Bartmen
27 December 2006, 15:32
Hallo
Ik heb hier te maken met de twee volgende Trojans:
trojan.goldun en trojan.proxy.ranky
Bartmen
Ik heb hier te maken met de twee volgende Trojans:
trojan.goldun en trojan.proxy.ranky
Bartmen
Volledige versie bekijken : Twee paardjes Bartmen 27 December 2006, 15:32 Hallo Ik heb hier te maken met de twee volgende Trojans: trojan.goldun en trojan.proxy.ranky Bartmen miss elfjen 27 December 2006, 15:54 het gaat dus om twee paardjes die vrolijk rondhuppelen in mijn computer en op hun weg allerlei dingen vertrappelen! Dit is mijn log: Logfile of HijackThis v1.99.1 Scan saved at 14:29:51, on 27.12.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Norton Internet Security\NISUM.EXE C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe C:\Program Files\Ahead\InCD\InCDsrv.exe C:\Program Files\Norton AntiVirus\navapsvc.exe C:\PROGRA~1\Alcatel\ENTERN~1\app\pppoeservice.exe C:\Program Files\Spyware Doctor\sdhelp.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Apoint2K\Apoint.exe C:\PROGRA~1\Wanadoo\taskbaricon.exe C:\Program Files\Packard Bell EverSafe\TrayControl.exe C:\Program Files\Apoint2K\Apntex.exe C:\Program Files\Apoint2K\HidFind.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\Program Files\Ahead\InCD\InCD.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Spyware Doctor\swdoctor.exe C:\Program Files\MSN Messenger\msnmsgr.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\VDG\Mijn documenten\Elke\hijack logs\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://format.packardbell.com/cgi-bin/redirect/?country=BENL&range=AD&phase=6&key=SEARCH R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.getjealous.com/getjealous.php?action=messageboard&go=blondello R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\benl.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo België R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\watch.exe O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\taskbaricon.exe O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [NovaNet-WEB Tray Control] C:\Program Files\Packard Bell EverSafe\TrayControl.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [EPSON Stylus C44 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC 2.EXE /P23 "EPSON Stylus C44 Series" /O6 "USB001" /M "Stylus C44" O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [userinit.exe] C:\WINDOWS\userinit.exe O4 - HKCU\..\Run: [ÑÒFMÎN.EXE] C:\WINDOWS\ÑÒFMÎN.EXE O4 - HKCU\..\Run: [Spyware Doctor] "C:\Program Files\Spyware Doctor\swdoctor.exe" /Q O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Packard Bell EverSafe Tray Control.lnk = C:\Program Files\Packard Bell EverSafe\TrayControl.exe O8 - Extra context menu item: Figuur openen in &Microsoft PhotoDraw - res://C:\PROGRA~1\MICROS~2\Office\1043\phdintl.dll/phdContext.htm O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\benl.htm O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by106w.bay106.mail.live.com/mail/resources/MsnPUpld.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.mijnalbum.nl/skin/v2/system/upload/ImageUploader4.cab O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O20 - Winlogon Notify: rege2usb - rege2usb.dll (file missing) O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\ccPxySvc.exe O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe O23 - Service: InCD File System Service (InCDsrv) - Unknown owner - C:\Program Files\Ahead\InCD\InCDsrv.exe O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Program Files\Norton Internet Security\NISUM.EXE O23 - Service: PPPoE Service (PPPoEService) - Unknown owner - C:\PROGRA~1\Alcatel\ENTERN~1\app\pppoeservice.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe De problemen die ik ondervind: - foutmeldingen - niet op messenger kunnen - niet op hotmail kunnen miss elfjen 27 December 2006, 18:17 ik heb geprobeerd wat in een ander topic stond, namelijk als reactie op iemand die ook een msn-virus had. Dit is mijn log na heel dat spellement van downloaden, scannen enzovoort: VDG - 06-12-27 17:08:29,06 Service Pack 1 ComboFix 06.11.27 - Running from: "C:\Documents and Settings\VDG\Bureaublad" ((((((((((((((((((((((((((((((( Files Created from 2006-11-27 to 2006-12-27 )))))))))))))))))))))))))))))))))) 2006-12-27 15:26 <DIR> d-------- C:\Documents and Settings\VDG\Application Data\Lavasoft 2006-12-27 15:25 <DIR> d-------- C:\Program Files\Lavasoft 2006-12-27 15:16 3,968 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys 2006-12-27 15:11 26,157 --a------ C:\WINDOWS\serv.exe 2006-12-27 15:05 <DIR> d--hs---- C:\Config.Msi 2006-12-27 11:25 28,672 --a------ C:\WINDOWS\system32\drivers\CO_Mon.sys 2006-12-27 10:13 <DIR> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP 2006-12-27 10:12 51,072 --a------ C:\WINDOWS\system32\drivers\ikhlayer.sys 2006-12-27 10:12 30,592 --a------ C:\WINDOWS\system32\drivers\ikhfile.sys 2006-12-27 10:10 <DIR> d-------- C:\Program Files\Spyware Doctor 2006-12-27 10:10 <DIR> d-------- C:\Documents and Settings\VDG\Application Data\PC Tools 2006-12-27 09:59 <DIR> dr-h----- C:\$VAULT$.AVG 2006-12-26 23:40 <DIR> d-------- C:\Documents and Settings\VDG\Application Data\AVG7 2006-12-26 23:39 816,672 --a------ C:\WINDOWS\system32\drivers\avg7core.sys 2006-12-26 23:39 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll 2006-12-26 23:39 4,960 --a------ C:\WINDOWS\system32\drivers\avgtdi.sys 2006-12-26 23:39 