Vraag & Antwoord

Beveiliging & privacy

HJT log na nieuwe installatie XP

Anoniem
None
31 antwoorden
 • Hallo Abraham54 e.a.,

  Besturing XP, Presario V6000 Compaq, Avast Antivirus.

  hierbij een nieuw aangemaakt topic met een HJT-log:

  Logfile of Trend Micro HijackThis v2.0.4
  Scan saved at 16:08:36, on 13-11-2011
  Platform: Windows XP SP3 (WinNT 5.01.2600)
  MSIE: Internet Explorer v8.00 (8.00.6001.18702)
  Boot mode: Normal

  Running processes:
  C:\WINDOWS\System32\smss.exe
  C:\WINDOWS\system32\winlogon.exe
  C:\WINDOWS\system32\services.exe
  C:\WINDOWS\system32\lsass.exe
  C:\WINDOWS\system32\svchost.exe
  C:\WINDOWS\System32\svchost.exe
  C:\Program Files\AVAST Software\Avast\AvastSvc.exe
  C:\WINDOWS\Explorer.EXE
  C:\WINDOWS\ehome\ehtray.exe
  C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
  C:\WINDOWS\system32\RUNDLL32.EXE
  C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
  C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
  C:\Program Files\Common Files\Java\Java Update\jusched.exe
  C:\Program Files\AVAST Software\Avast\avastUI.exe
  C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
  C:\WINDOWS\system32\ctfmon.exe
  C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
  C:\WINDOWS\system32\spoolsv.exe
  C:\WINDOWS\eHome\ehRecvr.exe
  C:\WINDOWS\eHome\ehSched.exe
  C:\WINDOWS\System32\svchost.exe
  C:\Program Files\Java\jre6\bin\jqs.exe
  C:\Program Files\Common Files\LightScribe\LSSrvc.exe
  C:\WINDOWS\system32\nvsvc32.exe
  C:\WINDOWS\system32\mqsvc.exe
  C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
  C:\WINDOWS\system32\mqtgsvc.exe
  C:\WINDOWS\system32\svchost.exe
  C:\WINDOWS\system32\msiexec.exe
  C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=NL_NL&c=64&bd=presario&pf=laptop
  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=NL_NL&c=64&bd=presario&pf=laptop
  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
  R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
  R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=NL_NL&c=64&bd=presario&pf=laptop
  R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
  O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
  O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
  O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
  O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.7.6406.1642\swg.dll
  O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
  O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
  O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
  O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
  O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
  O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
  O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
  O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
  O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /nodetect
  O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
  O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
  O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
  O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
  O4 - HKLM\..\Run: [Cpqset] C:\Program Files\Hewlett-Packard\Default Settings\cpqset.exe
  O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe
  O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
  O4 - HKLM\..\Run: [avast] "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
  O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
  O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
  O4 - HKLM\..\Run: [APSDaemon] "C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe"
  O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
  O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
  O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
  O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Lokale service')
  O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Netwerkservice')
  O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
  O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
  O4 - Global Startup: HP Photosmart Premier Snelstart.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
  O8 - Extra context menu item: Google Sidewiki… - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_7461B1589E8B4FB7.dll/cmsidewiki.html
  O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
  O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
  O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
  O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
  O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=NL_NL&c=64&bd=presario&pf=laptop
  O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1318272596312
  O22 - SharedTaskScheduler: Preloader van browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
  O22 - SharedTaskScheduler: Cache-daemon voor onderdeelcategorieën - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
  O23 - Service: AddFiltr - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\AddFiltr.exe
  O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\AVAST Software\Avast\AvastSvc.exe
  O23 - Service: Google Updateservice (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
  O23 - Service: Google Update-service (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
  O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
  O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
  O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
  O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
  O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
  O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe


  End of file - 8282 bytes
  Ook een volledige scan van MBAM gedaan, maar er waren geen besmettingen of bedreigingen.
  Eset opnieuw gescand (met de 1e vijf hokjes aangevinkt), ook geen besmetting of risico gedetecteerd.

  Bedankt, groetjes Holly
 • Ik vind het dan ook eigenlijk jammer, dat om redenen mij volkomen onduidelijk, Windows 7 een mislukking werd wat installeren betreft!

  Want XP kan inmiddels antek worden genoemd (10 jaar oud nu - zolang werd Windows 98 niet ondersteund!

  Die 10 jaar zijn ondertussen te merken.
  XP is een hele straat onveiliger dan Windows 7.
  Een van de grootste veiligheidsrisico's in XP is, dat alles administratorrechten heeft of zich die kan toe-eigenen.
  Dat heb je ondertussen gemerkt, doordat iets zich zo maar mocht installeren!

