Overblijfselen van virus verwijderen - Privacy en beveiliging

zondag 6 juli 2008 16:02

Acties:

Verwijderd

Topicstarter

Ik heb gisterenavond circa 12 uur een virus binnengekregen.
Na vandaag te hebben gescanned is het er dan eindelijk vanaf, MAAR er zijn verschillende windows functies veranderd. Deze wil ik graag terug veranderen alleen ik weet niet precies hoe.
Veranderingen :

1- Alle kleine pictogrammen zijn zeer slechte kleurkwaliteit liefst terug naar oude vorm
2- Rechts onderin mijn scherm NAAST de tijd staat : VIRUS ALERT! dit kwam door het virus.
3- Deze computer >> Eigenschappen >> Computernaam = Jeroen met eronder VIRUS ALERT! .
4- Deze Comptuer vind nog steeds mijn F en K schijf maar de C: schijf niet meer, deze kan ik wel handmatig openen enzo maar heb deze toch graag weer bij Deze Computer staan.
Mvg,
Jeroen

zondag 6 juli 2008 16:04

Acties:

Verwijderd

Vrees dat je beter kan formateren...

zondag 6 juli 2008 16:11

Acties:

EricJH

Probeer eens systeemherstel naar voordat je het virus kreeg.

Je zegt dat het virus zelf een virus alert gaf. Ik heb laatst een soortgelijk rogue antivirus programma met Super Antispyware te grazen genomen. Bij dit soort problemen kun je het beste diverse anti virus en antispyware programma's aan het werk zetten.

zondag 6 juli 2008 16:14

Acties:

Death1ord

Probeer eerst systeemherstel eens. Let er wel op dat je niet per ongeluk een verkeerd systeemherstel neemt wanneer het virus is geïnstaleerd.

edit: zoals EricJH al zei

Als dit niet werkt zul je een format moeten doen

[ Voor 26% gewijzigd door Death1ord op 06-07-2008 16:15 ]

zondag 6 juli 2008 16:15

Acties:

NMe

Quia Ego Sic Dico.

Verwijderd schreef op zondag 06 juli 2008 @ 16:04:
Vrees dat je beter kan formateren...

Wat een onzin. Het klinkt gewoon alsof hij een "virusscanner" geïnstalleerd heeft die ineens overal virussen ziet die er niet zijn. Om vervolgens natuurlijk geld af te troggelen door een full version te verkopen.

Kijk eerst eens of er troep geïnstalleerd staat op je pc zoals Antivirus 2009. Een hijackthis-scan deed voor mij afgelopen week nog wonderen met die troep.

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.

zondag 6 juli 2008 16:18

Acties:

Onbekend

...

Toevallig had ik dat gisteren ook.
Het is een soort spyware dat jou een antispywarepakket wil aansmeren.
Na veel geprobeerd te hebben was een systeemherstel de enige oplossing.

Probeer anders eens SpyBot om andere spyware te vinden.

Speel ook Balls Connect en Repeat

zondag 6 juli 2008 16:25

Acties:

Xaero

Zijn er nog vreemde processen aanwezig? Misschien een Hijackthis logje maken?

En over dat formatteren, waarom word dat nou altijd als oplossing gegeven? Dit moet je pas doen als het echt niet meer werkt. Het is altijd wel weer terug te draaien, behalve als je Windows corrupt is geworden...

zondag 6 juli 2008 16:27

Acties:

EricJH

Download de laatste Spybot 1.6 beta, die is veel sneller dan de voorgaande series: http://fileforum.betanews...Destroy_Beta/1043809773/2 .

zondag 6 juli 2008 16:30

Acties:

Verwijderd

Topicstarter

Bedankt voor de reacties, maar het virus is er vanaf, 100%.
Het enigste probleem is dathet virus ook een paar dingen zoals de C Schijf verbergen en het menu start verbergen had. De enigste 4 dingen die op dit moment nog in mijn weg zitten zijn de 4 gestelde :
1- Alle kleine pictogrammen zijn zeer slechte kleurkwaliteit liefst terug naar oude vorm
2- Rechts onderin mijn scherm NAAST de tijd staat : VIRUS ALERT! dit kwam door het virus.
3- Deze computer >> Eigenschappen >> Computernaam = Jeroen met eronder VIRUS ALERT! .
4- Deze Comptuer vind nog steeds mijn F en K schijf maar de C: schijf niet meer, deze kan ik wel handmatig openen enzo maar heb deze toch graag weer bij Deze Computer staan.

Formateren is op dit moment wel de laatste optie, het zijn geen grote problemen maar wel irritante problemen.

zondag 6 juli 2008 16:34

Acties:

SKiLLa

Byte or nibble a bit ?

Als jij bovengenoemde problemen met je PC niet kunt oplossen (meeste lijken registry-changes en resource-changes, maar wie weet is het wel stiekem gewoon een .exe), hoe kun je dan met 100% zekerheid zeggen dat het virus 100% verwijderd is ?

Draai nog eens een online virusscan, ala TrendMicro Housecall, Spybot, SysInternals Rootkitrevealer en een "sfc /scannow" (zorg dat je de orginele XP CD bij de hand hebt) en post daarna hier eens je HijackThis log ...

'Political Correctness is fascism pretending to be good manners.' - George Carlin

zondag 6 juli 2008 16:40

Acties:

EricJH

@Xtctje. Heb je systeemherstel al geprobeerd tot voordat je het virus kreeg?

zondag 6 juli 2008 16:45

Acties:

Verwijderd

Topicstarter

EricJH schreef op zondag 06 juli 2008 @ 16:40:
@Xtctje. Heb je systeemherstel al geprobeerd tot voordat je het virus kreeg?

