gausebeest

Super, bij deze mijn scan resultaten.. Wel iets raars overgehouden. Firefox super traag, bij afsluiten Xp melding dat D3D9window niet kan worden afgesloten.. Schijnt iets met DirectX te maken te hebben... pfffff leuk een copmuter, maar te veel processen met te veel onduidelijke namen he.. zoek dat ook nog wel uit.. Verder heb ik al veel services uitgezet via msconfig. wordt altijd zo moet van al die onnodige updaters etc. vandaar dat mijn logfile niet zo lang is, denk ik..... Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 22:31:39, on 9-6-2012 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\CA\CA Internet Security Suite\CA Anti-Virus Plus\caamsvc.exe C:\Program Files\CA\CA Internet Security Suite\CA Anti-Virus Plus\isafe.exe C:\Program Files\CA\CA Internet Security Suite\ccschedulersvc.exe C:\WINDOWS\system32\msiexec.exe C:\WINDOWS\system32\tcpsvcs.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\mdmcls32.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\CTHELPER.EXE C:\Program Files\CA\CA Internet Security Suite\casc.exe C:\Program Files\Sunplus Camera\monitor.exe C:\Program Files\Samsung\Kies\KiesTrayAgent.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe C:\Program Files\Microsoft Office\Office14\MSOSYNC.EXE C:\Program Files\Windows Desktop Search\WindowsSearch.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Mozilla Firefox\plugin-container.exe C:\Program Files\Hijackthis\Trend Micro\HiJackThis\HiJackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Hotmail, Messenger, het laatste nieuws en entertainment | MSN.NL R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Hotmail, Messenger, het laatste nieuws en entertainment | MSN.NL R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Total Defense Anti-Phishing Toolbar Helper - {45011CF5-E4A9-4F13-9093-F30A784EB9B2} - C:\Program Files\CA\CA Internet Security Suite\CA Anti-Phishing\toolbar\caIEToolbar.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office14\GROOVEEX.DLL O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\MICROS~2\Office14\URLREDIR.DLL O3 - Toolbar: Total Defense Anti-Phishing Toolbar - {0123B506-0AD9-43AA-B0CF-916C122AD4C5} - C:\Program Files\CA\CA Internet Security Suite\CA Anti-Phishing\toolbar\caIEToolbar.dll O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [cctray] "C:\Program Files\CA\CA Internet Security Suite\casc.exe" O4 - HKLM\..\Run: [capfupgrade] C:\Program Files\CA\CA Internet Security Suite\CA Personal Firewall\capfupgrade.exe O4 - HKLM\..\Run: [sunplus Camera_Monitor] C:\Program Files\Sunplus Camera\monitor.exe O4 - HKLM\..\Run: [KiesTrayAgent] C:\Program Files\Samsung\Kies\KiesTrayAgent.exe O4 - HKLM\..\Run: [brStsWnd] C:\Program Files\Brownie\BrstsWnd.exe Autorun O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [KiesPDLR] C:\Program Files\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe O4 - HKCU\..\Run: [KiesHelper] C:\Program Files\Samsung\Kies\KiesHelper.exe /s O4 - HKCU\..\Run: [OfficeSyncProcess] "C:\Program Files\Microsoft Office\Office14\MSOSYNC.EXE" O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user') O4 - Startup: desktopini_old O4 - Global Startup: Windows Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe O8 - Extra context menu item: &Verzenden naar OneNote - res://C:\PROGRA~1\MICROS~2\Office14\ONBttnIE.dll/105 O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office14\EXCEL.EXE/3000 O9 - Extra button: Verzenden naar OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll O9 - Extra 'Tools' menuitem: &Verzenden naar OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll O9 - Extra button: &Gekoppelde notities van OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll O9 - Extra 'Tools' menuitem: &Gekoppelde notities van OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll O9 - Extra button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll O9 - Extra 'Tools' menuitem: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL O22 - SharedTaskScheduler: Preloader van browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Cache-daemon voor onderdeelcategorieën - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe O23 - Service: CAAMSvc - CA - C:\Program Files\CA\CA Internet Security Suite\CA Anti-Virus Plus\caamsvc.exe O23 - Service: CAISafe - Computer Associates International, Inc. - C:\Program Files\CA\CA Internet Security Suite\CA Anti-Virus Plus\isafe.exe O23 - Service: CA Common Scheduler Service (ccSchedulerSVC) - Unknown owner - C:\Program Files\CA\CA Internet Security Suite\ccschedulersvc.exe O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Program Files\Skype\Updater\Updater.exe O23 - Service: WinSock Extention Manager (WinExtManager) - Unknown owner - C:\WINDOWS\system32\mdmcls32.exe -- End of file - 7650 bytes