  Je mag het volgende gaan doen:

  [b:11f84f8969]Welk programma[/b:11f84f8969]: ComboFix
  [b:11f84f8969]Waarvoor/waarom[/b:11f84f8969]: Zeer specialistische scanner om Windows diepgaand te onderzoeken
  en zo mogelijk op te schonen.
  [b:11f84f8969]Moeilijkheidsgraad[/b:11f84f8969]: Min of meer lastige voorbereidingsfase, dus lees alles eerst goed.
  [b:11f84f8969]Downloadlokatie[/b:11f84f8969]: Dit programma absoluut naar het bureaublad downloaden!
  [b:11f84f8969]Download ComboFix via één van deze locaties[/b:11f84f8969]:
  [list:11f84f8969][*:11f84f8969][b:11f84f8969]Bleepingcomputer[/b:11f84f8969]
  [*:11f84f8969][b:11f84f8969]ForoSpyware[/b:11f84f8969]
  [*:11f84f8969][b:11f84f8969]Geekstogo[/b:11f84f8969][/list:u:11f84f8969]
  [b:11f84f8969]Hier[/b:11f84f8969] zie je hoe je ComboFix moet gebruiken.

  Antivirusprogramma en actieve malwarescanners dienen al voor de ComboFix start gedeaktiveert zijn!
  [b:11f84f8969]Hier[/b:11f84f8969] en [b:11f84f8969]hier[/b:11f84f8969] vindt je gegevens hoe antivirusprogramma's en spywarescanners te deaktiveren.

  [b:11f84f8969]Voor alle duidelijkheid nogmaals[/b:11f84f8969]: ComboFix dient vanaf het bureaublad gestart te worden.

  [b:11f84f8969]Opmerkingen[/b:11f84f8969]:
  [list:11f84f8969][*:11f84f8969] Bij gebruik van Windows XP zal er mogelijk gevraagd worden, om de "Recovery Console" te installeren! Sta dit dan toe (hiervoor is een actieve internet verbinding vereist).
  [*:11f84f8969]Vista- en Windows 7 gebruikers starten Combofix op via rechtsklik met Administratorrechten.
  [*:11f84f8969]Alle openstaande programma's en webpagina's dienen afgesloten te zijn.[/list:u:11f84f8969]
  [b:11f84f8969]ComboFix is opgestart[/b:11f84f8969]:
  [list:11f84f8969][*:11f84f8969]Niet in het zwarte venster klikken, hierdoor kan ComboFix of zelfs Windows geheel "bevriezen"!
  [*:11f84f8969]Combofix sluit tijdens de scan de internet verbinding – probeer deze tussentijds niet te herstellen!
  [*:11f84f8969]Het kan voorkomen dat de computer meerdere malen opnieuw opgestart moet worden, dit is normaal.
  [*:11f84f8969]Wanneer ComboFix gereed is, zal het het een logbestand voor je maken.
  [*:11f84f8969]Post de inhoud van dit logbestand in je volgende bericht.
  [*:11f84f8969]Indien het log niet opstart, is dit terug tevinden in C:\ComboFix.txt[/list:u:11f84f8969]
  [b:11f84f8969]Belangrijke opmerking[/b:11f84f8969]:
  [list:11f84f8969][*:11f84f8969][b:11f84f8969]
 • Jouw log ziet er prima uit.
  Heb jij een MS webserver geïnstalleerd?
  En je kan overwegen XP veiliger te maken door een andere firewall dan de XP firewall te gebruiken.
 • Hallo Abraham54,

  ah gelukkig, een goed HJT-log, dat klinkt goed!

  MS webserver? Niet dat ik weet? Heb even gegoogled, maar het zegt me niets van wat het is, ik weet daar niets van.

  Van MS heb ik alleen de updates gedaan, die kwamen vanzelf bovendrijven…

  Zag inderdaad dat de firewall van Windows XP erop zat in combi met Avast. Welke firewall is beter?

  Ook viel me op dat Avast niet bij het beveiligingsscherm staat, daar kwam Panda wel altijd in te staan…is dat goed, hoort dat zo?

  Bedankt, groetjes Holly.
 • Vreemd dat het beveiligingscentrum Avast niet vermeld.

  Wat geeft het Avast menu aan?


  Wat firewall betreft het volgende: XP is inmiddels al 10 jaar oud en de firewall, nog verbeterd in 2005 middels Service Pack 2 voor Windows XP,
  heeft sindsdien geen updates meer gehad.

