XP SP2: Msconfig, regedit, cmd starten niet meer - Privacy en beveiliging

zaterdag 23 oktober 2004 12:33

Acties:

NF7-S 1825@2280

Topicstarter

Vorige week had ik een vervelende trojan genaamd Pro.Rat 170, 181 en 190 op mijn pc. Met veel kunst en vliegwerk heb ik die eraf gekregen. Ik heb inmiddels Norton Internet Security 2005 draaien en ook TrojanHunter. Ik heb mijn hele pc gescand en nu is die helemaal schoon.

Alleen starten programmaatjes als msconfig en regedit niet meer op en ook de cmd (Dos box) werkt niet meer. Als je die programma's start verschijnen ze heel even, mijn harde schijf gaat ook draaien en dan verdwijnen ze meteen weer.

Ik heb dat Pro.Rat o.a. met een programma weggehaald dat de zogenaamde "Prefetch" opschoont.

Iemand een idee?

zondag 24 oktober 2004 14:26

Acties:

MegaJurk

NF7-S 1825@2280

Topicstarter

Echt niemand een idee?

zondag 24 oktober 2004 14:28

Acties:

job

Heb je desbetreffende programma's nog wel op je pc staan?
Het zou best logisch zijn dat het virus zich in die bestanden heeft genest, en dat bij het verwijderen deze zijn verwijderd.

Missen ze, kopieer ze dan van een werkende windows xp pc.
Of kopieer ze sowieso, dan weet je in elk geval dat die bestanden het probleem niet zijn.

zondag 24 oktober 2004 14:47

Acties:

ixi

Als ze meteen na het openen weer worden afgesloten heb je een programma draaien dat niet graag wordt uitgeschakeld. Virus of spyware dus.

Probeer eens op te starten in veilige modus.

zondag 24 oktober 2004 15:03

Acties:

MegaJurk

NF7-S 1825@2280

Topicstarter

Ja, ze staan nog wel op de pc, want ze starten wel eventjes op. In de veilige modus heb ik hetzelfde probleem. Zou het opnieuw installeren van Service Pack 2 een uitkomst kunnen zijn?

zondag 24 oktober 2004 15:14

Acties:

Verwijderd

sp2 is alleen maar patchwerk zou je niet even stinger downloaden en die laten scannen of adaware / bps draaien voor evt. ad/spyware op je pc ?

zondag 24 oktober 2004 15:15

Acties:

NeOTheMaTriXM

MegaJurk schreef op 24 oktober 2004 @ 15:03:
Ja, ze staan nog wel op de pc, want ze starten wel eventjes op. In de veilige modus heb ik hetzelfde probleem. Zou het opnieuw installeren van Service Pack 2 een uitkomst kunnen zijn?

http://www.webtree.ca/windowsxp/repair_xp.htm
(Onderaan pagina)

Windows "reinstallen" je moet alleen wel SP2 & Windows Update's opnieuw installeren...
De rest van je programma's / Instellingen blijven wel goed :-)

maandag 25 oktober 2004 22:18

Acties:

MegaJurk

NF7-S 1825@2280

Topicstarter

Dat werkt dus niet, ik krijg de repair functie namelijk niet te zien als ik setup draai. Ik kan alleen maar opnieuw installeren en dan ben ik dus al mijn settings kwijt, en dat is geen doen. Heeft dit te maken met het feit dat ik SP2 draai?

In de veilige modus werkt alles nu wel goed, heb ik gemerkt. Het is echt heel vreemd, als ik regedit bijvoorbeeld start, dan start het programma gewoon op, blijft 2 of 3 seconden in beeld staan en verdwijnt dan weer (wordt weer afgesloten).

Ik heb mijn hele pc gescand met verschillende scanners, maar niets te vinden. Ik ga er dus vanuit dat mijn hele pc schoon is.

maandag 25 oktober 2004 22:24

Acties:

zetje01

Zou ik maar niet doen want je pc vertoont de symptomen van een geïnfecteerd systeem...

maandag 25 oktober 2004 22:27

Acties:

MegaJurk

NF7-S 1825@2280

Topicstarter

Maar alles werkt verder perfect, ik denk eerder aan een paar dll files die ontbreken ofzo of een beschadiging van het register.

maandag 25 oktober 2004 22:27

Acties:

Verwijderd

Dat zijn drie verschillende backdoors(als het 'goed' is tenminste).

