-21-1801674531-1177238915-839522115-501\..\Run: [internat.exe] internat.exe (User 'Guest')
    O4 - HKUS\S-1-5-18\..\Run: [internat.exe] internat.exe (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\RunOnce: [^SetupICWDesktop] E:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] E:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
    O4 - Startup: Shortcut to TCLOCKEX.EXE.lnk = D:\Utilities\TCLOCK\TCLOCKEX.EXE
    O4 - Startup: Start Firewall.lnk = E:\WINNT\system32
    et.exe
    O8 - Extra context menu item: Download with Xilisoft YouTube Video Converter - E:\Program Files\Xilisoft\YouTube Video Converter\upod_link.HTM
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe
    O23 - Service: F-PROT Antivirus for Windows system (FPAVServer) - FRISK Software International - E:\Program Files\FRISK Software\F-PROT Antivirus for Windows\FPAVServer.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - E:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    O23 - Service: lxcg_device - - E:\WINNT\system32\lxcgcoms.exe
    O23 - Service: NBService - Nero AG - E:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
    O23 - Service: NMIndexingService - Nero AG - E:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe


    End of file - 6338 bytes
    *******************************


    Dat was ut.
    Hartelijke dank voor de moeite.
    Edouard: ik HAD de herstelpunten verwijderd, want dat gebeurt automatisch als je de system restore op non-actief zet.

    MVG perloc

  • Wat ik nu zie is deze en die is nieuw

    [b:f5955ea605]F2 - REG:system.ini: UserInit=E:\WINNT\system32\userinit.exe,E:\DOCUME~1\Minda1\LOCALS~1\Temp\081.exe[/b:f5955ea605]

    En vgls mij moet je deze fixen en wel op basis van dit gegeven

    [i:f5955ea605]Een andere algemene ingang die gevonden wordt in F2 is de UserInit ingang welke overeenkomt met de sleutel, HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit, welke wordt gevonden in Windows NT, 2000, XP en 2003.
    Deze sleutel geeft aan welk programma zal worden gestart vlak nadat een gebruiker in Windows aanlogt.
    Het standaard programma voor deze sleutel is C:\windows\system32\userinit.exe.
    Userinit.exe is een programma dat je profiel hersteld, fonts, kleuren etc… voor je gebruikersnaam.
    [b:f5955ea605]Het is mogelijk om andere programma’s toe te voegen die vanaf deze sleutel starten door de programma’s te scheiden door middel van een komma.
    Voorbeeld: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit = C:\windows\system32\userinit.exe,c:\windows\badprogram.exe.
    Deze regel zorgt ervoor dat beide programma’s gestart worden wanneer je inlogt en is een gemeenschappelijke plaats voor trojans, hijackers en spyware om vandaar te starten[/b:f5955ea605][/i:f5955ea605]

    Maak je computer ook eens schoon met de ATP cleaner, alles aanvinken behalve de prefetch

    PS

    Ik zal wel weer commentaar krijgen van een 'expert ' , Othuroyo, maar die wacht lang met hulp en daarna vraagt hij of je wel een expert bent, maar dit terzijde.

    Suc6 en hoe is het in Mozambique?? :D
  • En ook deze file verwijderen handmatig

    E:\DOCUME~1\Minda1\LOCALS~1\Temp\[b:4fe628d1cc]081.exe [/b:4fe628d1cc]
  • Dit is er een om 081.exe te verwijderen

    [b:3b303c938e]http://www.prevx.com/filenames/1134803981227452221-X1/081.EXE.html[/b:3b303c938e]


    Ik wacht nu even af.
  • Start hijackthis en kies voor 'do a system scan only'
    Selecteer alleen de items die hieronder zijn genoemd:

    [b:4cf9895513]F2 - REG:system.ini: UserInit=E:\WINNT\system32\userinit.exe,E:\DOCUME~1\Minda1\LOCALS~1\Temp\081.exe [/b:4cf9895513]

    Sluit alle vensters behalve Hijackthis
    Klik op 'Fix checked' om de items te verwijderen.




    Download GV Killer.exe.
    Zet het in een eigen map bijvoorbeeld in de map C:\Program Files\GV Killer en maak vervolgens een snelkoppeling van C:\Program Files\GV Killer\GV Killer.exe naar je bureaublad.
    Start GV Killer en gebruik Kopiëren en Plakken om de namen van onderstaande bestanden en mappen in het bestand C:\Program Files\GV Killer\input.txt te zetten.

    [b:4cf9895513]E:\WINNT\system32\userinit.exe,E:\DOCUME~1\Minda1\LOCALS~1\Temp\081.exe [/b:4cf9895513]

    Sluit het bestand C:\Program Files\GV Killer\input.txt en druk op de toets Start Killing om het programma te starten.
    Plaats de inhoud van het bestand C:\GV Killer.txt in je volgende bericht.


    Download [b:4cf9895513] naar je Bureaublad en gebruik het volgens deze handleiding.
    [i:4cf9895513]
  • Download OTMoveIt3 (by OldTimer) naar je Bureaublad


    Deze link werkt niet???????
  • Othuroyo: Die OLDTIMER link werkt inderdaad niet. In Google kan ik geen naam OLDTIMER vinden.

    nnn.exe (nnn vervangen door cijfers) komt veelvuldig voor als virus en wordt door F-prot meestal in quarantaine gezet, ge-delete en soms kan F-prot er niets mee doen. Dan verwijder ik hem met Killbox.

    Ik zal het lijstje van Edouard opvolgen, maar heb nu (zon 10.30) geen tijd. Deze computer is in gebruik bij 4 personen.
    Helaas zijn mijn 2 laptops in april gestolen. (Dit type ik op de desktop van mijn zoon.)
    Een nieuwe laptop staat gereed in Nederland en zal ik bij bezoek in september meenemen.
    perloc
  • De link doet het nu wel, oldtimer doet hetzelfde als killbox en met ComboFix kan het definitief worden weg gehaald.
    De oplossing van edoard is met veel geluk voor een korte tijd zonder geluk voor geen tijd.

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.