 • Hallo Abraham54,

  er draait de hele tijd een oranje 'a' in een bolletje rechtsondering, als ik daarop klik opent Avast en zie ik een grote groene vink en staat er text bij: 'uw systeem is volledig beveiligd'.

  Het menu van Avast heeft: samenvatting, scan computer, realtime schilden, aanvullende bescherming en onderhoud.

  Ook update Avast regelmatig. Het viel me gewoon op, eerst stond er een Pandabeerhoofd in het beveiligingscentrum, dus ik verwachtte die 'a' van Avast daar ook…maar misshcien omdat ie gratis is dat ie dat niet doet? Dien ik Avast opnieuw te installeren dan, want als het daarin wel getoond dient te worden…?

  Ga de Armor firewall downloaden en installeren. Hopelijk is het een goede.
  En dan voer ik de stappen uit (deactivatie MS firewall&client)

  Bedankt, groetjes Holly.
 • Ik nu in mijn Windows 7 ook Avast en de Online Armor Firewall.

  Want de Windows firewall wordt vanuit het Windows register geregeld.
  Dus malware kan daardoor de Windows firewall manipuleren!

  Daarnaast heb ik ook nog als extra ondersteuning de Eset online scanner en Malwarebytes MBAM aan boord.
 • Hallo Abraham54,

  het is bijna gelukt met de firewall, maar weet bij een paar dingen niet wat het is. Tijdens de installatie en scan werd er aangegeven dat bij de opstart een aantal zaken aandacht nodig hadden. Die ik kende heb ik toegekend. Maar de volgende weet ik niet wat het is en of ik het beter kan verbieden of dat het goed is:

  gedetecteerde programma's door Armor die mee opstarten:

  LSSrvc.exe lightscribe
  mqrt.dll windows NT MQ Run time DLL
  mqsvc.exe message queeing service
  mqtgsvc.exe windows NT MSMQ Trigger service
  nwiz.exe
  pxhelp20.sys QLB controller

  Ik had een paar dagen wel verbinding maar kon geen site erop krijgen, telkens waren de lampjes op het modum uit, dus dat zal wel weer een soort onderhoud zijn van de provider, maar plots kreeg ik een melding van geinstalleerde software, maar ik had niets geinstalleerd. het was een vreemde pop up, blauw met grijs en een vraagteken erin en de melding van geinstalleerde software EN aanpassingen in het systeem, waarop opnieuw moest worden opgestart…dit was voordat ik de firewall had!

  Ik heb via systeemherstel een dag teruggezet, in de hoop dat die onbekende installatie dan ongedaan zou zijn….ik kon niet vinden wat het was… (???)

  Verder is nu de verbinding weer even okay en heb ik Armor er opgeinstalleerd en de andere gedeaktiveerd zoals je aangaf.

  En dan nog die tdss rootkitscan met 5 items. De HJT log was goed. Is de TDSSrootkitscan dan bijwijze van te verwaarlozen?

  Bedankt, groetjes Holly
 • Je kan Online Armor laten weten dat geen van die services het internet op hoeft.

  Vergeet niet aan te vinken dat Online Armor dit ook moet onthouden.


  Wat is dat voor verhaal dat er iets in jouw Windows is geïnstalleerd?
  Heb je mogelijk ondertussen al een zogenaamde melding van de politie op je scherm gehad?
 • Hallo Abraham54,

  nee, geen melding van de politie, tenminste, er stond niets bij waarvan, alleen iets over dat ook iets in het systeem was aangepast en dat daarom de pc opnieuw moest worden opgestart.

  Het was een standaard grijze pop up met blauwe balk en een vraagteken erin…

  Heb direct de verbinding verbroken en in save modus teruggezet naar een dag eerder (kweet niet of dat dan helpt?), ik had niets geinstalleerd, niets aangeklikt…

  Vind het ondertussen maar nix met de pc. Harde schijf is eruit geweest en geformateerd. Is er ondertussen met al het updaten dan weer 'ingebroken' op de pc?

  Ik ga maar weer scannen, maar MBAM als Avast als Eset gaven niets aan eerder, maar blijf voorzichtig, toch heb ik een onderbuik gevoel dat er iets gebeurd wat ik niet helemaal weet.

  Wat is het met de politiemelding dan? Ik heb er niets van gezien of gehoord…

  Bedankt, groetjes Holly
 • @Abraham54: reageer maar niet op zulke posts. Het heeft reeds de aandacht van de mods.
 • Hij had bij mij elders nog geen dag uitgehouden!

