PDA

Volledige versie bekijken : About Blank


barcode
9 January 2006, 12:24
Hallo beste mensen,

Ik heb het welbekende probleem van About Blank. Onderstaand mijn logfile met Hijack This. Kan iemand mij helpen om mijn PC weer terug te brengen naar een goede staat?

Bi voorbaat dank voor jullie hulp!

Log file:

Logfile of HijackThis v1.99.1
Scan saved at 11:19:21, on 9-1-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\mfcfp.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Common Files\Microsoft Shared\Media Manager\airsvcu.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\crei32.exe
C:\Program Files\@Home veiligheid\AntiVirus\AVRealTime.exe
C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\AVerTV USB 2.0 Plus\QuickTV.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\XoftSpy\XoftSpy.exe
C:\DOCUME~1\CHRISB~1\LOCALS~1\Temp\Tijdelijke map 2 voor hijackthis.zip\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\xthog.dll/sp.html#10001%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.ilse.n
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bbo.nl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\xthog.dll/sp.html#10001%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\xthog.dll/sp.html#10001%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.ilse.n
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bbo.nl
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\xthog.dll/sp.html#10001%resultposition.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\xthog.dll/sp.html#10001%resultposition.net
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {0CDCC695-26E8-8B05-0DE0-344FBFCD407F} - C:\WINDOWS\system32\addpl.dll
O2 - BHO: Class - {0E59F682-B49E-9314-4B0F-55169D9DB01D} - C:\WINDOWS\system32\addrn32.dll
O2 - BHO: Class - {28788C62-5F22-3093-C22A-23E8DF6C5DBE} - C:\WINDOWS\system32\sysst32.dll
O2 - BHO: Class - {325EAD02-95B5-830B-5E5C-CD067BAA172B} - C:\WINDOWS\system32\sysod.dll
O2 - BHO: Class - {AC4257E2-6DD2-AEC4-FFD6-D5E44CC39DBE} - C:\WINDOWS\d3ak.dll
O4 - HKLM\..\Run: [crei32.exe] C:\WINDOWS\system32\crei32.exe
O4 - HKLM\..\Run: [Preventon RealTime Antivirus] C:\Program Files\@Home veiligheid\AntiVirus\AVRealTime.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: AVerTV USB 2.0 plus.lnk = C:\Program Files\AVerTV USB 2.0 Plus\QuickTV.exe
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\mfcfp.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe


groet Chris
nojs
9 January 2006, 21:10
beste chris,

maak een permanente map aan voor HiJackThis
vb: C\HJT\hjt.exe

als je dit gedaan hebt
open dan HiJackThis, klik op "do a system scan and save a log file" en post dan het nieuwe logje


groetjes nojs
barcode
11 January 2006, 21:25
Dag Nojs,

Hierbij mijn nieuwe logfile:
Bij voorbaat dank voor je hulp!!!