Ik heb systeemherstel gedaan NA het virus, alles was normaal windows starten goed op, de fout meldingen en de pop-ups waren er niet TOT circa 10/15 seconden. Daarna kreeg ik een NOD warning van her virus, en het virus begon zijn ding. Sommige snelkoppelingen verdwenen etc etc.
Het systeem herstel punt lag op 23:40 dat is ONGEVEER het moment waarop ik het virus binnekreeg.
Ik wil dus wel een systeemherstel proberen maar er bestaat een kans dat ik dan het virus compleet terug heb.

zondag 6 juli 2008 16:48

Acties:

THE_FIREFOX

Waarom ga je niet verder terug met systeemherstel? Maak eens een screenshot hoe je beeldscherm er nu uit ziet.

zondag 6 juli 2008 16:50

Acties:

soulrider

lees de tip nog eens na ...

doe een systemherstel terug naar een moment van voordat je het virus kreeg...
(ja je doet een systeemherstel nadat je het virus kreeg, naar voordat je het virus kreeg - anders heeft het geen nut eh)

en draai ook hijackthis en de andere aangerade programma's eens.

zolang je problemen met je pc hebt, ben je _nooit_ 100% zeker dat alle troep eraf is.

zondag 6 juli 2008 16:55

Acties:

Verwijderd

Topicstarter

Afbeeldingslocatie: http://img389.imageshack.us/img389/9126/error1ie2.jpg

Kon niet verder typen maar wat ik wilde zeggen :
Spybot blijft dit virus vinden, waarbij hij alle registerwarde kan verhelpen maar de map niet kan verhelpen.
Hij wil bij opstart scannen, dit doet hij dan ook maar hij kan deze nog steeds niet verwijderen.

zondag 6 juli 2008 16:57

Acties:

Verwijderd

Topicstarter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:55: VIRUS ALERT!, on 6-7-2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\SurfRight\Caretaker\CaretakerService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\SurfRight\Caretaker\AntispamService.exe
C:\Program Files\SurfRight\Caretaker\CaretakerProxy.exe
C:\Program Files\SurfRight\Caretaker\CaretakerUpdater.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\PostgreSQL\8.0\bin\pg_ctl.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Program Files\PostgreSQL\8.0\bin\postmaster.exe
C:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe
C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\ups.exe
C:\Program Files\PostgreSQL\8.0\bin\postgres.exe
C:\Program Files\PostgreSQL\8.0\bin\postgres.exe
C:\Program Files\PostgreSQL\8.0\bin\postgres.exe
C:\Program Files\PostgreSQL\8.0\bin\postgres.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Eset\nod32kui.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\SurfRight\Caretaker\Notifier.exe
C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\ctfmon.exe
F:\Applicatie's\Xfire\xfire.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Jetico\BestCrypt\BCResident.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\WINDOWS\system32\mspaint.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {18B9F0C6-62D8-46D0-AB95-944A10B77295} - (no file)
O2 - BHO: {5cbfcf7b-d5bc-723b-f3b4-4b954e20d915} - {519d02e4-59b4-4b3f-b327-cb5db7fcfbc5} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: (no name) - {9135F831-304E-4294-A40F-A0124095869F} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {B1892F58-1116-4DEC-92AA-577872EC3D3D} - (no file)
O3 - Toolbar: nqgpedlr - {136717A3-DA9A-4322-997B-25D0843942F8} - C:\WINDOWS\nqgpedlr.dll (file missing)
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\System32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [7c73e445] rundll32.exe "C:\WINDOWS\system32\jctxfnkq.dll",b
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [CaretakerNotifier] C:\Program Files\SurfRight\Caretaker\Notifier.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [lphcnejj0e78v] C:\WINDOWS\system32\lphcnejj0e78v.exe
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Hitman Pro\surfright.exe" "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Hitman Pro SurfRight Helper] "C:\Program Files\Hitman Pro\srhelper.exe"
O4 - HKCU\..\Run: [Steam] "C:\Program Files\Steam\Steam.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Lokale service')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Netwerkservice')
O4 - HKUS\S-1-5-21-823518204-448539723-725345543-1009\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'userpostgres15')
O4 - HKUS\S-1-5-21-823518204-448539723-725345543-1009\..\RunOnce: [NeroHomeFirstStart] "C:\Program Files\Common Files\Nero\Lib\NMFirstStart.exe" (User 'userpostgres15')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Xfire.lnk = F:\Applicatie's\Xfire\xfire.exe
O4 - Global Startup: BestCrypt Auto Open.lnk = C:\Program Files\Jetico\BestCrypt\BestCrypt.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: E&xport to Microsoft Excel - res://F:\Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microso...eb_site.cab?1195765754953
O20 - AppInit_DLLs: hplun.dll
O20 - Winlogon Notify: Antiwpa - C:\WINDOWS\SYSTEM32\antiwpa.dll
O20 - Winlogon Notify: awtrSkJc - awtrSkJc.dll (file missing)
O21 - SSODL: axrfgvek - {A77A31C8-11F9-4E2F-BC19-30224E8CE33F} - C:\WINDOWS\axrfgvek.dll (file missing)
O21 - SSODL: okmdepgb - {B526B6FE-B1FB-4A67-BD5C-DAD9B6A45011} - C:\WINDOWS\okmdepgb.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-service (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Caretaker Antispam Service (CaretakerAntispam) - SurfRight B.V. - C:\Program Files\SurfRight\Caretaker\AntispamService.exe
O23 - Service: Caretaker Proxy (CaretakerProxy) - SurfRight B.V. - C:\Program Files\SurfRight\Caretaker\CaretakerProxy.exe
O23 - Service: Caretaker Service (CaretakerSvc) - SurfRight B.V. - C:\Program Files\SurfRight\Caretaker\CaretakerService.exe
O23 - Service: Caretaker Updater (CaretakerUpdate) - SurfRight B.V. - C:\Program Files\SurfRight\Caretaker\CaretakerUpdater.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: iPod-service (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: MSSQL$SONY_MEDIAMGR - Unknown owner - F:\Sony Vegas\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe (file missing)
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PostgreSQL Database Server (pgsql-8.0) - PostgreSQL Global Development Group - C:\Program Files\PostgreSQL\8.0\bin\pg_ctl.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe
O23 - Service: SQLAgent$SONY_MEDIAMGR - Unknown owner - F:\Sony Vegas\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlagent.EXE (file missing)
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 11447 bytes

zondag 6 juli 2008 16:59

Acties:

THE_FIREFOX

Dat van je tijd is waarschijnlijk een timestamp die is veranderd. Deze kan je handmatig aanpassen met Configuratiescherm -> Landinstellingen maar dan moet het virus niet actief zijn.

Ik vind die vet gedrukte services vreemd.......Zoals die mDNSResponder van Apple.......