  Edit.
  Schijnbaar is er al iets geregeld.
  If so, dan mijn dank daarvoor.
 • Hallo Abraham54,

  heb ik iets gemist? Ik ben serieus bezig met mijn posts…
  Had wel even tijd nodig met het Combofixen, gister geen verbinding, of wel verbinding maar toch kreeg ik geen sites erop, modem heel vaak gereset, maar ook dat hielp niet…ik ben geen hij maar een zij… :(

  In ieder geval het Combofix-log:

  ComboFix 11-11-19.03 - p 19-11-2011 16:10:31.2.2 - x86
  Microsoft Windows XP Professional 5.1.2600.3.1252.31.1043.18.1983.1433 [GMT 1:00]
  Gestart vanuit: c:\documents and settings\p\Bureaublad\ComboFix.exe
  AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
  FW: Online Armor Firewall *Disabled* {B797DAA0-7E2E-4711-8BB3-D12744F1922A}
  .
  .
  (((((((((((((((((((((((((((((((((( Andere Verwijderingen )))))))))))))))))))))))))))))))))))))))))))))))))
  .
  .
  —- Voorgaande Run ——-
  .
  c:\windows\kb913800.exe
  D:\Autorun.inf
  .
  .
  (((((((((((((((((((( Bestanden Gemaakt van 2011-10-19 to 2011-11-19 ))))))))))))))))))))))))))))))
  .
  .
  2011-11-18 10:59 . 2011-11-18 13:33 ——– d—–w- c:\documents and settings\p\Application Data\Download Manager
  2011-11-17 20:10 . 2011-11-17 20:49 ——– d—–w- c:\documents and settings\All Users\Application Data\OnlineArmor
  2011-11-17 20:10 . 2011-11-17 20:10 ——– d—–w- c:\documents and settings\p\Application Data\OnlineArmor
  2011-11-17 20:07 . 2011-11-01 10:34 40296 —-a-w- c:\windows\system32\drivers\oahlp32.sys
  2011-11-17 20:07 . 2011-11-01 10:34 29464 —-a-w- c:\windows\system32\drivers\OAnet.sys
  2011-11-17 20:07 . 2011-11-01 10:34 25192 —-a-w- c:\windows\system32\drivers\OAmon.sys
  2011-11-17 20:06 . 2011-11-01 10:34 205864 —-a-w- c:\windows\system32\drivers\OADriver.sys
  2011-11-17 20:06 . 2011-11-19 15:04 ——– d—–w- c:\program files\Online Armor
  2011-11-16 20:46 . 2011-11-16 20:46 ——– d—–w- c:\windows\system32\wbem\Repository
  2011-11-13 15:08 . 2011-11-13 15:08 388096 —-a-r- c:\documents and settings\p\Application Data\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
  2011-11-13 15:08 . 2011-11-13 15:08 ——– d—–w- c:\program files\Trend Micro
  2011-11-09 11:10 . 2011-11-09 11:11 ——– d—–w- c:\documents and settings\p\Application Data\HpUpdate
  2011-11-09 11:10 . 2011-11-09 11:10 ——– d—–w- c:\windows\Hewlett-Packard
  2011-11-08 12:50 . 2011-11-08 12:50 ——– d—–w- c:\documents and settings\p\Local Settings\Application Data\Identities
  2011-11-07 20:50 . 2011-11-07 20:50 ——– d—–w- c:\windows\system32\URTTEMP
  2011-11-07 19:33 . 2011-11-07 19:33 ——– d—–w- c:\program files\Microsoft.NET
  2011-11-07 18:51 . 2011-11-07 18:52 ——– d—–w- C:\eb2cb681b9c02191941fc7ed
  2011-11-07 01:51 . 2011-11-07 01:51 ——– d—–w- c:\documents and settings\p\Local Settings\Application Data\PCHealth
  2011-11-07 00:21 . 2011-11-07 00:21 ——– d—–w- c:\program files\MSBuild
  2011-11-06 13:51 . 2011-11-10 19:21 ——– d—–w- C:\TDSSKiller_Quarantine
  2011-11-05 11:24 . 2011-11-13 19:22 ——– d—–w- c:\documents and settings\p\dwhelper
  2011-11-03 16:50 . 2011-11-03 16:50 159744 —-a-w- c:\program files\Internet Explorer\Plugins\npqtplugin7.dll
  2011-11-03 16:50 . 2011-11-03 16:50 159744 —-a-w- c:\program files\Internet Explorer\Plugins\npqtplugin6.dll
  2011-11-03 16:50 . 2011-11-03 16:50 159744 —-a-w- c:\program files\Internet Explorer\Plugins\npqtplugin5.dll
  2011-11-03 16:50 . 2011-11-03 16:50 159744 —-a-w- c:\program files\Internet Explorer\Plugins\npqtplugin4.dll