Logfile of HijackThis v1.99.1
Scan saved at 20:23:12, on 11-1-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Common Files\Microsoft Shared\Media Manager\airsvcu.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\@Home veiligheid\AntiVirus\AVRealTime.exe
C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\AVerTV USB 2.0 Plus\QuickTV.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\ntvdm.exe
C:\PROGRA~1\ACCELE~1\ANTI-V~1\STOPSI~1.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\mfcfp.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\crei32.exe
C:\HJT\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\iqyju.dll/sp.html#10001%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\iqyju.dll/sp.html#10001%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\iqyju.dll/sp.html#10001%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\iqyju.dll/sp.html#10001%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\iqyju.dll/sp.html#10001%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\iqyju.dll/sp.html#10001%resultposition.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\iqyju.dll/sp.html#10001%resultposition.net
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
O2 - BHO: Class - {0CDCC695-26E8-8B05-0DE0-344FBFCD407F} - C:\WINDOWS\system32\addpl.dll
O2 - BHO: Class - {0E59F682-B49E-9314-4B0F-55169D9DB01D} - C:\WINDOWS\system32\addrn32.dll
O2 - BHO: Class - {28788C62-5F22-3093-C22A-23E8DF6C5DBE} - C:\WINDOWS\system32\sysst32.dll
O2 - BHO: Class - {325EAD02-95B5-830B-5E5C-CD067BAA172B} - C:\WINDOWS\system32\sysod.dll
O2 - BHO: Class - {AC4257E2-6DD2-AEC4-FFD6-D5E44CC39DBE} - C:\WINDOWS\d3ak.dll
O2 - BHO: Class - {F28A8F48-6732-94EF-9B61-1BEC0CE57091} - C:\WINDOWS\system32\d3lu32.dll
O4 - HKLM\..\Run: [crei32.exe] C:\WINDOWS\system32\crei32.exe
O4 - HKLM\..\Run: [Preventon RealTime Antivirus] C:\Program Files\@Home veiligheid\AntiVirus\AVRealTime.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [StopSignSsTsMon] Rundll32.exe "C:\Program Files\Acceleration Software\Anti-Virus\sstsmon.dll",VerifyStatus
O4 - HKLM\..\Run: [webscan] "C:\Program Files\Acceleration Software\Anti-Virus\stopsignav.exe" -k
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: AVerTV USB 2.0 plus.lnk = C:\Program Files\AVerTV USB 2.0 Plus\QuickTV.exe
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\mfcfp.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe


groeten

Chris



beste chris,

maak een permanente map aan voor HiJackThis
vb: C\HJT\hjt.exe

als je dit gedaan hebt
open dan HiJackThis, klik op "do a system scan and save a log file" en post dan het nieuwe logje


groetjes nojs
nojs
12 January 2006, 19:06
Dag chris,
je kan misschien best deze instructies uitprinten

1.Download deze regfile regfile (http://users.telenet.be/marcvn/regfiles/HSfix.zip).
je moet deze dan unzippen op het bureaublad maar nog niet gebruiken.

2. Download CWShredder (http://cwshredder.net/bin/CWShredder.exe). Gebruik het programma nog niet.

3. Download About:buster (http://www.majorgeeks.com/download4289.html). Unzip het naar c:\aboutbuster en controleer of er updates beschikbaar. Installeer deze.

4. Zorg dat alle verborgen bestanden weergegeven worden. Instructies vind je hier (http://users.pandora.be/marcvn/spyware/1117602.htm).

5. Start de computer in veilige modus (http://users.pandora.be/marcvn/spyware/1378056.htm).

6. Open HiJackThis, klik op "do a system scan only" en vink de volgende regels aan:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\iqyju.dll/sp.html#10001%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\iqyju.dll/sp.html#10001%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\iqyju.dll/sp.html#10001%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\iqyju.dll/sp.html#10001%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\iqyju.dll/sp.html#10001%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\iqyju.dll/sp.html#10001%resultposition.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\iqyju.dll/sp.html#10001%resultposition.net
R3 - Default URLSearchHook is missing

O2 - BHO: Class - {0CDCC695-26E8-8B05-0DE0-344FBFCD407F} - C:\WINDOWS\system32\addpl.dll
O2 - BHO: Class - {0E59F682-B49E-9314-4B0F-55169D9DB01D} - C:\WINDOWS\system32\addrn32.dll
O2 - BHO: Class - {28788C62-5F22-3093-C22A-23E8DF6C5DBE} - C:\WINDOWS\system32\sysst32.dll
O2 - BHO: Class - {325EAD02-95B5-830B-5E5C-CD067BAA172B} - C:\WINDOWS\system32\sysod.dll
O2 - BHO: Class - {AC4257E2-6DD2-AEC4-FFD6-D5E44CC39DBE} - C:\WINDOWS\d3ak.dll
O2 - BHO: Class - {F28A8F48-6732-94EF-9B61-1BEC0CE57091} - C:\WINDOWS\system32\d3lu32.dll

023 Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\mfcfp.exe

sluit nu al je vensters en browsers behalve HiJackThis en klik op "fix checked"

7. Dubbelklik op HSfix.reg om de wijzigingen aan het register toe te voegen.


8. Verwijder de volgende bestanden:

C:\WINDOWS\system32\addpl.dll
C:\WINDOWS\system32\addrn32.dll
C:\WINDOWS\system32\sysst32.dll
C:\WINDOWS\system32\sysod.dll
C:\WINDOWS\d3ak.dll
C:\WINDOWS\system32\mfcfp.exe

9. download CCleaner (www.ccleaner.com) en laat het scannen

10. Herstel je webinstellingen: ga naar Configuratiescherm - Internetopties - tabblad Programma's. Klik op de knop Webinstellingen herstellen.