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\SurfRight\Caretaker\CaretakerService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\SurfRight\Caretaker\AntispamService.exe
C:\Program Files\SurfRight\Caretaker\CaretakerProxy.exe
C:\Program Files\SurfRight\Caretaker\CaretakerUpdater.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\PostgreSQL\8.0\bin\pg_ctl.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Program Files\PostgreSQL\8.0\bin\postmaster.exe
C:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe
C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\ups.exe
C:\Program Files\PostgreSQL\8.0\bin\postgres.exe
C:\Program Files\PostgreSQL\8.0\bin\postgres.exe
C:\Program Files\PostgreSQL\8.0\bin\postgres.exe
C:\Program Files\PostgreSQL\8.0\bin\postgres.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Eset\nod32kui.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\SurfRight\Caretaker\Notifier.exe
C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\ctfmon.exe
F:\Applicatie's\Xfire\xfire.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Jetico\BestCrypt\BCResident.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\WINDOWS\system32\mspaint.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {18B9F0C6-62D8-46D0-AB95-944A10B77295} - (no file)
O2 - BHO: {5cbfcf7b-d5bc-723b-f3b4-4b954e20d915} - {519d02e4-59b4-4b3f-b327-cb5db7fcfbc5} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: (no name) - {9135F831-304E-4294-A40F-A0124095869F} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {B1892F58-1116-4DEC-92AA-577872EC3D3D} - (no file)
O3 - Toolbar: nqgpedlr - {136717A3-DA9A-4322-997B-25D0843942F8} - C:\WINDOWS\nqgpedlr.dll (file missing)
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\System32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [7c73e445] rundll32.exe "C:\WINDOWS\system32\jctxfnkq.dll",b
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [CaretakerNotifier] C:\Program Files\SurfRight\Caretaker\Notifier.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [lphcnejj0e78v] C:\WINDOWS\system32\lphcnejj0e78v.exe
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Hitman Pro\surfright.exe" "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Hitman Pro SurfRight Helper] "C:\Program Files\Hitman Pro\srhelper.exe"
O4 - HKCU\..\Run: [Steam] "C:\Program Files\Steam\Steam.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Lokale service')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Netwerkservice')
O4 - HKUS\S-1-5-21-823518204-448539723-725345543-1009\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'userpostgres15')
O4 - HKUS\S-1-5-21-823518204-448539723-725345543-1009\..\RunOnce: [NeroHomeFirstStart] "C:\Program Files\Common Files\Nero\Lib\NMFirstStart.exe" (User 'userpostgres15')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Xfire.lnk = F:\Applicatie's\Xfire\xfire.exe
O4 - Global Startup: BestCrypt Auto Open.lnk = C:\Program Files\Jetico\BestCrypt\BestCrypt.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: E&xport to Microsoft Excel - res://F:\Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microso...eb_site.cab?1195765754953
O20 - AppInit_DLLs: hplun.dll
O20 - Winlogon Notify: Antiwpa - C:\WINDOWS\SYSTEM32\antiwpa.dll
O20 - Winlogon Notify: awtrSkJc - awtrSkJc.dll (file missing)
O21 - SSODL: axrfgvek - {A77A31C8-11F9-4E2F-BC19-30224E8CE33F} - C:\WINDOWS\axrfgvek.dll (file missing)
O21 - SSODL: okmdepgb - {B526B6FE-B1FB-4A67-BD5C-DAD9B6A45011} - C:\WINDOWS\okmdepgb.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-service (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Caretaker Antispam Service (CaretakerAntispam) - SurfRight B.V. - C:\Program Files\SurfRight\Caretaker\AntispamService.exe
O23 - Service: Caretaker Proxy (CaretakerProxy) - SurfRight B.V. - C:\Program Files\SurfRight\Caretaker\CaretakerProxy.exe
O23 - Service: Caretaker Service (CaretakerSvc) - SurfRight B.V. - C:\Program Files\SurfRight\Caretaker\CaretakerService.exe
O23 - Service: Caretaker Updater (CaretakerUpdate) - SurfRight B.V. - C:\Program Files\SurfRight\Caretaker\CaretakerUpdater.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: iPod-service (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: MSSQL$SONY_MEDIAMGR - Unknown owner - F:\Sony Vegas\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe (file missing)
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PostgreSQL Database Server (pgsql-8.0) - PostgreSQL Global Development Group - C:\Program Files\PostgreSQL\8.0\bin\pg_ctl.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe
O23 - Service: SQLAgent$SONY_MEDIAMGR - Unknown owner - F:\Sony Vegas\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlagent.EXE (file missing)
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

[ Voor 98% gewijzigd door THE_FIREFOX op 06-07-2008 17:04 ]

zondag 6 juli 2008 17:05

Acties:

NMe

Quia Ego Sic Dico.

Nasty spul:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O4 - HKLM\..\Run: [7c73e445] rundll32.exe "C:\WINDOWS\system32\jctxfnkq.dll",b
O4 - HKLM\..\Run: [lphcnejj0e78v] C:\WINDOWS\system32\lphcnejj0e78v.exe

Overbodig spul:

O2 - BHO: (no name) - {18B9F0C6-62D8-46D0-AB95-944A10B77295} - (no file)
O2 - BHO: {5cbfcf7b-d5bc-723b-f3b4-4b954e20d915} - {519d02e4-59b4-4b3f-b327-cb5db7fcfbc5} - (no file)
O2 - BHO: (no name) - {9135F831-304E-4294-A40F-A0124095869F} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {B1892F58-1116-4DEC-92AA-577872EC3D3D} - (no file)
O3 - Toolbar: nqgpedlr - {136717A3-DA9A-4322-997B-25D0843942F8} - C:\WINDOWS\nqgpedlr.dll (file missing)
O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe (file missing)
O20 - Winlogon Notify: awtrSkJc - awtrSkJc.dll (file missing)
Unknown
O21 - SSODL: axrfgvek - {A77A31C8-11F9-4E2F-BC19-30224E8CE33F} - C:\WINDOWS\axrfgvek.dll (file missing)
O21 - SSODL: okmdepgb - {B526B6FE-B1FB-4A67-BD5C-DAD9B6A45011} - C:\WINDOWS\okmdepgb.dll (file missing)

@Hierboven: die mDNSResponder is onderdeel van iTunes.