  2011-11-03 16:50 . 2011-11-03 16:50 159744 —-a-w- c:\program files\Internet Explorer\Plugins\npqtplugin3.dll
  2011-11-03 16:50 . 2011-11-03 16:50 159744 —-a-w- c:\program files\Internet Explorer\Plugins\npqtplugin2.dll
  2011-11-03 16:50 . 2011-11-03 16:50 159744 —-a-w- c:\program files\Internet Explorer\Plugins\npqtplugin.dll
  2011-11-03 16:49 . 2011-11-03 16:50 ——– d—–w- c:\program files\QuickTime
  2011-11-03 16:49 . 2011-11-03 16:49 ——– d—–w- c:\documents and settings\All Users\Application Data\Apple Computer
  2011-11-03 16:45 . 2011-11-03 16:45 ——– d-sh–w- c:\documents and settings\NetworkService\Geschiedenis
  2011-11-03 16:45 . 2011-11-17 18:12 ——– d-sh–w- c:\documents and settings\NetworkService\Tijdelijke Internet-bestanden
  2011-11-03 16:45 . 2011-11-03 16:45 ——– d—–w- c:\documents and settings\NetworkService\Local Settings\Application Data\Apple
  2011-10-24 13:29 . 2011-10-24 13:29 94208 —-a-w- c:\windows\system32\QuickTimeVR.qtx
  2011-10-24 13:29 . 2011-10-24 13:29 69632 —-a-w- c:\windows\system32\QuickTime.qts
  2011-10-20 23:37 . 2011-10-20 23:37 ——– d—–w- c:\documents and settings\p\Local Settings\Application Data\FixItCenter
  2011-10-20 23:11 . 2011-10-22 20:08 ——– d—–w- c:\windows\MATS
  2011-10-20 23:11 . 2011-10-22 20:08 ——– d—–w- c:\program files\Microsoft Fix it Center
  .
  .
  .
  ((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))
  .
  2011-11-17 00:00 . 2011-10-10 13:40 414368 —-a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
  2011-10-12 01:10 . 2011-10-12 01:10 89680 —-a-w- c:\documents and settings\p\MSSSerif120.fon
  2011-10-10 14:22 . 2006-04-11 04:00 692736 —-a-w- c:\windows\system32\inetcomm.dll
  2011-10-03 03:06 . 2011-10-10 16:16 472808 —-a-w- c:\windows\system32\deployJava1.dll
  2011-10-03 00:37 . 2011-10-10 16:16 73728 —-a-w- c:\windows\system32\javacpl.cpl
  2011-09-28 07:06 . 2006-04-11 04:00 602624 —-a-w- c:\windows\system32\crypt32.dll
  2011-09-26 10:41 . 2008-07-29 18:59 614912 —-a-w- c:\windows\system32\uiautomationcore.dll
  2011-09-26 09:41 . 2006-04-11 04:00 23040 —-a-w- c:\windows\system32\oleaccrc.dll
  2011-09-26 09:41 . 2006-04-11 04:00 220160 —-a-w- c:\windows\system32\oleacc.dll
  2011-09-06 20:45 . 2011-10-10 16:19 41184 —-a-w- c:\windows\avastSS.scr
  2011-09-06 20:45 . 2011-10-10 16:19 199304 —-a-w- c:\windows\system32\aswBoot.exe
  2011-09-06 20:38 . 2011-10-10 16:20 442200 —-a-w- c:\windows\system32\drivers\aswSnx.sys
  2011-09-06 20:37 . 2011-10-10 16:20 320856 —-a-w- c:\windows\system32\drivers\aswSP.sys
  2011-09-06 20:36 . 2011-10-10 16:20 34392 —-a-w- c:\windows\system32\drivers\aswRdr.sys
  2011-09-06 20:36 . 2011-10-10 16:20 52568 —-a-w- c:\windows\system32\drivers\aswTdi.sys
  2011-09-06 20:36 . 2011-10-10 16:20 110552 —-a-w- c:\windows\system32\drivers\aswmon2.sys
  2011-09-06 20:36 . 2011-10-10 16:20 104536 —-a-w- c:\windows\system32\drivers\aswmon.sys
  2011-09-06 20:36 . 2011-10-10 16:20 20568 —-a-w- c:\windows\system32\drivers\aswFsBlk.sys
  2011-09-06 20:33 . 2011-10-10 16:20 30808 —-a-w- c:\windows\system32\drivers\aavmker4.sys
  2011-09-06 14:09 . 2006-04-11 04:00 1859072 —-a-w- c:\windows\system32\win32k.sys
  2011-08-31 15:00 . 2011-10-10 22:34 22216 —-a-w- c:\windows\system32\drivers\mbam.sys
  2011-08-22 23:41 . 2006-04-11 04:00 916480 —-a-w- c:\windows\system32\wininet.dll