11. Start CWShredder en klik op de fix-knop.

12. Start About:buster. Wanneer het programma vraagt om een tweede keer te scannen doe je dit.

13. Reboot de computer nu in normale modus.

14. Doe een online-virusscan (http://housecall.trendmicro.com/housecall/start_corp.asp).

15. Post een nieuw hijackthislogje + het logje van aboutbuster, Je vindt dit log (AB logfile.txt) in de map van waaruit about:Buster draait + het rapport van ewido


groetjes nojs


Notes:

Deze procedure kan je best uitprinten. Voer de procedure vanaf stap 5 tot en met stap 13 in één keer uit en maak ondertussen geen connectie met het net.

De online-scan van Trend-Micro ruimt eventueel nog overgebleven bestanden op van deze infectie.
barcode
13 January 2006, 01:05
Dag chris,
je kan misschien best deze instructies uitprinten

1.Download deze regfile regfile (http://users.telenet.be/marcvn/regfiles/HSfix.zip).
je moet deze dan unzippen op het bureaublad maar nog niet gebruiken.

2. Download CWShredder (http://cwshredder.net/bin/CWShredder.exe). Gebruik het programma nog niet.

3. Download about:buster (http://www.majorgeeks.com/download4289.html). Unzip het naar c:\aboutbuster en controleer of er updates beschikbaar. Installeer deze.

4. Zorg dat alle verborgen bestanden weergegeven worden. Instructies vind je hier (http://users.pandora.be/marcvn/spyware/1117602.htm).

5. Start de computer in veilige modus (http://users.pandora.be/marcvn/spyware/1378056.htm).

6. Open HiJackThis, klik op "do a system scan only" en vink de volgende regels aan:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\iqyju.dll/sp.html#10001%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\iqyju.dll/sp.html#10001%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\iqyju.dll/sp.html#10001%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\iqyju.dll/sp.html#10001%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\iqyju.dll/sp.html#10001%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\iqyju.dll/sp.html#10001%resultposition.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\iqyju.dll/sp.html#10001%resultposition.net
R3 - Default URLSearchHook is missing

O2 - BHO: Class - {0CDCC695-26E8-8B05-0DE0-344FBFCD407F} - C:\WINDOWS\system32\addpl.dll
O2 - BHO: Class - {0E59F682-B49E-9314-4B0F-55169D9DB01D} - C:\WINDOWS\system32\addrn32.dll
O2 - BHO: Class - {28788C62-5F22-3093-C22A-23E8DF6C5DBE} - C:\WINDOWS\system32\sysst32.dll
O2 - BHO: Class - {325EAD02-95B5-830B-5E5C-CD067BAA172B} - C:\WINDOWS\system32\sysod.dll
O2 - BHO: Class - {AC4257E2-6DD2-AEC4-FFD6-D5E44CC39DBE} - C:\WINDOWS\d3ak.dll
O2 - BHO: Class - {F28A8F48-6732-94EF-9B61-1BEC0CE57091} - C:\WINDOWS\system32\d3lu32.dll

023 Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\mfcfp.exe

sluit nu al je vensters en browsers behalve HiJackThis en klik op "fix checked"

7. Dubbelklik op HSfix.reg om de wijzigingen aan het register toe te voegen.


8. Verwijder de volgende bestanden:

C:\WINDOWS\system32\addpl.dll
C:\WINDOWS\system32\addrn32.dll
C:\WINDOWS\system32\sysst32.dll
C:\WINDOWS\system32\sysod.dll
C:\WINDOWS\d3ak.dll
C:\WINDOWS\system32\mfcfp.exe

9. download CCleaner (http://www.ccleaner.com) en laat het scannen

10. Herstel je webinstellingen: ga naar Configuratiescherm - Internetopties - tabblad Programma's. Klik op de knop Webinstellingen herstellen.