Dat de genoemde progs niet willen opstarten duidt op de aanwezigheid van(meer)backdoors.
SP2 zal daar niets aan oplossen, de backdoor(s) moet(en) gewoon weg.

Ik ben er 100% zeker van dat er (minstens)nog een backdoor op je systeem zit.

Je kan eens proberen een HijackThis log te posten, met wat geluk wordt die niet geblockt.

Zoek dan(ook) zelf naar verdachte entries hierin.
Probeer de verdachte files dan te vinden en scan deze hier: http://virusscan.jotti.dhs.org/

_Niet_ zomaar entries gaan deleten zonder dat we weten om welke malware het gaat.

Succes.

maandag 25 oktober 2004 22:45

Acties:

MegaJurk

NF7-S 1825@2280

Topicstarter

Hier is mijn logfile of HijackThis, ik zie niks vreemds toch?

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
D:\Program Files\Norton SystemWorks\Norton Internet Security\ISSVC.exe
C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Program Files\AVPersonal\AVWUPSRV.EXE
D:\PROGRA~1\NORTON~1\NOD097~1\GHOSTS~2.EXE
D:\Program Files\Norton SystemWorks\Norton Internet Security\Norton AntiVirus\navapsvc.exe
D:\Program Files\Norman\Nvc\BIN\Zanda.exe
D:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
D:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\wscntfy.exe
D:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\NVIDIA Corporation\NvMixer\NvMixerTray.exe
D:\Program Files\MoodLogic\Service\Updater.exe
D:\PROGRAM FILES\NORMAN\Nvc\BIN\NJEEVES.EXE
D:\Program Files\MoodLogic\Service\MLService.exe
D:\Program Files\Motherboard Monitor 5\MBM5.EXE
D:\Program Files\Norton SystemWorks\Norton Ghost 2003\GhostStartTrayApp.exe
C:\WINDOWS\system32\atiptaxx.exe
C:\WINDOWS\system32\SVHOST.EXE
D:\Program Files\Norton SystemWorks\Password Manager\AcctMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\alg.exe
D:\Program Files\LimeWire\LimeWire 4.0.8\LimeWire.exe
D:\Program Files\ICQ\Icq.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Symantec Shared\AdBlocking\NSMdtr.exe
C:\Program Files\Messenger\msmsgs.exe
C:\HJT\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tweakers.net/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.tweakers.net/
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: (no name) - _{5D60FF48-95BE-4956-B4C6-6BB168A70310} - (no file)
O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Program Files\Norton SystemWorks\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Program Files\Norton SystemWorks\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [zBrowser Launcher] D:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvMixerTray] C:\Program Files\NVIDIA Corporation\NvMixer\NvMixerTray.exe
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MoodLogic Updater] D:\Program Files\MoodLogic\Service\Updater.exe
O4 - HKLM\..\Run: [MoodLogic Service] D:\Program Files\MoodLogic\Service\MLService.exe
O4 - HKLM\..\Run: [MBM 5] "D:\Program Files\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [GhostStartTrayApp] D:\Program Files\Norton SystemWorks\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [tgcmd] "C:\PROGRA~1\Support.com\bin\tgcmd.exe" /server /startmonitor /deaf
O4 - HKLM\..\Run: [THGuard] "D:\Program Files\TrojanHunter 4.0\THGuard.exe"
O4 - HKLM\..\Run: [Windows Core Settings] SVHOST.EXE
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [AcctMgr] D:\Program Files\Norton SystemWorks\Password Manager\AcctMgr.exe /startup
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\RunOnce: [Windows Core Settings] SVHOST.EXE
O4 - HKCU\..\RunOnce: [ICQ] D:\Program Files\ICQ\Icq.exe -trayboot
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Download all by Free Download Manager - file://D:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download by Free Download Manager - file://D:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Download selected by Free Download Manager - file://D:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site by Free Download Manager - file://D:\Program Files\Free Download Manager\dlpage.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Gelijkwaardige pagina's - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Koppelingspagina's - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Opgeslagen momentopname van de pagina - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Program Files\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Program Files\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpo...nstallers/MetaStream3.cab
O16 - DPF: {1D185838-009D-47C8-824B-B65B4854430E} (Installer Class) - http://quickfix2.chello.nl/quickfix2/asp/chelloInstall.CAB
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec....ontent/vc/bin/AvSniff.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net...in/QuickTimeInstaller.exe
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.co...-us/4,0,0,83/mcinsctl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.m...eb_site.cab?1091997412125
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec....tent/common/bin/cabsa.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://209.40.129.173/activex/AxisCamControl.ocx
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.mcafee.co...n-us/1,0,0,20/mcgdmgr.cab
O16 - DPF: {C58EFA10-2CC0-4C50-8C77-B326555EC1B7} (clsDefault Class) - http://quickfix2.chello.nl/quickfix2/asp/LaunchApp.CAB
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab

Ik heb msconfig.exe, regedit.exe en cmd.exe hernoemd naar .com bestanden, de extensie dus aangepast en nu werken ze wel weer !!!!!!! Maar dit is toch eigenlijk niet helemaal de bedoeling???

maandag 25 oktober 2004 22:50

Acties:

Verwijderd

Waarom heb je én NVC én NAV draaien? Twee AVs resident is niet echt verstandig en leidt juist snel tot problemen.

Ik zal de(mogelijke)spyware even negeren en even concentreren op de waarschijnlijke backdoor -->
C:\WINDOWS\system32\SVHOST.EXE

Scan die file dus @ http://virusscan.jotti.dhs.org/ - post hier wat daar uit komt en wacht met het checken van entries totdat er wordt gezegd dat het kan.

Ik heb msconfig.exe, regedit.exe en cmd.exe hernoemd naar .com bestanden, de extensie dus aangepast en nu werken ze wel weer !!!!!!! Maar dit is toch eigenlijk niet helemaal de bedoeling???

Nogmaals, dat komt door de backdoor.
Geloof me nou maar.

[ Voor 25% gewijzigd door Verwijderd op 25-10-2004 22:52 ]

maandag 25 oktober 2004 23:07

Acties:

MegaJurk

NF7-S 1825@2280

Topicstarter

Dit komt eruit !!!! Dus een backdoor. Moet ik het bestand nu gewoon weghalen?

File: svhost.exe
Status: INFECTED/MALWARE
Packers detected: EXESTEALTH

AntiVir No viruses found (2.28 seconds taken)
Avast No viruses found (6.11 seconds taken)
BitDefender Win32.P2P.SpyBot.Gen (6.53 seconds taken)
ClamAV No viruses found (6.12 seconds taken)
Dr.Web Win32.HLLW.SpyBot (9.17 seconds taken)
F-Prot Antivirus No viruses found (1.10 seconds taken)
Kaspersky Anti-Virus Worm.P2P.SpyBot.gen (9.54 seconds taken)
mks_vir Worm.P2p.Spybot (3.81 seconds taken)
NOD32 probably unknown NewHeur_PE (probable variant) (5.79 seconds taken)
Norman Virus Control Sandbox: W32/Backdoor; [ General information ]

maandag 25 oktober 2004 23:18

Acties:

Verwijderd

Spybots hebben(normaal gesproken)geen (echte) destructive payload, dus je kan het beestje gewoon zo verwijderen.

Kill het process(eventueel mbv ftp://ftp.kaspersky.ru/utils/trojans/Trojan_Find.rar )
Rename/delete de file.
Verwijder regentries.

Hoe zit het met je beveiliging? Zit je achter een router oid? Vraag is of iemand je systeem benaderd heeft...

Tevens is het sowieso aan te raden om je systeem nog eens te scannen met een AV die deze malware detecteert.

maandag 25 oktober 2004 23:22

Acties:

danslo

Volgens mij is er weleens een topic geweest waar ik het antwoord heb gegeven.. Dit lijkt dus sterk op een spybot, en Schouw's manier lijkt mij het beste, maar als het toch handmatig wilt doen, je browsed gewoon met je explorer naar /system32/ kopieert bijvoorbeeld taskmgr.exe naar je bureaublad, renamed hem naar: blaat.exe, en het werkt

Kan je ook met msconfig of cmd doen.. Handig om de remains nog weg te halen, of het gewoon zelf handmatig te doen.