  2011-08-22 23:41 . 2006-04-11 04:00 43520 —-a-w- c:\windows\system32\licmgr10.dll
  2011-08-22 23:41 . 2006-04-11 04:00 1469440 —-a-w- c:\windows\system32\inetcpl.cpl
  2011-08-22 11:58 . 2006-04-11 04:00 385024 —-a-w- c:\windows\system32\html.iec
  2011-10-23 15:00 . 2011-10-13 13:00 134104 —-a-w- c:\program files\mozilla firefox\components\browsercomps.dll
  .
  .
  ((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))
  .
  .
  *Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond
  REGEDIT4
  .
  [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
  @="{472083B0-C522-11CF-8763-00608CC02F24}"
  [HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
  2011-09-06 20:45 122512 —-a-w- c:\program files\AVAST Software\Avast\ashShell.dll
  .
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  "ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-18 64512]
  "hpWirelessAssistant"="c:\program files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2006-05-03 458752]
  "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-08-18 7585792]
  "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-08-18 86016]
  "High Definition Audio Property Page Shortcut"="CHDAudPropShortcut.exe" [2006-06-02 61952]
  "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-04-01 761946]
  "QlbCtrl"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2006-06-19 163840]
  "Cpqset"="c:\program files\Hewlett-Packard\Default Settings\cpqset.exe" [2006-05-30 40960]
  "SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2011-06-09 254696]
  "avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2011-09-06 3722416]
  "Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-06-06 937920]
  "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2011-10-24 421888]
  "APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2011-09-27 59240]
  "ISUSPM Startup"="c:\progra~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 221184]
  "ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2004-07-27 81920]
  "@OnlineArmor GUI"="c:\program files\Online Armor\OAui.exe" [2011-11-01 2531104]
  .
  [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
  "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
  .
  c:\documents and settings\All Users\Menu Start\Programma's\Opstarten\
  HP Photosmart Premier Snelstart.lnk - c:\program files\HP\Digital Imaging\bin\hpqthb08.exe [2005-9-24 73728]
  .
  [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
  "{4F07DA45-8170-4859-9B5F-037EF2970034}"= "c:\progra~1\ONLINE~2\oaevent.dll" [2011-11-01 358840]
  .
  [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
  "EnableFirewall"= 0 (0x0)
  .
  [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
  "%windir%\\system32\\sessmgr.exe"=
  "c:\\WINDOWS\\system32\\mqsvc.exe"=
  "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
  "c:\\Program Files\\Messenger\\msmsgs.exe"=
  "c:\\Program Files\\Common Files\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=
  .
  [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
  "5985:TCP"= 5985:TCP:*:Disabled:Windows Remote Management
  .
  R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [10-10-2011 17:20 442200]
  R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [10-10-2011 17:20 320856]
  R1 OADevice;OADriver;c:\windows\system32\drivers\OADriver.sys [17-11-2011 21:06 205864]
  R1 OAmon;OAmon;c:\windows\system32\drivers\OAmon.sys [17-11-2011 21:07 25192]