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.

zondag 6 juli 2008 17:05

Acties:

Verwijderd

Topicstarter

THE_FIREFOX schreef op zondag 06 juli 2008 @ 16:59:
Dat van je tijd is waarschijnlijk een timestamp die is veranderd. Deze kan je handmatig aanpassen met Configuratiescherm -> Landinstellingen maar dan moet het virus niet actief zijn.

Bedankt, werkte de VIRUS ALERT na de tijd is veranderd >> WEG

<<.
Ga nu het volgende proberen :

Please close/disable all anti-virus and anti-malware programs so they do not interfere with the running of SDFix and make sure you are disconnected from the Internet after downloading the program but before extracting the files.

* Very Important! Temporarily disable your anti-virus, script blocking and any anti-malware real-time protection before performing a scan. They can interfere with SDFix and remove some of its embedded files which may cause "unpredictable results".
* Click on this link to see a list of programs that should be disabled. The list is not all inclusive. If yours is not listed and you don't know how to disable it, please ask.
* Remember to re-enable the protection again afterwards before connecting to the Internet.

Download SDFix and save it to your Desktop.

Double click SDFix.exe and it will extract the files to %systemdrive%
(Drive that contains the Windows Directory, typically C:\SDFix)

Please then reboot your computer in Safe Mode by doing the following :

* Restart your computer
* After hearing your computer beep once during startup, but before the Windows icon appears, tap the F8 key continually
* Instead of Windows loading as normal, the Advanced Options Menu should appear
* Select the first option, to run Windows in Safe Mode, then press Enter
* Choose your usual account.

* Open the extracted SDFix folder and double click RunThis.bat to start the script.
* Type Y to begin the cleanup process.
* It will remove any Trojan Services and Registry Entries that it finds then prompt you to press any key to reboot.
* Press any Key and it will restart the PC.
* When the PC restarts the Fixtool will run again and complete the removal process then display Finished, press any key to end the script and load your desktop icons.
* Once the desktop icons load the SDFix report will open on screen and also save into the SDFix folder as Report.txt
(Report.txt will also be copied to the clipboard ready for posting back on the forum).
* Finally paste the contents of the Report.txt back on the forum with a new HijackThis log

zondag 6 juli 2008 17:11

Acties:

Verwijderd

-NMe- schreef op zondag 06 juli 2008 @ 16:15:
[...]

Wat een onzin. Het klinkt gewoon alsof hij een "virusscanner" geïnstalleerd heeft die ineens overal virussen ziet die er niet zijn. Om vervolgens natuurlijk geld af te troggelen door een full version te verkopen.

Kijk eerst eens of er troep geïnstalleerd staat op je pc zoals Antivirus 2009. Een hijackthis-scan deed voor mij afgelopen week nog wonderen met die troep.

Nee hoor, geen onzin.

Kan best dat hij zo'n soort virusscanner geinstalleerd heeft. Maar hoeft niet. Daarbij, hoe weet je of het virus wel 100% weg is? Nadat het virus erop is geweest zijn er in ieder geval 100% zeker dingen aangepast, dat zie je aan zijn omschrijving. Je weet nooit precies wat een virus allemaal achterlaat, en vaak is het het verstandigst om je PC te formateren. Zeker nu hij nog steeds restverschijnselen heeft.

Daarbij zie ik nu ook in zijn log nog een paar vreemde bestanden, dat zou eventueel kunnen bevestigen wat ik vermoed, dus dat nog niet alles weg/schoon is.

Ik zou de PC nog maar eens goed scannen met een online scanner zoals die van Trend Micro of Kaspersky (wel eerst alles wat dodgy is proberen te sluiten met je taskmanager / process explorer etc). Eventueel ook nog andere tools erop los laten, en dan weer eens de nieuwe Hijackthis log posten.
Misschien is formateren niet nodig, maar wat hij beschrijft lijken al vrij 'diepe' aanpassingen door het virus, en dat is iets wat je goed in de gaten moet houden. Ik zelf zou het na deze symptomen echt wel formateren voor de zekerheid.

[ Voor 18% gewijzigd door Verwijderd op 06-07-2008 17:18 ]

zondag 6 juli 2008 17:15

Acties:

NMe

Quia Ego Sic Dico.

Verwijderd schreef op zondag 06 juli 2008 @ 17:11:
[...]

Nee hoor, geen onzin.

Kan best dat hij zo'n soort virusscanner geinstalleerd heeft. Maar hoeft niet. Daarbij, hoe weet je of het virus wel 100% weg is? Nadat het virus erop is geweest zijn er in ieder geval 100% zeker dingen aangepast, dat zie je aan zijn omschrijving. Je weet nooit precies wat een virus allemaal achterlaat, en vaak is het het verstandigst om je PC te formateren. Zeker nu hij nog steeds restverschijnselen heeft.

Zullen we dit complete subforum maar verwijderen en de ruimte die het innam vervangen door de melding: "Heb je een virus? Formatteren!"?

Misschien dat jij niet in staat bent om iets geheel te verwijderen, maar ik heb daar nooit écht problemen mee gehad.

Daarbij zie ik nu ook in zijn log nog een paar vreemde bestanden, dat zou eventueel kunnen bevestigen wat ik vermoed, dus dat nog niet alles weg/schoon is.

Alleen al het feit dat het terugkomt in zijn log betekent dat het nog te verwijderen is. Immers, wat gelogd wordt, kun je met een simpele druk op de knop ook verwijderen.

Ik zou de PC nog maar eens goed scannen met een online scanner zoals die van Trend Micro of Kaspersky. Eventueel ook nog andere tools erop los laten, en dan weer eens de nieuwe Hijackthis log posten.

En ik zou dus eerst die nasty entries uit de huidige log verwijderen zodat eerst de ergste troep weg is. Kun je daarna altijd nog een virusscanner draaien, zonder die spyware in je geheugen.

Misschien is formateren niet nodig, maar wat hij beschrijft lijken al vrij 'diepe' aanpassingen door het virus, en dat is iets wat je goed in de gaten moet houden. Ik zelf zou het na deze symptomen echt wel formateren voor de zekerheid.