11. Start CWShredder en klik op de fix-knop.

12. Start about:buster. Wanneer het programma vraagt om een tweede keer te scannen doe je dit.

13. Reboot de computer nu in normale modus.

14. Doe een online-virusscan (http://housecall.trendmicro.com/housecall/start_corp.asp).

15. Post een nieuw hijackthislogje + het logje van aboutbuster, Je vindt dit log (AB logfile.txt) in de map van waaruit about:Buster draait + het rapport van ewido


groetjes nojs


Notes:

Deze procedure kan je best uitprinten. Voer de procedure vanaf stap 5 tot en met stap 13 in één keer uit en maak ondertussen geen connectie met het net.

De online-scan van Trend-Micro ruimt eventueel nog overgebleven bestanden op van deze infectie.

Dag Nojs,

De online scan leek vast te lopen, maar hierbij de logfiles (excl. het rapport van ewido????)

Logfile of HijackThis v1.99.1
Scan saved at 0:00:42, on 13-1-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Common Files\Microsoft Shared\Media Manager\airsvcu.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\Program Files\@Home veiligheid\AntiVirus\AVRealTime.exe
C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe
C:\Program Files\Acceleration Software\Anti-Virus\stopsignav.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\AVerTV USB 2.0 Plus\QuickTV.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cidaemon.exe
C:\HJT\HijackThis.exe
C:\HJT\HijackThis.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
O4 - HKLM\..\Run: [Preventon RealTime Antivirus] C:\Program Files\@Home veiligheid\AntiVirus\AVRealTime.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [StopSignSsTsMon] Rundll32.exe "C:\Program Files\Acceleration Software\Anti-Virus\sstsmon.dll",VerifyStatus
O4 - HKLM\..\Run: [webscan] "C:\Program Files\Acceleration Software\Anti-Virus\stopsignav.exe" -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: AVerTV USB 2.0 plus.lnk = C:\Program Files\AVerTV USB 2.0 Plus\QuickTV.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe



AboutBuster 6.0
Scan started on [12-1-2006] at [21:02:19]
-------------------------------------------------------------
Internet Explorer Instances Terminated!
HomeSearch Service stopped if present
-------------------------------------------------------------
Removed Stream! C:\WINDOWS\BBCAuto.INI:yqukiw
Removed Stream! C:\WINDOWS\cmsstorage.lst:jsxuer
Removed Stream! C:\WINDOWS\cmsstorage.lst:nlxhm
Removed Stream! C:\WINDOWS\DESKTOP.INI:xeisi
Removed Stream! C:\WINDOWS\hicve.txt:gxdvbv
Removed Stream! C:\WINDOWS\MSDFMAP.INI:vwujyv
Removed Stream! C:\WINDOWS\QTFont.for:iktgiu
Removed Stream! C:\WINDOWS\_DEFAULT.PIF:jnnbvm
-------------------------------------------------------------
Removed File! : C:\WINDOWS\avxcr.dat
Removed File! : C:\WINDOWS\netqk.exe
Removed File! : C:\WINDOWS\system32\d3oh.exe
Removed File! : C:\WINDOWS\system32\exdgt.dll
Removed File! : C:\WINDOWS\system32\ienw32.dll
Removed File! : C:\WINDOWS\system32\iqyju.dll
Removed File! : C:\WINDOWS\system32\jqhky.log
Removed File! : C:\WINDOWS\system32\lgjny.txt
Removed File! : C:\WINDOWS\system32\lryxc.dll
Removed File! : C:\WINDOWS\system32\mamkh.dat
Removed File! : C:\WINDOWS\system32\netvd32.exe
Removed File! : C:\WINDOWS\system32\nnfzy.dll
Removed File! : C:\WINDOWS\system32\paflo.dat
Removed File! : C:\WINDOWS\system32\sdajn.dat
Removed File! : C:\WINDOWS\system32\wgzci.dat
Removed File! : C:\WINDOWS\system32\wpdfk.dat
Removed File! : C:\WINDOWS\system32\xthog.dll
Removed File! : C:\WINDOWS\system32\ypwrc.dat
-------------------------------------------------------------
Removed Temp Files
Internet Explorer Settings Reset!
-------------------------------------------------------------
Scan was COMPLETED SUCCESSFULLY at 21:04:56