4,224 --a------ C:\WINDOWS\system32\drivers\avg7rsw.sys 2006-12-26 23:39 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll 2006-12-26 23:39 3,968 --a------ C:\WINDOWS\system32\drivers\avgclean.sys 2006-12-26 23:39 28,416 --a------ C:\WINDOWS\system32\drivers\avg7rsxp.sys 2006-12-26 23:39 18,240 --a------ C:\WINDOWS\system32\drivers\avgmfx86.sys 2006-12-26 23:38 <DIR> d-------- C:\Program Files\Grisoft 2006-12-26 23:38 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft 2006-12-26 23:38 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\avg7 2006-12-26 23:21 <DIR> d-------- C:\WINDOWS\system32\GroupPolicy 2006-12-26 23:20 <DIR> d-------- C:\Program Files\Hitman Pro 2006-12-18 22:10 52,493 --a------ C:\WINDOWS\system32\ysijtp.exe 2006-12-18 22:10 5,892 C:\WINDOWS\¥OFMIN.EXE 2006-12-18 22:10 30,791 --a------ C:\WINDOWS\userinit.exe 2006-12-18 21:23 <DIR> d-------- C:\Program Files\Soulseek 2006-12-14 22:23 69,632 --a------ C:\WINDOWS\system32\lfgif13n.dll 2006-12-14 22:23 57,344 --a------ C:\WINDOWS\system32\lfbmp13n.dll 2006-12-14 22:23 462,848 --a------ C:\WINDOWS\system32\ltkrn13n.dll 2006-12-14 22:23 450,560 --a------ C:\WINDOWS\system32\ltimg13n.dll 2006-12-14 22:23 401,408 --a------ C:\WINDOWS\system32\lfcmp13n.dll 2006-12-14 22:23 299,008 --a------ C:\WINDOWS\system32\ltdis13n.dll 2006-12-14 22:23 206,336 --a------ C:\WINDOWS\system32\ltefx13n.dll 2006-12-14 22:23 163,840 --a------ C:\WINDOWS\system32\ltfil13n.dll 2006-12-08 18:29 <DIR> d---s---- C:\Documents and Settings\VDG\UserData 2006-12-08 18:25 <DIR> d-------- C:\Documents and Settings\VDG\Contacts 2006-12-08 18:24 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))) ))) 2006-12-27 17:01 -------- d-------- C:\Program Files\Packard Bell EverSafe 2006-12-27 17:01 -------- d-------- C:\Program Files\Common Files\Symantec Shared 2006-12-27 17:01 -------- d-------- C:\Program Files\Common Files 2006-12-27 15:04 -------- d-------- C:\Program Files\Common Files\Microsoft Shared 2006-12-26 23:38 -------- d---s---- C:\Documents and Settings\VDG\Application Data\Microsoft 2006-12-26 19:43 -------- d-------- C:\Program Files\Norton Internet Security 2006-12-26 19:08 -------- d-------- C:\Program Files\Norton AntiVirus 2006-12-26 18:26 -------- d-------- C:\Program Files\Wanadoo 2006-12-18 22:10 5892 --a------ C:\WINDOWS\¥OFMIN.EXE 2006-12-17 20:06 -------- d-------- C:\Documents and Settings\VDG\Application Data\Skype 2006-12-09 07:47 -------- d-------- C:\Program Files\Symantec 2006-11-26 17:11 -------- d--h----- C:\Program Files\WindowsUpdate 2006-11-20 07:42 -------- d-------- C:\Program Files\SymNetDrv 2006-11-09 19:27 -------- d-------- C:\Program Files\Skype 2006-11-09 18:36 -------- d-------- C:\Documents and Settings\VDG\Application Data\MSN6 2006-10-30 18:58 -------- d-------- C:\Documents and Settings\VDG\Application Data\VanDale (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries are not shown [HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\run] "ctfmon.exe"="C:\\WINDOWS\\System32\\ctfmon.exe" "userinit.exe"="C:\\WINDOWS\\userinit.exe" "ÑÒFMÎN.EXE"="C:\\WINDOWS\\ÑÒFMÎN.EXE" "Spyware Doctor"="\"C:\\Program Files\\Spyware Doctor\\swdoctor.exe\" /Q" [HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run] "Apoint"="C:\\Program Files\\Apoint2K\\Apoint.exe" "SiSUSBRG"="C:\\WINDOWS\\SiSUSBrg.exe" "SiS Tray"="C:\\WINDOWS\\System32\\sistray.EXE" "SiS KHooker"="C:\\WINDOWS\\System32\\khooker.exe" "AGRSMMSG"="AGRSMMSG.exe" "WOOWATCH"="C:\\PROGRA~1\\Wanadoo\\watch.exe" "WOOTASKBARICON"="C:\\PROGRA~1\\Wanadoo\\taskbaricon.exe" "ccRegVfy"="\"C:\\Program Files\\Common Files\\Symantec Shared\\ccRegVfy.exe\"" "NovaNet-WEB Tray Control"="C:\\Program Files\\Packard Bell EverSafe\\TrayControl.exe" "TkBellExe"="\"C:\\Program Files\\Common Files\\Real\\Update_OB\\realsched.exe\" -osboot" "EPSON Stylus C44 Series"="C:\\WINDOWS\\System32\\spool\\DRIVERS\\W32X86\\3\\ E_S10IC2.EXE /P23 \"EPSON Stylus C44 Series\" /O6 \"USB001\" /M \"Stylus C44\"" "REGSHAVE"="C:\\Program Files\\REGSHAVE\\REGSHAVE.EXE /AUTORUN" "NeroCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe" "InCD"="C:\\Program Files\\Ahead\\InCD\\InCD.exe" "Symantec NetDriver Monitor"="C:\\PROGRA~1\\SYMNET~1\\SNDMon.exe /Consumer" "SSC_UserPrompt"="C:\\Program Files\\Common Files\\Symantec Shared\\Security Center\\UsrPrmpt.exe" "!AVG Anti-Spyware"="\"C:\\Program Files\\Grisoft\\AVG Anti-Spyware 7.5\\avgas.exe\" /minimized" [HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run\OptionalComponents] [HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run\OptionalComponents\MAPI] "NoChange"="1" "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run\OptionalComponents\MSFS] "Installed"="1" [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components] "DeskHtmlVersion"=dword:00000110 "DeskHtmlMinorVersion"=dword:00000005 "Settings"=dword:00000001 "GeneralFlags"=dword:00000001 [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0] "Source"="about:Home" "SubscribedURL"="about:Home" "FriendlyName"="Mijn huidige introductiepagina" "Flags"=dword:00000002 "Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00, 00,e2,02,00,00,00,\ 00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00 ,00,00,00,00,00,00 "CurrentState"=hex:04,00,00,40 "OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff, ff,ff,ff,\ ff,ff,04,00,00,00 "RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00, 00,9a,00,\ 