Het lijken misschien vrij diepe aanpassingen, maar dat valt volgens mij best mee. Afgelopen week heb ik bij de buren een vergelijkbaar probleem gehad waar een "virusscanner" zelf een blue screen én reboot simuleerde door middel van het aanpassen van de resolutie en het showen van een fullscreen animated gif die leek op de bootafbeelding van Windows. Dat lijkt ook diep, maar is het allerminst.

[ Voor 32% gewijzigd door NMe op 06-07-2008 17:19 ]

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.

zondag 6 juli 2008 17:37

Acties:

Verwijderd

Topicstarter

Heb de scan gedaan , log :

b]SDFix: Version 1.202 [/b]
Run by Jeroen Tub‚e on zo 06-07-2008 at 17:20

Microsoft Windows XP [versie 5.1.2600]
Running From: C:\SDFix

Checking Services :

Restoring Default Security Values
Restoring Default Hosts File
Restoring Default HomePage Value
Restoring Default Desktop Components Value
Restoring Default ScreenSaver value
Restoring Windows ProductId To Remove Fake Virus Alert

Rebooting

Checking Files :

Trojan Files Found:

C:\WINDOWS\SYSTEM32\BLPHCN~1.SCR - Deleted
C:\DOCUME~1\JEROEN~1\LOCALS~1\Temp\.tt13.tmp - Deleted
C:\DOCUME~1\JEROEN~1\LOCALS~1\Temp\.tt14.tmp - Deleted
C:\DOCUME~1\JEROEN~1\LOCALS~1\Temp\.tt17.tmp - Deleted
C:\DOCUME~1\JEROEN~1\LOCALS~1\Temp\.tt1A.tmp - Deleted
C:\DOCUME~1\JEROEN~1\LOCALS~1\Temp\.tt1B.tmp - Deleted
C:\DOCUME~1\JEROEN~1\LOCALS~1\Temp\.tt1D.tmp - Deleted
C:\DOCUME~1\JEROEN~1\LOCALS~1\Temp\.tt3.tmp - Deleted
C:\DOCUME~1\JEROEN~1\LOCALS~1\Temp\.tt4.tmp - Deleted
C:\DOCUME~1\JEROEN~1\LOCALS~1\Temp\.tt531E.tmp - Deleted
C:\DOCUME~1\JEROEN~1\LOCALS~1\Temp\.ttC2.tmp - Deleted
C:\WINDOWS\kgqfweltnfv.dll - Deleted
C:\WINDOWS\mrvtdpqe.exe - Deleted
C:\WINDOWS\system32\ntos.exe - Deleted
C:\WINDOWS\system32\wsnpoem\video.dll - Deleted
C:\Documents and Settings\Jeroen Tub‚e\Application Data\wsnpoem\audio.dll - Deleted
C:\WINDOWS\system32\wsnpoem\audio.dll - Deleted

Folder C:\Documents and Settings\Jeroen Tub‚e\Application Data\wsnpoem - Removed
Folder C:\WINDOWS\system32\wsnpoem - Removed

Removing Temp Files

ADS Check :

Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-06 17:29:20
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:a7,aa,b9,7f,e5,05,f3,2e,7c,cd,7e,15,cd,d8,39,fb,f0,a5,72,a7,18,..
"p0"="C:\Program Files\DAEMON Tools\"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,8c,96,30,ac,3d,61,36,02,ac,c0,f3,30,90,a8,6c,f1,82,..
"khjeh"=hex:07,30,44,ff,b5,2f,5d,66,dc,ef,0b,ff,ef,33,56,6e,fa,b6,f4,84,98,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:59,b7,78,08,53,94,13,01,4a,17,80,f0,03,d3,a1,e9,88,9e,5f,3a,ea,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:a7,aa,b9,7f,e5,05,f3,2e,7c,cd,7e,15,cd,d8,39,fb,f0,a5,72,a7,18,..
"p0"="C:\Program Files\DAEMON Tools\"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,8c,96,30,ac,3d,61,36,02,ac,c0,f3,30,90,a8,6c,f1,82,..
"khjeh"=hex:07,30,44,ff,b5,2f,5d,66,dc,ef,0b,ff,ef,33,56,6e,fa,b6,f4,84,98,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:59,b7,78,08,53,94,13,01,4a,17,80,f0,03,d3,a1,e9,88,9e,5f,3a,ea,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:a7,aa,b9,7f,e5,05,f3,2e,7c,cd,7e,15,cd,d8,39,fb,f0,a5,72,a7,18,..
"p0"="C:\Program Files\DAEMON Tools\"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,8c,96,30,ac,3d,61,36,02,ac,c0,f3,30,90,a8,6c,f1,82,..
"khjeh"=hex:07,30,44,ff,b5,2f,5d,66,dc,ef,0b,ff,ef,33,56,6e,fa,b6,f4,84,98,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:59,b7,78,08,53,94,13,01,4a,17,80,f0,03,d3,a1,e9,88,9e,5f,3a,ea,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:00000097
"TracesSuccessful"=dword:00000006
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{09DC587F-3CC1-EA35-6D9B-6AC8A805700E}]
"iajomgfhlklopphjfa"=hex:6a,61,63,63,67,68,6e,69,68,61,64,67,68,63,65,70,67,6f,68,6a,00,..
"hapocpjldifhagnf"=hex:6a,61,63,63,67,68,6e,69,68,61,64,67,68,63,65,70,67,6f,68,6a,00,..
"iafmeolgdnbmokijio"=hex:63,61,67,63,6a,67,00,7c

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

Remaining Services :