bvd voor je hulp.

groet

Chris
nojs
13 January 2006, 22:20
dag chris

- open HijackThis en klik op "do a systemscan only"

- kruis de volgende regel aan:

O4 - HKLM\..\Run: [webscan] "C:\Program Files\Acceleration Software\Anti-Virus\stopsignav.exe" -k

- sluit nu al je vensters en browsers behalve HijackThis en klik op "fix checked"


- kijk dan of volgende mappen/bestanden nog aanwezig zijn (verwijder ze indien aanwezig):

C:\Program Files\Acceleration Software (deze map)

- herstart je pc en plaats nog eens een nieuw logje
barcode
14 January 2006, 10:00
dag chris

- open HijackThis en klik op "do a systemscan only"

- kruis de volgende regel aan:

O4 - HKLM\..\Run: [webscan] "C:\Program Files\Acceleration Software\Anti-Virus\stopsignav.exe" -k

- sluit nu al je vensters en browsers behalve HijackThis en klik op "fix checked"


- kijk dan of volgende mappen/bestanden nog aanwezig zijn (verwijder ze indien aanwezig):

C:\Program Files\Acceleration Software (deze map)

- herstart je pc en plaats nog eens een nieuw logje


Dag Nojs,

Ik krijg de map Accelartion Software niet verwijderd. Hij geeft aan dat dsshell.dll mog in gebruik is of beschermd is tegen verwijdering. Alvorens ik dus verder ga graag even jouw tip hiervoor.

Alvast weer bedankt!

chris
barcode
14 January 2006, 13:26
Dag Nojs,

Ik krijg de map Accelartion Software niet verwijderd. Hij geeft aan dat dsshell.dll mog in gebruik is of beschermd is tegen verwijdering. Alvorens ik dus verder ga graag even jouw tip hiervoor.

Alvast weer bedankt!

chris

Dag Njs,

Ik heb de acceleration software gedeinstalleerd en deze map komt nu ook niet meer voor. Onderstaande mijn nieuwe logfile:

Logfile of HijackThis v1.99.1
Scan saved at 12:24:35, on 14-1-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Common Files\Microsoft Shared\Media Manager\airsvcu.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\AVerTV USB 2.0 Plus\QuickTV.exe
C:\Program Files\@Home veiligheid\AntiVirus\AVRealTime.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\HJT\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bbo.nl/
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
O4 - HKLM\..\Run: [Preventon RealTime Antivirus] C:\Program Files\@Home veiligheid\AntiVirus\AVRealTime.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: AVerTV USB 2.0 plus.lnk = C:\Program Files\AVerTV USB 2.0 Plus\QuickTV.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe


bvd

groet

Chris
nojs
16 January 2006, 21:33
dag chris,

open HJT en klik op "do a systemscan only" en kruis de volgende regels aan

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe


sluit nu al je vensters en browsers en klik op "fix checked"

herstart je pc en plaats nog eens een nieuw logje van HijakcThis

groetjes nojs
barcode
18 January 2006, 21:49
dag chris,

open HJT en klik op "do a systemscan only" en kruis de volgende regels aan

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe


sluit nu al je vensters en browsers en klik op "fix checked"

herstart je pc en plaats nog eens een nieuw logje van HijakcThis

groetjes nojs


Dag Nojs,

Hierbij mijn nieuwe logfile:


Logfile of HijackThis v1.99.1
Scan saved at 20:48:06, on 18-1-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Common Files\Microsoft Shared\Media Manager\airsvcu.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\@Home veiligheid\AntiVirus\AVRealTime.exe
C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\AVerTV USB 2.0 Plus\QuickTV.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\HJT\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.ilse.n
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bbo.nl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.ilse.n
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bbo.nl
O4 - HKLM\..\Run: [Preventon RealTime Antivirus] C:\Program Files\@Home veiligheid\AntiVirus\AVRealTime.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: AVerTV USB 2.0 plus.lnk = C:\Program Files\AVerTV USB 2.0 Plus\QuickTV.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe


groet

Chris
nojs
20 January 2006, 17:23
Dag chris,

je logje is clean nu, ondervind jij nog problemen ?

Nog een paar tips om problemen te voorkomen in de toekomst:

Installeer alvast volgende GRATIS programmatjes indien je ze nog niet hebt:

Spywareblaster
Adaware se
Spybot s&d


Tijdens het surfen, klik niet overal klakkeloos op ja als je dit gevraagd wordt... doe dit enkel wanneer je het volledig vertrouwt.

En kies eventueel een alternatieve browser zoals Opera of Firefox.

En ik raad je ook aan om af en toe een online virusscan uit te voeren. housecall en/of Bitdefender. Want, wat de ene scanner niet kan vinden, kan een andere misschien wel.
Zorg er ook voor dat je virusscanner die op je systeem geïnstalleerd is altijd up to date is!!

En... geregeld eens een bezoekje brengen aan: http://windowsupdate.microsoft.com/

Bekijk ook eens deze 2 filmpjes.. Heel interessant:
http://www2.trosradar.nl/mediaplayer...&mode=dossier#
http://www.benedelman.org/spyware/security-111804.wmv


Meer preventietips zijn ook op volgende sites te vinden:

http://www.bluemedicine.be
http://users.telenet.be/marcvn/spyware
How did I get infected in the first place (article by TonyKlein) (http://castlecops.com/postitle7736-0-0-.htm)
http://www.antispywareoffensief.nl/forum/showthread.php?t=55 (Het voorkomen van spyware-infecties en browserhijacking)
barcode
22 January 2006, 21:41
Dag Nojs,

Geen problemen meer,


Super!!! Ik ga direct je adviezen in gang zetten!

Nogmaals reuze bedankt! Keep up the good work!


groet

Chris :bow: :good:



Dag chris,

je logje is clean nu, ondervind jij nog problemen ?

Nog een paar tips om problemen te voorkomen in de toekomst:

Installeer alvast volgende GRATIS programmatjes indien je ze nog niet hebt:

Spywareblaster
Adaware se
Spybot s&d


Tijdens het surfen, klik niet overal klakkeloos op ja als je dit gevraagd wordt... doe dit enkel wanneer je het volledig vertrouwt.

En kies eventueel een alternatieve browser zoals Opera of Firefox.

En ik raad je ook aan om af en toe een online virusscan uit te voeren. housecall en/of Bitdefender. Want, wat de ene scanner niet kan vinden, kan een andere misschien wel.
Zorg er ook voor dat je virusscanner die op je systeem geïnstalleerd is altijd up to date is!!

En... geregeld eens een bezoekje brengen aan: http://windowsupdate.microsoft.com/

Bekijk ook eens deze 2 filmpjes.. Heel interessant:
http://www2.trosradar.nl/mediaplayer...&mode=dossier#
http://www.benedelman.org/spyware/security-111804.wmv


Meer preventietips zijn ook op volgende sites te vinden:

http://www.bluemedicine.be
http://users.telenet.be/marcvn/spyware
How did I get infected in the first place (article by TonyKlein) (http://castlecops.com/postitle7736-0-0-.htm)
http://www.antispywareoffensief.nl/forum/showthread.php?t=55 (http://Het voorkomen van spyware-infecties en browserhijacking)
nojs
22 January 2006, 22:20
graag gedaan ;)

ik doe het graag ;)