00,00,01,00,00,00 [HKEY_USERS\.default\software\microsoft\windows\cur rentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE" "AVG7_Run"="C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgw.exe /RUNONCE" "Spyware Doctor"="\"C:\\Program Files\\Spyware Doctor\\swdoctor.exe\" /Q" [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE" "AVG7_Run"="C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgw.exe /RUNONCE" "Spyware Doctor"="\"C:\\Program Files\\Spyware Doctor\\swdoctor.exe\" /Q" [HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\explorer\sharedtaskscheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Preloader van browseui" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Cache-daemon voor onderdeelcategorieën" [HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\explorer\shellexecutehooks] "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"="" "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="AVG Anti-Spyware 7.5" [HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000095 [HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\policies\explorer\Run] [HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\policies\system] "dontdisplaylastusername"=dword:00000000 "legalnoticecaption"="" "legalnoticetext"="" "shutdownwithoutlogon"=dword:00000001 "undockwithoutlogon"=dword:00000001 [HKEY_USERS\.default\software\microsoft\windows\cur rentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\polic ies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\shellserviceobjectdelayload] "PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}" "CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}" "WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}" "SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}" HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rege2usb [HKEY_LOCAL_MACHINE\system\currentcontrolset\contro l\securityproviders] "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll" Contents of the 'Scheduled Tasks' folder C:\WINDOWS\tasks\HDReg.job C:\WINDOWS\tasks\Herinnering voor registratie 1.job C:\WINDOWS\tasks\Herinnering voor registratie 2.job C:\WINDOWS\tasks\Herinnering voor registratie 3.job C:\WINDOWS\tasks\Norton AntiVirus - Mijn computer scannen.job C:\WINDOWS\tasks\Symantec NetDetect.job Completion time: 06-12-27 17:10:58.52 C:\ComboFix.txt ... 06-12-27 17:10 en hier is mijn hijack log Logfile of HijackThis v1.99.1 Scan saved at 17:16:04, on 27.12.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Norton Internet Security\NISUM.EXE C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe C:\Program Files\Ahead\InCD\InCDsrv.exe C:\PROGRA~1\Alcatel\ENTERN~1\app\pppoeservice.exe C:\Program Files\Spyware Doctor\sdhelp.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Apoint2K\Apoint.exe C:\WINDOWS\System32\sistray.EXE C:\WINDOWS\System32\khooker.exe C:\WINDOWS\AGRSMMSG.exe C:\PROGRA~1\Wanadoo\taskbaricon.exe C:\Program Files\Apoint2K\HidFind.exe C:\Program Files\Apoint2K\Apntex.exe C:\Program Files\Packard Bell EverSafe\TrayControl.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\Program Files\Ahead\InCD\InCD.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Spyware Doctor\swdoctor.exe C:\Program Files\Internet Explorer\iexplore.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Documents and Settings\VDG\Mijn documenten\Elke\hijack logs\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://format.packardbell.com/cgi-bin/redirect/?country=BENL&range=AD&phase=6&key=SEARCH R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.getjealous.com/getjealous.php?action=messageboard&go=blondello R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\benl.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo België R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\watch.exe O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\taskbaricon.exe O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [NovaNet-WEB Tray Control] C:\Program Files\Packard Bell EverSafe\TrayControl.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [EPSON Stylus C44 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC 2.EXE /P23 "EPSON Stylus C44 Series" /O6 "USB001" /M "Stylus C44" O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [userinit.exe] C:\WINDOWS\userinit.exe O4 - HKCU\..\Run: [ÑÒFMÎN.EXE] C:\WINDOWS\ÑÒFMÎN.EXE O4 - HKCU\..\Run: [Spyware Doctor] "C:\Program Files\Spyware Doctor\swdoctor.exe" /Q O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Packard Bell EverSafe Tray Control.lnk = C:\Program Files\Packard Bell EverSafe\TrayControl.exe O8 - Extra context menu item: Figuur openen in &Microsoft PhotoDraw - res://C:\PROGRA~1\MICROS~2\Office\1043\phdintl.dll/phdContext.htm O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\benl.htm O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by106w.bay106.mail.live.com/mail/resources/MsnPUpld.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.mijnalbum.nl/skin/v2/system/upload/ImageUploader4.cab O20 - Winlogon Notify: rege2usb - rege2usb.dll (file missing) O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\ccPxySvc.exe O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe O23 - Service: InCD File System Service (InCDsrv) - Unknown owner - C:\Program Files\Ahead\InCD\InCDsrv.exe O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Program Files\Norton Internet Security\NISUM.EXE O23 - Service: PPPoE Service (PPPoEService) - Unknown owner - C:\PROGRA~1\Alcatel\ENTERN~1\app\pppoeservice.