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Program Files\\Xfire\\xfire.exe"="C:\\Program Files\\Xfire\\xfire.exe:*:Enabled:Xfire"
"F:\\Xfire\\xfire.exe"="F:\\Xfire\\xfire.exe:*:Enabled:Xfire"
"C:\\WINDOWS\\system32\\PnkBstrA.exe"="C:\\WINDOWS\\system32\\PnkBstrA.exe:*:Enabled:PnkBstrA"
"C:\\WINDOWS\\system32\\PnkBstrB.exe"="C:\\WINDOWS\\system32\\PnkBstrB.exe:*:Enabled:PnkBstrB"
"F:\\mIRC\\mirc.exe"="F:\\mIRC\\mirc.exe:*:Enabled:mIRC"
"F:\\Limewire\\LimeWire Plus\\LimeWire.exe"="F:\\Limewire\\LimeWire Plus\\LimeWire.exe:*:Enabled:LimeWire"
"F:\\All-in-one\\Digital Imaging\\bin\\hpqtra08.exe"="F:\\All-in-one\\Digital Imaging\\bin\\hpqtra08.exe:*:Enabled:hpqtra08.exe"
"F:\\All-in-one\\Digital Imaging\\bin\\hpqste08.exe"="F:\\All-in-one\\Digital Imaging\\bin\\hpqste08.exe:*:Enabled:hpqste08.exe"
"F:\\All-in-one\\Digital Imaging\\bin\\hpofxm08.exe"="F:\\All-in-one\\Digital Imaging\\bin\\hpofxm08.exe:*:Enabled:hpofxm08.exe"
"F:\\All-in-one\\Digital Imaging\\bin\\hposfx08.exe"="F:\\All-in-one\\Digital Imaging\\bin\\hposfx08.exe:*:Enabled:hposfx08.exe"
"F:\\All-in-one\\Digital Imaging\\bin\\hposid01.exe"="F:\\All-in-one\\Digital Imaging\\bin\\hposid01.exe:*:Enabled:hposid01.exe"
"F:\\All-in-one\\Digital Imaging\\bin\\hpqscnvw.exe"="F:\\All-in-one\\Digital Imaging\\bin\\hpqscnvw.exe:*:Enabled:hpqscnvw.exe"
"F:\\All-in-one\\Digital Imaging\\bin\\hpqkygrp.exe"="F:\\All-in-one\\Digital Imaging\\bin\\hpqkygrp.exe:*:Enabled:hpqkygrp.exe"
"F:\\All-in-one\\Digital Imaging\\bin\\hpqCopy.exe"="F:\\All-in-one\\Digital Imaging\\bin\\hpqCopy.exe:*:Enabled:hpqcopy.exe"
"F:\\All-in-one\\Digital Imaging\\bin\\hpfccopy.exe"="F:\\All-in-one\\Digital Imaging\\bin\\hpfccopy.exe:*:Enabled:hpfccopy.exe"
"F:\\All-in-one\\Digital Imaging\\bin\\hpzwiz01.exe"="F:\\All-in-one\\Digital Imaging\\bin\\hpzwiz01.exe:*:Enabled:hpzwiz01.exe"
"F:\\All-in-one\\Digital Imaging\\Unload\\HpqPhUnl.exe"="F:\\All-in-one\\Digital Imaging\\Unload\\HpqPhUnl.exe:*:Enabled:hpqphunl.exe"
"F:\\All-in-one\\Digital Imaging\\Unload\\HpqDIA.exe"="F:\\All-in-one\\Digital Imaging\\Unload\\HpqDIA.exe:*:Enabled:hpqdia.exe"
"F:\\All-in-one\\Digital Imaging\\bin\\hpoews01.exe"="F:\\All-in-one\\Digital Imaging\\bin\\hpoews01.exe:*:Enabled:hpoews01.exe"
"F:\\Call of Duty 2\\CoD2MP_s.exe"="F:\\Call of Duty 2\\CoD2MP_s.exe:*:Enabled:CoD2MP_s"
"F:\\Call of Duty 1 + UO\\CoDUOMP.exe"="F:\\Call of Duty 1 + UO\\CoDUOMP.exe:*:Enabled:CoDUOMP"
"D:\\setup\\HPZNET01.EXE"="D:\\setup\\HPZNET01.EXE:*:Enabled:hpznet01.exe"
"D:\\setup\\HPONICIFS01.EXE"="D:\\setup\\HPONICIFS01.EXE:*:Enabled:hponicifs01.exe"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Mozilla Firefox\\firefox.exe"="C:\\Program Files\\Mozilla Firefox\\firefox.exe:*:Enabled:Firefox"
"C:\\Program Files\\Internet Explorer\\iexplore.exe"="C:\\Program Files\\Internet Explorer\\iexplore.exe:*:Enabled:Internet Explorer"
"C:\\Program Files\\Nero\\Nero8\\Nero Home\\NeroHome.exe"="C:\\Program Files\\Nero\\Nero8\\Nero Home\\NeroHome.exe:*:Enabled:Nero Home"
"F:\\Counter Strike\\Counter-Strike Source\\hl2.exe"="F:\\Counter Strike\\Counter-Strike Source\\hl2.exe:*:Enabled:hl2"
"F:\\Nieuwe map\\TrackMania Nations ESWC\\TmNationsESWC.exe"="F:\\Nieuwe map\\TrackMania Nations ESWC\\TmNationsESWC.exe:*:Enabled:TmNationsESWC"
"F:\\Flat Out 2\\flatout2.exe"="F:\\Flat Out 2\\flatout2.exe:*:Enabled:flatout2"
"C:\\Program Files\\Microsoft Games\\Rise of Nations\\rise.exe"="C:\\Program Files\\Microsoft Games\\Rise of Nations\\rise.exe:*:Enabled:Rise of Nations"
"C:\\Program Files\\Microsoft Games\\Rise of Nations\\nations.exe"="C:\\Program Files\\Microsoft Games\\Rise of Nations\\nations.exe:*:Enabled:Rise of Nations"
"C:\\Documents and Settings\\All Users\\Documenten\\Call of Duty 1 + UO\\CoDMP.exe"="C:\\Documents and Settings\\All Users\\Documenten\\Call of Duty 1 + UO\\CoDMP.exe:*:Enabled:CoDMP"
"F:\\Call of Duty 1 + UO\\CoDMP.exe"="F:\\Call of Duty 1 + UO\\CoDMP.exe:*:Enabled:CoDMP"
"C:\\Program Files\\uTorrent\\uTorrent.exe"="C:\\Program Files\\uTorrent\\uTorrent.exe:*:Enabled:æTorrent"
"C:\\WINDOWS\\system32\\dpvsetup.exe"="C:\\WINDOWS\\system32\\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test"
"C:\\WINDOWS\\system32\\rundll32.exe"="C:\\WINDOWS\\system32\\rundll32.exe:*:Enabled:Een DLL-bestand als toepassing starten"
"F:\\Warcraft III Reign of Chaos, The Frozen Throne +Patch War3TFT_121a_English +Crack +Keygen\\Warcraft III\\Warcraft III.exe"="F:\\Warcraft III Reign of Chaos, The Frozen Throne +Patch War3TFT_121a_English +Crack +Keygen\\Warcraft III\\Warcraft III.exe:*:Enabled:Warcraft III"
"F:\\Warcraft installatie map\\Warcraft III\\Warcraft III.exe"="F:\\Warcraft installatie map\\Warcraft III\\Warcraft III.exe:*:Enabled:Warcraft III"
"F:\\Frontlines\\Binaries\\FFOW.exe"="F:\\Frontlines\\Binaries\\FFOW.exe:*:Enabled:Frontlines Game"
"F:\\Firefox downloads\\utorrent.exe"="F:\\Firefox downloads\\utorrent.exe:*:Enabled:æTorrent"
"C:\\Program Files\\Sports Interactive\\Football Manager 2008\\fm.exe"="C:\\Program Files\\Sports Interactive\\Football Manager 2008\\fm.exe:*:Enabled:Football Manager 2008"
"C:\\Program Files\\Hitman Pro\\wget.exe"="C:\\Program Files\\Hitman Pro\\wget.exe:*:Enabled:wget"
"F:\\Applicatie's\\Xfire\\xfire.exe"="F:\\Applicatie's\\Xfire\\xfire.exe:*:Enabled:Xfire"
"F:\\Applicatie's\\mIRC\\mirc.exe"="F:\\Applicatie's\\mIRC\\mirc.exe:*:Enabled:mIRC"
"F:\\Gaming\\Counter Strike 1.6\\hl.exe"="F:\\Gaming\\Counter Strike 1.6\\hl.exe:*:Enabled:Half-Life Launcher"
"F:\\Applicatie's\\Limewire\\LimeWire Plus\\LimeWire.exe"="F:\\Applicatie's\\Limewire\\LimeWire Plus\\LimeWire.exe:*:Enabled:LimeWire"
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"="C:\\Program Files\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\helpctr.exe"="C:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\helpctr.exe:*:Enabled:Hulp op afstand - Windows Messenger en spraak"
"C:\\Program Files\\Steam\\Steam.exe"="C:\\Program Files\\Steam\\Steam.exe:*:Enabled:Steam"
"C:\\Program Files\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"="C:\\Program Files\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe:*:Enabled:Call of Duty(R) 4 - Modern Warfare(TM) "