  R1 OAnet;OAnet;c:\windows\system32\drivers\OAnet.sys [17-11-2011 21:07 29464]
  R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [10-10-2011 17:20 20568]
  R2 OAcat;Online Armor Helper Service;c:\program files\Online Armor\oacat.exe [17-11-2011 21:06 207936]
  S1 oahlpXX;Online Armor helper driver;c:\windows\system32\drivers\oahlp32.sys [17-11-2011 21:07 40296]
  S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18-3-2010 13:16 130384]
  S2 gupdate;Google Updateservice (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [10-10-2011 17:24 136176]
  S2 SvcOnlineArmor;Online Armor;c:\program files\Online Armor\oasrv.exe [17-11-2011 21:06 4363040]
  S3 gupdatem;Google Update-service (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [10-10-2011 17:24 136176]
  S3 WinRM;Windows Remote Management (WS-Management);c:\windows\system32\svchost.exe -k WINRM [11-4-2006 5:00 14336]
  S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18-3-2010 13:16 753504]
  .
  [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
  WINRM REG_MULTI_SZ WINRM
  .
  Inhoud van de 'Gedeelde Taken' map
  .
  2011-11-17 c:\windows\Tasks\AppleSoftwareUpdate.job
  - c:\program files\Apple Software Update\SoftwareUpdate.exe [2011-06-01 15:57]
  .
  2011-11-19 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
  - c:\program files\Google\Update\GoogleUpdate.exe [2011-10-10 16:24]
  .
  2011-11-19 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
  - c:\program files\Google\Update\GoogleUpdate.exe [2011-10-10 16:24]
  .
  .
  ——- Bijkomende Scan ——-
  .
  uStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=NL_NL&c=64&bd=presario&pf=laptop
  uInternet Connection Wizard,ShellNext = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=NL_NL&c=64&bd=presario&pf=laptop
  IE: Google Sidewiki… - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_7461B1589E8B4FB7.dll/cmsidewiki.html
  FF - ProfilePath - c:\documents and settings\p\Application Data\Mozilla\Firefox\Profiles\xrtbp34y.default\
  FF - prefs.js: browser.startup.homepage - hxxps://login.live.com/login.srf?wa=wsignin1.0&rpsnv=11&ct=1318508005&rver=6.1.6206.0&wp=MBI&wreply=http:%2F%2Fmail.live.com%2Fdefault.aspx&lc=1043&id=64855&mkt=nl-NL&cbcxt=mai&snsc=1
  .
  .
  **************************************************************************
  .
  catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
  Rootkit scan 2011-11-19 16:19
  Windows 5.1.2600 Service Pack 3 NTFS
  .
  scannen van verborgen processen …
  .
  scannen van verborgen autostart items …
  .
  HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  Cpqset = c:\program files\Hewlett-Packard\Default Settings\cpqset.exe????????????<?@? ???p???????Y?@?????<?@
  .
  scannen van verborgen bestanden …
  .
  Scan succesvol afgerond
  verborgen bestanden: 0
  .
  **************************************************************************
  .
  ——————— DLLs Geladen Onder Lopende Processen ———————
  .
  - - - - - - - > 'explorer.exe'(3676)
  c:\windows\system32\webcheck.dll
  c:\windows\system32\WPDShServiceObj.dll
  c:\windows\system32\PortableDeviceTypes.dll
  c:\windows\system32\PortableDeviceApi.dll
  .
  Voltooingstijd: 2011-11-19 16:23:39
  ComboFix-quarantined-files.txt 2011-11-19 15:23
  .
  Pre-Run: 64.907.395.072 bytes beschikbaar
  Post-Run: 64.859.275.264 bytes beschikbaar
  .
  - - End Of File - - 4AC2D6BF31EEA895E562331731E987AD