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe Please, kan iemand mij helpen.... ik wil zo graag opnieuw op hotmail en msn kunnen... jurgenv 27 December 2006, 18:33 * Download en installeer AVG Anti-Spyware (http://www.ewido.net/en/download/). Na de installatie, open AVG Anti-Spyware: * onder "Status", klik op Change state naast "Resident shield". (wijzig van active naar inactive!) * onder "Update", klik op de Start update knop. * onder "Scanner", tab "Settings":- onder "How to act?", klik op "Recommended actions" en selecteer Quarantine. (ZEER BELANGRIJK!) * onder "Reports", selecteer Automatically generate report after every scan en verwijder het vinkje bij Only if threats were found Sluit AVG Anti-Spyware. Laat het nog niet scannen. * Als je Adaware SE nog niet geïnstalleerd hebt, download, installeer en update het dan volgens de richtlijnen die je kan vinden op: http://users.pandora.be/marcvn/spyware/1414188.htm Download link van Ad-aware: http://www.lavasoftusa.com/products/ad-aware_se_personal.php * Start je computer op in VEILIGE MODUS (http://users.pandora.be/marcvn/spyware/1378056.htm) * Voer een volledige scan uit met Adaware en verwijder alles wat gevonden wordt. * Start AVG Anti-Spyware.* Klik op Scan en kies Complete System Scan. Na de scan; volg onderstaande instructies : BELANGRIJK : Klik niet op de "Save Scan Report" knop vooraleer je de "Apply all Actions" knop hebt aangeklikt ! * Draag er zorg voor dat Set all elements to: op Quarantine staat (1), zoniet klik op de link en kies Quarantine in de popup menu. (2) (Dit geldt niet voor cookies, deze worden onveranderlijk gedelete !) * Onderaan het venster klik op de Apply all Actions knop. (3) http://home.scarlet.be/~topalex/ewidoscan.jpg * Wanneer je de melding krijgt 'All actions have been applied', klik je onderaan op de knop Save Report. * Herstart je computer in normale modus. * Download ATF cleaner (http://www.atribune.org/ccount/click.php?id=1) (by Atribune) Dubbelklik op ATF cleaner om het programma te starten. Op het tabblad "Main", plaats je een vinkje bij Select All. Klik op de knop Empty Selected. Gebruik je ook Firefox als browser: Klik op tabblad "Firefox", plaats een vinkje bij Select All. Wil je de door Firefox opgeslagen wachtwoorden behouden, dan klik je in het venster dat verschijnt op "No". (dit verwijdert het vinkje bij "Firefox saved passwords") Klik op de knop Empty Selected. Gebruik je ook Opera als browser: Klik op tabblad "Opera", plaats een vinkje bij Select All. Wil je de door Opera opgeslagen wachtwoorden behouden, dan klik je in het venster dat verschijnt op "No". Klik op de knop Empty Selected. Ga naar het tabblad "Main" en klik op de knop Exit om het programma af te sluiten. * Post dan een nieuw hijackthis logje hier met het rapport van AVG antispyware. miss elfjen 27 December 2006, 18:39 ja maar dat heb ik net helemaal gedaan! Ik had gezien dat je dit had aangeraden aan iemand die een msn-virus had, dus heb de hele procedure uitgevoerd. De log staat er al (zie mijn laatste post) jurgenv 27 December 2006, 18:46 MSN gede-installeerd? Ik zie ook geen logje van AVG antispyware. :) miss elfjen 27 December 2006, 18:52 msn heb ik gedeïnstalleerd (configuratiescherm software verwijderen), dit is de log van AVG: AVG Anti-Spyware - Scan Report --------------------------------------------------------- + Created at: 16:59:07 27/12/2006 + Scan result: C:\Program Files\DAEMON Tools\SetupDTSB.exe -> Adware.SaveNow : Cleaned with backup (quarantined). ::Report end Het is nogal kort, maar ik had een foutje gemaakt in m'n veilige modus, ipv te scannen en zo met AVG, had ik 't met ad-Aware gedaan. Daarbij werden 33 bestanden in quarantaine gezet en dan verwijderd (handmatig gedaan). Vervolgens heb ik ook nog eens gescand met AVG, waarvan je het rapport hierboven ziet. Dit zijn de logs van Spyware, eentje 's ochtends (voor ik alles uitvoerde wat hierboven staat) en eentje van zonet (na dus het hele gedoe in veilige modus en zo) Scanresultaten: start scan:27.12.2006 12:21:20einde scan:27.12.2006 12:39:03 gescande items:16312 gevonden items:2 gevonden en genegeerd:0 gebruikte programma's:General Scanner, Process Scanner, Startup Scanner, Disk Scanner, ActiveX Scanner Infectienaam: Trojan.Proxy.Ranky C:\DIVTOOLS\UNZIP\UNZIPSFX.EXE Trojan.Goldun C:\WINDOWS\SYSTEM32\regepsrvc.sys Scanresultaten: start scan:27.12.2006 17:37:04einde scan:27.12.2006 17:56:39 gescande items:72257 gevonden items:2 gevonden en genegeerd:0 gebruikte programma's:General Scanner, Process Scanner, LSP Scanner, Startup Scanner, Registry Scanner, Browser Scanner, Browser Activity Scanner, Disk Scanner, ActiveX Scanner Infectienaam: Tracking Cookie(s) C:\Documents and Settings\VDG\Cookies\vdg@metriweb[1].txt Trojan.Goldun C:\WINDOWS\serv.exe miss elfjen 28 December 2006, 11:24 Ik heb nog een vraagje: als ik bij AVG anti-spyware de update wil starten, krijg ik de melding dat hij geen connectie kan maken met internet. Ik heb een LAN-verbinding, hoe stel ik dit in dat hij toch connectie kan maken...? jurgenv 28 December 2006, 14:30 Download haxfix.exe (http://users.telenet.be/marcvn/tools/haxfix.exe). Plaats het op je bureaublad. Sluit alle andere programma's en sluit alle open vensters. Dubbelklik op haxfix.exe om de installatie te starten. Plaats een vinkje bij "Create a desktop icon". Klik op "Next" en volg de instructies op het scherm. Als de installatie klaar is zorg je dat er een vinkje staat bij "Launch HaxFix". Klik op "Finish". Er opent een rood doschermpje. Kies voor Optie 1: Make logfile door op 1 te drukken. Dit kan even duren. Wanneer HaxFix hiermee klaar is opent er een kladblokbestandje (haxlog.txt) Post de inhoud van dat bestandje. miss elfjen 28 December 2006, 15:50 HAXFIX logfile - by Marckie version 4.32 28.12.2006 14:47:19,17 --- Checking for Haxdoor --- checking for a3d files a3d files not found checking for matching notify keys no matching notify keys found checking for matching services matching services found CmBatt checking for matching safeboot services no matching safeboot services found checking for other Haxdoor-files no other Haxdoor-files found --- Checking for Goldun --- checking for SSODL keys no ssodl keys found checking for notify keys rege2usb checking for services no services found checking for other Goldun-files no other Goldun-files found Finished! jurgenv 28 December 2006, 15:58 Start Haxfix opnieuw door op je bureaublad op het icoontje HaxFix te klikken. (of open de map program files\haxfix en dubbelklik op fix.bat) Sluit alle andere vensters, de computer zal tijdens het runnen van HaxFix herstarten. Tik in 2 en druk op Enter om Optie 2 "Run auto fix" te starten. Volg de instructies op het scherm. De computer zal opnieuw starten. Als Haxfix klaar is, opent er een kladblokbestand (c:\haxfix.txt). Post de inhoud van dit bestandje. miss elfjen 28 December 2006, 16:19 HAXFIX logfile - by Marckie version 4.32 28.12.2006 15:11:18,02 --- Auto Haxdoorfix --- searching for files: no infections found --- Goldunfix --- searching for files: searching for SSODLkeys: no SSODLkeys found searching for notifykeys: rege2usb searching for services: no services found .....rebooting the computer..... searching for ssodlkeys not needed searching for notifykeys notifykey rege2usb not found searching for services not needed searching for safeboot services not needed searching for files rege2usb.dll exists deleting rege2usb.dll rege2usb.dll has been deleted checking for other files ksl48.bin exists deleting ksl48.bin ksl48.bin has been deleted checking for a3d files no a3d files found Finished en ik heb nog een keer gecheckt om zeker te zijn, en hij detecteert geen goldun meer!!! HAXFIX logfile - by Marckie version 4.32 28.12.2006 15:16:58,24 --- Checking for Haxdoor --- checking for a3d files a3d files not found checking for matching notify keys no matching notify keys found checking for matching services matching services found CmBatt checking for matching safeboot services no matching safeboot services found checking for other Haxdoor-files no other Haxdoor-files found --- Checking for Goldun --- checking for SSODL keys no ssodl keys found checking for notify keys no notify keys found checking for services no services found checking for other Goldun-files no other Goldun-files found Finished! jurgenv 28 December 2006, 16:20 Kan ik een nieuw hijackthis logje zien? miss elfjen 28 December 2006, 16:32 Logfile of HijackThis v1.99.1 Scan saved at 15:31:02, on 28.12.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Norton Internet Security\NISUM.EXE C:\WINDOWS\System32\alg.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe C:\Program Files\Ahead\InCD\InCDsrv.exe C:\PROGRA~1\Alcatel\ENTERN~1\app\pppoeservice.exe C:\Program Files\Spyware Doctor\sdhelp.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\Program Files\Apoint2K\Apoint.exe C:\WINDOWS\System32\sistray.EXE C:\WINDOWS\AGRSMMSG.exe C:\PROGRA~1\Wanadoo\taskbaricon.exe C:\Program Files\Apoint2K\Apntex.exe C:\Program Files\Apoint2K\HidFind.exe C:\Program Files\Packard Bell EverSafe\TrayControl.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\Program Files\Ahead\InCD\InCD.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Spyware Doctor\swdoctor.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\VDG\Mijn documenten\Elke\hijack logs\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://format.packardbell.com/cgi-bin/redirect/?country=BENL&range=AD&phase=6&key=SEARCH R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.getjealous.com/getjealous.php?action=messageboard&go=blondello R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\benl.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo België R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\watch.exe O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\taskbaricon.exe O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [NovaNet-WEB Tray Control] C:\Program Files\Packard Bell EverSafe\TrayControl.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [EPSON Stylus C44 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC 2.EXE /P23 "EPSON Stylus C44 Series" /O6 "USB001" /M "Stylus C44" O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [userinit.exe] C:\WINDOWS\userinit.exe O4 - HKCU\..\Run: [ÑÒFMÎN.EXE] C:\WINDOWS\ÑÒFMÎN.EXE O4 - HKCU\..\Run: [Spyware Doctor] "C:\Program Files\Spyware Doctor\swdoctor.exe" /Q O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Packard Bell EverSafe Tray Control.lnk = C:\Program Files\Packard Bell EverSafe\TrayControl.exe O8 - Extra context menu item: Figuur openen in &Microsoft PhotoDraw - res://C:\PROGRA~1\MICROS~2\Office\1043\phdintl.dll/phdContext.htm O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\benl.htm O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by106w.bay106.mail.live.com/mail/resources/MsnPUpld.