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

Remaining Files :

File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Mon 28 Jan 2008 1,404,240 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"
Mon 28 Jan 2008 5,146,448 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
Mon 28 Jan 2008 2,097,488 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"
Fri 30 Nov 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Sat 9 Feb 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\523d056929e13eacf8392044f602e53e\BIT12C.tmp"
Wed 7 May 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\9ace568958858279a6c5830b433e310b\BIT10.tmp"
Mon 12 Feb 2007 3,096,576 A..H. --- "C:\Documents and Settings\Jeroen Tub‚e\Application Data\U3\temp\Launchpad Removal.exe"

Finished!

zondag 6 juli 2008 17:43

Acties:

Verwijderd

Topicstarter

HijackThis LOG :
ogfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:41, on 6-7-2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\SurfRight\Caretaker\CaretakerService.exe
C:\Program Files\SurfRight\Caretaker\AntispamService.exe
C:\Program Files\SurfRight\Caretaker\CaretakerProxy.exe
C:\Program Files\SurfRight\Caretaker\CaretakerUpdater.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\ups.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Eset\nod32kui.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\SurfRight\Caretaker\Notifier.exe
C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe
C:\WINDOWS\system32\CTFMON.EXE
C:\Program Files\Hitman Pro\srhelper.exe
C:\Program Files\Jetico\BestCrypt\BCResident.exe
F:\Applicatie's\Xfire\xfire.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {18B9F0C6-62D8-46D0-AB95-944A10B77295} - (no file)
O2 - BHO: {5cbfcf7b-d5bc-723b-f3b4-4b954e20d915} - {519d02e4-59b4-4b3f-b327-cb5db7fcfbc5} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: (no name) - {9135F831-304E-4294-A40F-A0124095869F} - (no file)
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\System32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [7c73e445] rundll32.exe "C:\WINDOWS\system32\jctxfnkq.dll",b
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [CaretakerNotifier] C:\Program Files\SurfRight\Caretaker\Notifier.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [lphcnejj0e78v] C:\WINDOWS\system32\lphcnejj0e78v.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Hitman Pro\surfright.exe" "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Hitman Pro SurfRight Helper] "C:\Program Files\Hitman Pro\srhelper.exe"
O4 - HKCU\..\Run: [Steam] "C:\Program Files\Steam\Steam.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Lokale service')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Netwerkservice')
O4 - HKUS\S-1-5-21-823518204-448539723-725345543-1009\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'userpostgres15')
O4 - HKUS\S-1-5-21-823518204-448539723-725345543-1009\..\RunOnce: [NeroHomeFirstStart] "C:\Program Files\Common Files\Nero\Lib\NMFirstStart.exe" (User 'userpostgres15')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Xfire.lnk = F:\Applicatie's\Xfire\xfire.exe
O4 - Global Startup: BestCrypt Auto Open.lnk = C:\Program Files\Jetico\BestCrypt\BestCrypt.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: E&xport to Microsoft Excel - res://F:\Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microso...eb_site.cab?1195765754953
O20 - AppInit_DLLs: hplun.dll
O20 - Winlogon Notify: Antiwpa - C:\WINDOWS\SYSTEM32\antiwpa.dll
O20 - Winlogon Notify: awtrSkJc - awtrSkJc.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-service (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Caretaker Antispam Service (CaretakerAntispam) - SurfRight B.V. - C:\Program Files\SurfRight\Caretaker\AntispamService.exe
O23 - Service: Caretaker Proxy (CaretakerProxy) - SurfRight B.V. - C:\Program Files\SurfRight\Caretaker\CaretakerProxy.exe
O23 - Service: Caretaker Service (CaretakerSvc) - SurfRight B.V. - C:\Program Files\SurfRight\Caretaker\CaretakerService.exe
O23 - Service: Caretaker Updater (CaretakerUpdate) - SurfRight B.V. - C:\Program Files\SurfRight\Caretaker\CaretakerUpdater.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: iPod-service (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: MSSQL$SONY_MEDIAMGR - Unknown owner - F:\Sony Vegas\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe (file missing)
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PostgreSQL Database Server (pgsql-8.0) - PostgreSQL Global Development Group - C:\Program Files\PostgreSQL\8.0\bin\pg_ctl.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe
O23 - Service: SQLAgent$SONY_MEDIAMGR - Unknown owner - F:\Sony Vegas\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlagent.EXE (file missing)
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 10087 bytes

zondag 6 juli 2008 18:04

Acties:

Verwijderd

Topicstarter

Ok , het virus isnaar mijn weten weg, in de logs etc is in elk geval geen verschijnsel meer ervan.
Spybot vind hem niet meer dus dat is ook een goed teken.
Alles is opgelost BEHALVE hoe zet ik de C schijf terug in Deze computer ?

zondag 6 juli 2008 18:06

Acties:

NMe

Quia Ego Sic Dico.