Edit: Nu zie ik het laatste stukje van je TS

Doh, ja dat komt gewoon omdat spybots 'listenen' of er exe's met die desbetreffende filenames opgestart worden, en daardoor gelijk weer uitgegooid worden

Scan eens met een updated Kaspersky Scannertje, as far as I know heeft die de hoogste detection ratio

[ Voor 26% gewijzigd door danslo op 25-10-2004 23:26 ]

maandag 25 oktober 2004 23:23

Acties:

MegaJurk

NF7-S 1825@2280

Topicstarter

Ik heb nu Norton Internet Security 2005 draaien en TrojanHunter Guard. Ik had vorige week problemen en toen ben ik een tijdje online geweest zonder bescherming vrees ik....

Bedankt zover !!!

Die andere mogelijke spyware welke je in mijn log tegenkwam, welke zijn dat?

dinsdag 26 oktober 2004 18:55

Acties:

elevator

Officieel moto fan :)

Windows Operating Systems >> Beveiliging & Virussen

dinsdag 26 oktober 2004 19:54

Acties:

Pendaco

Vogon Poetry FTW!

MegaJurk schreef op 25 oktober 2004 @ 23:23:
Die andere mogelijke spyware welke je in mijn log tegenkwam, welke zijn dat?

Dat zijn de volgende;

code:

  R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)  
  R3 - URLSearchHook: (no name) - _{5D60FF48-95BE-4956-B4C6-6BB168A70310} - (no file)  
O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file) 
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file) 
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net...in/QuickTimeInstaller.exe

Die svhost staat nog twee keer in je log, staan ze er na verwijderen van svhost.exe nog steeds in dan kun je onderstaande uiteraard ook verwijderen!

code:

1 2	O4 - HKLM\..\Run: [Windows Core Settings] SVHOST.EXE O4 - HKCU\..\RunOnce: [Windows Core Settings] SVHOST.EXE

en deze vind ik vreemd, ik weet niet of je t programma kent?

code:

1	O4 - HKLM\..\Run: [MoodLogic Service] D:\Program Files\MoodLogic\Service\MLService.exe

dinsdag 26 oktober 2004 20:53

Acties:

MegaJurk

NF7-S 1825@2280

Topicstarter

Pendaco schreef op 26 oktober 2004 @ 19:54:
[...]

Dat zijn de volgende;

code:

  R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)  
  R3 - URLSearchHook: (no name) - _{5D60FF48-95BE-4956-B4C6-6BB168A70310} - (no file)  
O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file) 
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file) 
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net...in/QuickTimeInstaller.exe

Die svhost staat nog twee keer in je log, staan ze er na verwijderen van svhost.exe nog steeds in dan kun je onderstaande uiteraard ook verwijderen!

code:

1 2	O4 - HKLM\..\Run: [Windows Core Settings] SVHOST.EXE O4 - HKCU\..\RunOnce: [Windows Core Settings] SVHOST.EXE

en deze vind ik vreemd, ik weet niet of je t programma kent?

code:

1	O4 - HKLM\..\Run: [MoodLogic Service] D:\Program Files\MoodLogic\Service\MLService.exe

MoodLogic is de database updater voor mijn I-River mp3 speler, volgens mij synchroniseert dat programma de mp3's op mijn harde schijf met die op mijn mp3 speler.

SVHost heb ik inmiddels helemaal verwijderd. Ik heb het gevoel dat ik mijn pc behoorlijk heb dichtgetimmerd maar vanavond had ik toch opeens weer wat trojans en werd er een of ander naar programma genaamd eMusic helemaal uit zichzelf geinstalleerd dus ik ga die code regels die jij aangaf ook verwijderen.

Hardstikke bedankt voor jullie hulp, ik hoop dat anderen hier ook wat aan hebben. Ik dacht altijd dat ik behoorlijk wat verstand van computers heb, heb ik ook wel, ik bouw ze ook helemaal zelf enzo maar ik kan toch nog erg veel leren !!!