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.mijnalbum.nl/skin/v2/system/upload/ImageUploader4.cab O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\ccPxySvc.exe O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe O23 - Service: InCD File System Service (InCDsrv) - Unknown owner - C:\Program Files\Ahead\InCD\InCDsrv.exe O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Program Files\Norton Internet Security\NISUM.EXE O23 - Service: PPPoE Service (PPPoEService) - Unknown owner - C:\PROGRA~1\Alcatel\ENTERN~1\app\pppoeservice.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe (ps ik kan nog niet op hotmail, dus ik denk dat er ergens nog wel iets moet fout zitten) jurgenv 28 December 2006, 16:34 Ga naar http://www.virustotal.com/en/indexf.html en upload volgend bestandje: C:\WINDOWS\ÑÒFMÎN.EXE Meld mij het resultaat hier met een nieuw hijackthis logje miss elfjen 28 December 2006, 16:45 resultaat van upload en scannen: http://www.virustotal.com/vt/en/resultadof?be26ca7f19ddd5063954daa244a5c6f1 en hijacklog: Logfile of HijackThis v1.99.1 Scan saved at 15:44:50, on 28.12.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Norton Internet Security\NISUM.EXE C:\WINDOWS\System32\alg.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe C:\Program Files\Ahead\InCD\InCDsrv.exe C:\PROGRA~1\Alcatel\ENTERN~1\app\pppoeservice.exe C:\Program Files\Spyware Doctor\sdhelp.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\Program Files\Apoint2K\Apoint.exe C:\WINDOWS\System32\sistray.EXE C:\WINDOWS\AGRSMMSG.exe C:\PROGRA~1\Wanadoo\taskbaricon.exe C:\Program Files\Apoint2K\Apntex.exe C:\Program Files\Apoint2K\HidFind.exe C:\Program Files\Packard Bell EverSafe\TrayControl.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\Program Files\Ahead\InCD\InCD.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Spyware Doctor\swdoctor.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\Valerie De Groote\Mijn documenten\Elke\hijack logs\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://format.packardbell.com/cgi-bin/redirect/?country=BENL&range=AD&phase=6&key=SEARCH R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.getjealous.com/getjealous.php?action=messageboard&go=blondello R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\benl.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo België R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\watch.exe O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\taskbaricon.exe O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [NovaNet-WEB Tray Control] C:\Program Files\Packard Bell EverSafe\TrayControl.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [EPSON Stylus C44 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC 2.EXE /P23 "EPSON Stylus C44 Series" /O6 "USB001" /M "Stylus C44" O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [userinit.exe] C:\WINDOWS\userinit.exe O4 - HKCU\..\Run: [ÑÒFMÎN.EXE] C:\WINDOWS\ÑÒFMÎN.EXE O4 - HKCU\..\Run: [Spyware Doctor] "C:\Program Files\Spyware Doctor\swdoctor.exe" /Q O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Packard Bell EverSafe Tray Control.lnk = C:\Program Files\Packard Bell EverSafe\TrayControl.exe O8 - Extra context menu item: Figuur openen in &Microsoft PhotoDraw - res://C:\PROGRA~1\MICROS~2\Office\1043\phdintl.dll/phdContext.htm O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\benl.htm O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by106w.bay106.mail.live.com/mail/resources/MsnPUpld.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.mijnalbum.nl/skin/v2/system/upload/ImageUploader4.cab O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\ccPxySvc.exe O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe O23 - Service: InCD File System Service (InCDsrv) - Unknown owner - C:\Program Files\Ahead\InCD\InCDsrv.exe O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Program Files\Norton Internet Security\NISUM.EXE O23 - Service: PPPoE Service (PPPoEService) - Unknown owner - C:\PROGRA~1\Alcatel\ENTERN~1\app\pppoeservice.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe jurgenv 28 December 2006, 16:51 * Open hijackthis en vink volgende regel aan: O4 - HKCU\..\Run: [ÑÒFMÎN.EXE] C:\WINDOWS\ÑÒFMÎN.EXE * Sluit dan alle vensters behalve hijackthis en klik op 'fix checked' * Download en unzip Killbox (http://www.downloads.subratam.org/KillBox.exe) naar je bureaublad. Klik op killbox.exe. Selecteer de optie "Delete on reboot". In het veld "Full Path of File to Delete" kopieer en plak je het volgende: C:\WINDOWS\ÑÒFMÎN.EXE Klik op de knop: single file (!Belangrijk!) Daarna, Klik op de rode cirkel met het wit kruisje erin. Killbox zal zeggen dat deze file zal verwijderd worden on reboot.. vraagt om nu te rebooten. Klik YES. Je pc moet nu rebooten. * Download ATF cleaner (http://www.atribune.org/ccount/click.php?id=1) (by Atribune) * Sluit alle open programma's! Dubbelklik op ATF cleaner om het programma te starten. Op het tabblad "Main", plaats je een vinkje bij Select All. Klik op de knop Empty Selected. Gebruik je ook Firefox als browser: Klik op tabblad "Firefox", plaats een vinkje bij Select All. Wil je de door Firefox opgeslagen wachtwoorden behouden, dan klik je in het venster dat verschijnt op "No". (dit verwijdert het vinkje bij "Firefox saved passwords") Klik op de knop Empty Selected. Gebruik je ook Opera als browser: Klik op tabblad "Opera", plaats een vinkje bij Select All. Wil je de door Opera opgeslagen wachtwoorden behouden, dan klik je in het venster dat verschijnt op "No". Klik op de knop Empty Selected. Ga naar het tabblad "Main" en klik op de knop Exit om het programma af te sluiten. * Ga naar http://windowsupdate.microsoft.com/ en installeer service pack 2 en de daaropvolgende updates. * Post dan een nieuw hijackthis logje hier. miss elfjen 28 December 2006, 17:13 de updates van microsoft lukten niet, ik kreeg een foutmelding (http://update.microsoft.com/windowsupdate/v6/default.aspx?ln=nl) dit is het hijacklogje van erna: Logfile of HijackThis v1.99.1 Scan saved at 16:12:46, on 28.12.