  Bedankt, groetjes Holly.

  Ps ik hoop dat ik nog even met deze pc en XP vooruit kan tot de lente volgend jaar. Als ik rond mei/juni genoeg heb kunnen sparen een nieuwe pc te kunnen aanschaffen met Windows 8.
 • Hoi Holly, dat jij een vrouw bent, wist ik al hoor.
  Waaraan ik refereerde zijn berichten van iemand op dit forum die post om te posten.
  Een trol dus.
  Maar die berichten van hem/haar zijn inmiddels verwijderd en daardoor kunnen de overgebleven berichten voor enige verwarring zorgen.

  Als je geen gekke dingen doet met deze XP, zal het wel lukken.
  Alleen: Windows 8 wordt ergens vanaf juni/juli volgend jaar verwacht.
  Momenteel kan je de preview downloaden en installeren en die is feitelijk al heel stabiel en snel.
  Heb deze versie in mijn notbook gehad, maar helaas werd mijn printer op geen enkele wijze herkent.
  In januari aanstaande wordt de beta verwacht van Windows 8.


  Doe nu het volgende:

  [b:3e32b5f247]Doe de ESET online scan (Klik).[/b:3e32b5f247]
  [list:3e32b5f247]
  [*:3e32b5f247]Klik op de knop [b:3e32b5f247]ESET Online Scanner[/b:3e32b5f247]
  [*:3e32b5f247]Zet een vinkje bij [b:3e32b5f247]YES, I accept the Terms of Use[/b:3e32b5f247]
  [*:3e32b5f247]Klik op [b:3e32b5f247]Start[/b:3e32b5f247]
  [*:3e32b5f247]Sta het ActiveX control toe om te installeren.
  [*:3e32b5f247]Zet een vinkje bij de volgende opties:
  [list:3e32b5f247][*:3e32b5f247][b:3e32b5f247]Remove found threats[/b:3e32b5f247]
  [*:3e32b5f247][b:3e32b5f247]Scan archives[/b:3e32b5f247][/list:u:3e32b5f247]
  [*:3e32b5f247]Klik vervolgens op [b:3e32b5f247]
 • Hallo Abraham54,

  ah zo, een trol :?

  de scan zegt 'No threats found'. Heeft er 2uur en 5min over gedaan, ik was vergeten de antivirus uit te schakelen :oops:

  Ik heb wireless. De draad is erg kort. Maar de verbinding is zo enorm traag. Vandaag heb ik verbinding voornamelijk tussen de 1mbs en 5.5 mbs, waarschijnlijk dat daarom ook de scan wat lang duurde…

  Dit was niet altijd zo. Maar ook de letjes op het modem zijn om de haverklap uit, dus ik dacht dat het dan onderhoud of storing betreft van de provider?

  Maar de Esetscan is dus schoon.

  De Combofix had wel de MSrecovery geinstalleerd en ook iets verwijderd, 2 items geloof ik stonden in het scherm. Waren die een risico?

  Betreft Windows 8, dan heb ik iets langer de tijd om te sparen. Of ik dien eerder een andere oplossing te zoeken. Maar vooralsnog ga ik ervanuit dat ik nog even kan uitzingen met deze met of zonder XP…zeker met je hulp, heb ik vertrouwen erin dat het goedkomt (met XP of zonder).

  Bedankt, groetjes Holly.
 • Dat Autorun.inf zegt mij al genoeg.

  Er is dus of een externe HD dan wel USB-stick met jouw notebook verbonden geweest, welke zelf besmet was.
  Die Autorun.inf zorgt er dan voor, dat de besmetting automatisch in de nieuw aangesloten Windows wordt geïnstalleerd.

  Het is dan ook beter Autorun te deaktiveren.
  Dart geeft je dan ook de mogelijk om Avast te gebruiken via de "Verwijderbate media scan".

  Jouw Windows draait weer normaal dus?
 • Hallo Abraham54,

  Mijn Windows draait weer normaal in zoverre ik dat kan beoordelen. Crasht niet meer, kreeg telkens blokjes en dat is niet meer :) Ik heb via de Microsoft site de autorun in het register op 0xff gezet volgens hun stappen en opnieuw opgestart.

  De externe opslag, zoals usb's, die kan ik dan scannen met die scan van Avast, ga ik proberen. Gewoon die usb erin en dan via MijnComputer eerst scannen via rechtse muisknop?

  En als ik anderen besmet heb of anderen mij, hoe weten zij dat? Deze autorun.info wordt/werd er niet uitgehaald eerder met MBAM, Avast of Eset…, maar dus met Avast verwijderbare media wel?

  Bedankt, Groetjes Holly.
 • Start het menu van Avast, klik in de linker kolom "Scan nu".

  Dan zie je alle scan opties, ook die waarover ik het eerder had.
 • Hallo Abraham54,

  heb dat gedaan zoals je aangaf in Avast. Eerste USB die ik erin stop en opdracht geef te scannen geeft niets aan, geen bedreigingen gevonden, maar met deze actie kreeg ik ook zo'n pop-up met de softwareinstallatie is gedaan en de pc dient opnieuw opgestart te worden om de systeeminstellingen van kracht te laten worden… Idem met een vraagteken, dus welke software?

  Heb ditmaal een afdrukje van de pop-up, zie zo snel niet waar ik die als bijlage kan plaatsen.

  Dus iets wordt geinstalleerd. Nu middels de USB die ik wilde gaan scannen, ik heb er diversen. De vorige keer dat het gebeurde had ik geen USB. Dus ik vraag me af hoe het kan en wat er geinstalleerd wordt dan… :(

  Bedankt, groetjes Holly.
 • Hoi Holly, ik neem aan dat je die pop-up via Paint hebt opgeslagen?

  Ga naar http://www.imgdumper.nl/ en registreer je daar eerst.

  Nadat je bent ingelogd, klik je op de knop bladeren en navigeer je naar de lokatie waar je de betreffende afbeelding hebt opgeslagen.

  Klik vervolgens op Uploaden.

  Is dat gebeurd, krijg je een aantal links, kies daarvan de bovenste optie, die je kopieert en plakt in je volgende bericht.

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.