Je hebt twee van de 3 entries die ik als nasty aangewezen heb nog steeds in je log staan. Lees je mijn replies wel?

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.

zondag 6 juli 2008 18:29

Acties:

Verwijderd

Topicstarter

-NMe- schreef op zondag 06 juli 2008 @ 18:06:
Je hebt twee van de 3 entries die ik als nasty aangewezen heb nog steeds in je log staan. Lees je mijn replies wel?

Die 3 zijn normale processen

.
O4 - HKLM\..\Run: [7c73e445] rundll32.exe "C:\WINDOWS\system32\jctxfnkq.dll",b
O4 - HKLM\..\Run: [lphcnejj0e78v] C:\WINDOWS\system32\lphcnejj0e78v.exe
O4 - HKLM\..\Run: [7c73e445] rundll32.exe "C:\WINDOWS\system32\jctxfnkq.dll",b

Waren de virussen en zijn opgelost, de andere processen horen bij bepaalde programmas die op mijn PC staan en zijn volkomen clean.
De VIRUS ALERT error is weg, de enigste functie die nog niet is opgelost is de C Schijf, ik kan programmas erop gebruiken, ik kan hem via Deze computer, met het typen van C:\ openen.
Het enigste probleem isdat hij niet tussen de schijven staat bij Deze Computer wat ik toch als onhandig ervaar en graag wil oplossen.

zondag 6 juli 2008 19:56

Acties:

THE_FIREFOX

Misschien is hij via een register key verborgen gemaakt.
http://www.pctools.com/guides/registry/detail/148/

zondag 6 juli 2008 20:53

Acties:

Verwijderd

Topicstarter

THE_FIREFOX schreef op zondag 06 juli 2008 @ 19:56:
Misschien is hij via een register key verborgen gemaakt.
http://www.pctools.com/guides/registry/detail/148/

Je krijgt bij deze de nobelprijs voor wijsheid.
HET WERKT !

Heb de waarde naar 0 veranderd ( Deze stond op c

??)
Reboot en ik zag de schijf weer.

maandag 7 juli 2008 13:28

Acties:

THE_FIREFOX

Je had toch nogiets bij de eigenschappen van deze computer staan ?

donderdag 10 juli 2008 15:13

Acties:

CrankyGamerOG

Assumption is the mother.....

Verwijderd schreef op zondag 06 juli 2008 @ 18:29:
[...]

Die 3 zijn normale processen .
O4 - HKLM\..\Run: [7c73e445] rundll32.exe "C:\WINDOWS\system32\jctxfnkq.dll",b
O4 - HKLM\..\Run: [lphcnejj0e78v] C:\WINDOWS\system32\lphcnejj0e78v.exe
O4 - HKLM\..\Run: [7c73e445] rundll32.exe "C:\WINDOWS\system32\jctxfnkq.dll",b

Waren de virussen en zijn opgelost, de andere processen horen bij bepaalde programmas die op mijn PC staan en zijn volkomen clean.
De VIRUS ALERT error is weg, de enigste functie die nog niet is opgelost is de C Schijf, ik kan programmas erop gebruiken, ik kan hem via Deze computer, met het typen van C:\ openen.
Het enigste probleem isdat hij niet tussen de schijven staat bij Deze Computer wat ik toch als onhandig ervaar en graag wil oplossen.

Nu kick ik misschien wel voor niks dit topic omhoog, maaruh.......
mag ik vragen welke programma's dat zijn die processen gebruiken met zon naam ?
ze lijken me zoals -nMe- al aangeeft zwaaaaaaaaaar dubieus.

KPN - Vodafone Ziggo Partner

vrijdag 11 juli 2008 16:16

Acties:

Sassie

Inderdaad, in de laatste hijackthis-log zitten nog wel wat resten (waaronder verwijzingen naar diverse 'verdachte' .dll en .exe files). Er lijkt niks acuut actief te zijn, maar voor de volledigheid en de zekerheid zou ik die overgebleven verwijzingen ook nog even weghalen idd.

Dit zijn volgens mij allemaal rest-entries in je laatst geposte hjt-log en kunnen weg

O2 - BHO: (no name) - {18B9F0C6-62D8-46D0-AB95-944A10B77295} - (no file)
O2 - BHO: {5cbfcf7b-d5bc-723b-f3b4-4b954e20d915} - {519d02e4-59b4-4b3f-b327-cb5db7fcfbc5} - (no file)
O2 - BHO: (no name) - {9135F831-304E-4294-A40F-A0124095869F} - (no file)
* O4 - HKLM\..\Run: [7c73e445] rundll32.exe "C:\WINDOWS\system32\jctxfnkq.dll",b
O4 - HKLM\..\Run: [lphcnejj0e78v] C:\WINDOWS\system32\lphcnejj0e78v.exe
O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe (file missing)
O20 - Winlogon Notify: awtrSkJc - awtrSkJc.dll (file missing)

* Het gaat hierbij niet zozeer om rundll32.exe, maar om die .dll file die erachter genoemd staat. Die dll file wordt door rundll32.exe ingeladen, en die dll file is gezien de naam (random letters en cijfers) wel verdacht te noemen.

Wat betreft die 2 dikgedrukte regels ik zou nog even zoeken of die files nog op je systeem staan. Zo ja laat ze dan voordat je gaat beginnen aan verwijderingsacties eerst nog online scannen op bijv http://virusscan.jotti.org

Pagina: 1

Reageer