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Norton Internet Security\NISUM.EXE C:\WINDOWS\System32\alg.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe C:\Program Files\Ahead\InCD\InCDsrv.exe C:\PROGRA~1\Alcatel\ENTERN~1\app\pppoeservice.exe C:\Program Files\Spyware Doctor\sdhelp.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Apoint2K\Apoint.exe C:\WINDOWS\System32\sistray.EXE C:\WINDOWS\AGRSMMSG.exe C:\Program Files\Apoint2K\Apntex.exe C:\Program Files\Apoint2K\HidFind.exe C:\PROGRA~1\Wanadoo\taskbaricon.exe C:\Program Files\Packard Bell EverSafe\TrayControl.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\Program Files\Ahead\InCD\InCD.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Spyware Doctor\swdoctor.exe C:\Program Files\Internet Explorer\iexplore.exe C:\WINDOWS\System32\wuauclt.exe C:\Documents and Settings\Valerie De Groote\Mijn documenten\Elke\hijack logs\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://format.packardbell.com/cgi-bin/redirect/?country=BENL&range=AD&phase=6&key=SEARCH R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.getjealous.com/getjealous.php?action=messageboard&go=blondello R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\benl.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo België R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\watch.exe O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\taskbaricon.exe O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [NovaNet-WEB Tray Control] C:\Program Files\Packard Bell EverSafe\TrayControl.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [EPSON Stylus C44 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC 2.EXE /P23 "EPSON Stylus C44 Series" /O6 "USB001" /M "Stylus C44" O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [userinit.exe] C:\WINDOWS\userinit.exe O4 - HKCU\..\Run: [Spyware Doctor] "C:\Program Files\Spyware Doctor\swdoctor.exe" /Q O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Packard Bell EverSafe Tray Control.lnk = C:\Program Files\Packard Bell EverSafe\TrayControl.exe O8 - Extra context menu item: Figuur openen in &Microsoft PhotoDraw - res://C:\PROGRA~1\MICROS~2\Office\1043\phdintl.dll/phdContext.htm O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\benl.htm O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by106w.bay106.mail.live.com/mail/resources/MsnPUpld.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1167318334252 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.mijnalbum.nl/skin/v2/system/upload/ImageUploader4.cab O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\ccPxySvc.exe O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe O23 - Service: InCD File System Service (InCDsrv) - Unknown owner - C:\Program Files\Ahead\InCD\InCDsrv.exe O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Program Files\Norton Internet Security\NISUM.EXE O23 - Service: PPPoE Service (PPPoEService) - Unknown owner - C:\PROGRA~1\Alcatel\ENTERN~1\app\pppoeservice.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe Oh My God, ik dacht dus van die trojan.proxy af te zijn, en hij zit er weer op !!! Heb net met Spyware een scan laten lopen, en nu meldt hij 11 infecties, terwijl het er daarnet maar één was! aaaagggghhhhh hoe kan dat nu??? jurgenv 28 December 2006, 18:26 Oh My God, ik dacht dus van die trojan.proxy af te zijn, en hij zit er weer op !!! Heb net met Spyware een scan laten lopen, en nu meldt hij 11 infecties, terwijl het er daarnet maar één was! aaaagggghhhhh hoe kan dat nu??? Kan je eens zeggen welke bestanden hij vindt? ;) miss elfjen 28 December 2006, 19:01 Infectienaam: Trojan.Proxy.Ranky C:\DIVTOOLS\UNZIP\UNZIPSFX.EXE Tracking Cookie(s)C:\Documents and Settings\VDG\Cookies\vdg@m.webtrends[2].txt Trojan.Goldun C:\System Volume Information\_restore{43998A11-46B5-49E5-A241-3E03FA1E4E98}\RP100\A0032135.sys Trojan.Goldun C:\System Volume Information\_restore{43998A11-46B5-49E5-A241-3E03FA1E4E98}\RP102\A0032226.exe Trojan.Goldun C:\System Volume Information\_restore{43998A11-46B5-49E5-A241- 3E03FA1E4E98}\RP102\A0032244.exe Trojan.Goldun C:\System Volume Information\_restore{43998A11-46B5-49E5-A241-3E03FA1E4E98}\RP102\A0032392.exe Trojan.Goldun C:\System Volume Information\_restore{43998A11-46B5-49E5-A241-3E03FA1E4E98}\RP102\A0032404.exe Trojan.Goldun C:\System Volume Information\_restore{43998A11-46B5-49E5-A241-3E03FA1E4E98}\RP102\A0032421.exe Trojan.Goldun C:\System Volume Information\_restore{43998A11-46B5-49E5-A241-3E03FA1E4E98}\RP102\A0032432.exe Trojan.Goldun C:\System Volume Information\_restore{43998A11-46B5-49E5-A241-3E03FA1E4E98}\RP102\A0032442.exe Trojan.Goldun C:\WINDOWS\serv.exe jurgenv 28 December 2006, 19:06 Rechtermuisklik op 'deze computer'==>eigenschappen==>tabblad: systeemherstel==>vink aan: systeemherstel op alle stations uitschakelen (of iets gelijkaardigs) klik dan op 'toepassen' en dan op 'ok'. Herstart je pc! Vink dan het vakje bij tabblad systeemherstel weer uit en klik op 'toepassen' en dan op 'ok'. Kijk of je dan nog steeds de meldingen hebt. :) PS: Windows update moet je in IE uitvoeren. ;) miss elfjen 28 December 2006, 19:14 ...moet je in IE uitvoeren. ;) wat bedoel je met "in IE uitvoeren"...? (scan is aan het lopen, ik post het subiet) jurgenv 28 December 2006, 19:15 wat bedoel je met "in IE uitvoeren"...? (scan is aan het lopen, ik post het subiet) Internet Explorer. :) miss elfjen 28 December 2006, 19:18 maar wat bedoel je dan dat ik het moet "uitvoeren" in internet explorer...? ik ben naar die site gegaan, en ik klik wel op updaten, maar dan krijg ik een foutmelding bestaand uit letters en nummertjes (en de melding dat ze de pagina niet vinden), dan weet ik niet meer wat ik moet doen :-S jurgenv 28 December 2006, 19:19 Ik wil zeggen dat je internet explorer moet openen en naar deze site moet gaan: http://windowsupdate.microsoft.com/ miss elfjen 28 December 2006, 19:27 dat heb ik gedaan, maar ik krijg een foutmelding. ik krijg dit bericht: "De website heeft een fout geconstateerd en kan de gevraagde pagina niet weergeven. De onderstaande bronnen kunnen u wellicht helpen het probleem op te lossen: Zelfhulp: blablabla en dan manieren hoe je je probleem kan oplossen. " Maar ik kan het probleem niet oplossen omdat ik niet weet wat het probleem is! Het probleem noemt 0x80070420 maar dit vind ik nergens terug...? jurgenv 28 December 2006, 19:30 Schakel je firewall eens uit in norton internet security. :) miss elfjen 28 December 2006, 19:50 ik heb de scan uitgevoerd, en nu ziet Spyware doctor dit: - tracking cookies in m'n coockies-map - trojan.proxy.ranky in C:\DIVTOOLS\UNZIP\UNZIPSFX.EXE dat tweede had ik dus gisteren ook, maar had ik gisteren kunnen verwijderen (dacht ik), maar nu is het dus terug... miss elfjen 28 December 2006, 21:26 1. update windows lukt nog steeds niet, ook al probeer ik alle firewalls uit te zetten (beetje moeilijk aangezien ik norton anti-virus, AVG anti-Spyware, AVG Free, Hitman Pro, Killbox, Combofix, Spyware Doctor én Ad-Aware heb staan). 2. ik heb nog steeds het trojan.proxy virus volgens spyware doctor, maar volgens ad-aware is alles in orde... Simply 29 December 2006, 02:12 1. update windows lukt nog steeds niet, ook al probeer ik alle firewalls uit te zetten (beetje moeilijk aangezien ik norton anti-virus, AVG anti-Spyware, AVG Free, Hitman Pro, Killbox, Combofix, Spyware Doctor én Ad-Aware heb staan). 2. ik heb nog steeds het trojan.proxy virus volgens spyware doctor, maar volgens ad-aware is alles in orde... Wil me niet direct moeien in deze topic, maar denk wel dat Jurgen me gelijk gaat geven in volgende theoriën: 1) De-installeer HitmanPro => enkel miserie en pakt de spyware-problemen niet op de correcte manieren aan 2) Je hebt 2 verschillende AV's(AntiVirus scanners) op je pc staan (Norton en AVG Free, ook dit is niet aan te raden, op termijn werken ze niet samen maar elkaar eerder TEGEN! Jurgen, correct me if I'm wrong! ;) miss elfjen 29 December 2006, 13:44 ondertussen ben ik van de virussen af! ik heb m'n logje ook op een ander forum geplaatst ( ja sorry, maar 't was nogal dringend ). Ben wel nog benieuwd hoe ik mijn pc nu moet beveiligen. HitmanPro heb ik eraf gesmeten, ik heb nu wel nog Norton staan (alhoewel ik denk dat het niet werkt, het staat aangeduid dat de beveiliging uitstaat en ik krijg hem niet aan), en ik heb ook nog AVG Anti-Spyware... ik weet niet goed welke ik moet houden, welke ik moet wegdoen... jurgenv 29 December 2006, 14:35 Laat dan zo snel mogelijk weten op het ander fora dat je hier al geholpen bent! Zo kunnen we dubbelwerk vermijden. :) Nog een paar tips om problemen te voorkomen in de toekomst: Installeer alvast volgende GRATIS programmatjes indien je ze nog niet hebt: Spywareblaster (http://www.javacoolsoftware.com/spywareblaster.html) Adaware se (http://www.majorgeeks.com/download506.html) Spybot s&d (http://www.safer-networking.org/en/index.html) Tijdens het surfen, klik niet overal klakkeloos op ja als je dit gevraagd wordt... doe dit enkel wanneer je het volledig vertrouwt. En kies eventueel een alternatieve browser zoals Opera (http://www.opera.com) of Firefox (http://www.mozilla.org/products/firefox/). En ik raad je ook aan om af en toe een online virusscan uit te voeren. housecall (http://housecall.trendmicro.com/) en/of Bitdefender (http://www.bitdefender.com/scan/licence.php). Want, wat de ene scanner niet kan vinden, kan een andere misschien wel. Zorg er ook voor dat je virusscanner die op je systeem geïnstalleerd is altijd up to date is!! En... geregeld eens een bezoekje brengen aan: http://windowsupdate.microsoft.com/ Bekijk ook eens deze 2 filmpjes.. Heel interessant: http://www2.trosradar.nl/mediaplayer/player.php?videoID=524&mode=dossier# http://www.benedelman.org/spyware/security-111804.wmv Meer preventietips zijn ook op volgende sites te vinden: http://www.bluemedicine.be http://users.telenet.be/marcvn/spyware How did I get infected in the first place (http://castlecops.com/postitle7736-0-0-.html) (article by TonyKlein) Het voorkomen van spyware-infecties en browserhijacking (http://www.antispywareoffensief.nl/forum/showthread.php?t=55) |