Beste Kweezie wabbit, Thanx voor de hulp. Vandaag eerst eens in mijn windowsmap en documents en settings gestrunt via HBCD>miniXP en gefiltert op laatst aangepaste datum. Tussen de meest recente zaken stond een *.Exe file met een heel rare naam... (c:\documents and settings\all users\application data\mmirnfjiwihlrrwnpwnk.exe) LET OP deze stond dus op meerdere plaatsen, ook in de C:\windows ! deze verwijdert, vervolgens het forum nagelezen en windowsunlocker gedraaid die de mooie bootdisk. Inderdaad stond er een verwijzing naar het exe bestandje wat ik net 15 minuten daarvoor had verwijdert. De virusscanner van kapersky nog even gedraaid, en hupsakee.. weer in orde. (btw, ook de site eens doorgelezen van kapersky.. nog nooit veel van gehoord, maar ziet er goed uit.. ) Mijn groote waardering wil ik uitspreken naar iedereen die er tijd in steekt om via deze sie anderen te helpen!! TOP! Bij deze nog een kopie van de windowsunlocker, voor anderen met hetzelfde probleem: Kaspersky Lab WindowsUnlocker, 2012 version 1.2.0 Apr 25 2012 17:09:57 Processing volume "/discs/C:" Registry hive "/discs/C:/windows/system32/config/system" opened successfully "AlternateShell" - OK "AlternateShell" - OK Registry hive "/discs/C:/windows/system32/config/software" opened successfully OS Windows detected: Microsoft Windows XP Service Pack 3 ( 2600.xpsp_sp3_gdr.120411-1615 ) C:\WINDOWS Processing "Winlogon" "Shell" - suspicious modification: explorer_new.exe Shell - was restored to Explorer.exe "Userinit" - OK Processing "Windows" Processing "Run" "mmirnfjiwihlrrw" : "c:\documents and settings\all users\application data\mmirnfjiwihlrrwnpwnk.exe" - suspicious value mmirnfjiwihlrrw - deleted Processing "Image File Execution Options" Processing volume "/discs/E:" Processing volume "/discs/File manager" Processing volume "/discs/Kaspersky Rescue Disk" Processing volume "/discs/D:" Processing volume "/discs/Web browser" Processing volume "/discs/Kaspersky Registry Editor" Registry hive "/discs/C:/Documents and Settings/LocalService/NTUSER.DAT" opened successfully Processing "Winlogon" Processing "Windows" Processing "Run" Registry hive "/discs/C:/Documents and Settings/NetworkService/NTUSER.DAT" opened successfully Processing "Winlogon" Processing "Windows" Processing "Run" Registry hive "/discs/C:/Documents and Settings/Martin en Joyce/NTUSER.DAT" opened successfully Processing "Winlogon" Processing "Windows" Processing "Run" "mmirnfjiwihlrrw" : "c:\documents and settings\all users\application data\mmirnfjiwihlrrwnpwnk.exe" - suspicious value mmirnfjiwihlrrw - deleted Registry hive "/discs/C:/Documents and Settings/Sanne en Tygo/NTUSER.DAT" opened successfully Processing "Winlogon" Processing "Windows" Processing "Run" Registry hive "/discs/C:/Documents and Settings/Administrator.MARTIN-3CCF0A01/NTUSER.DAT" opened successfully Processing "Winlogon" Processing "Windows" Processing "Run" Nogmaals dank!!

Beste allemaal, Kamp met hetzelfde probleem. Opgelopen op bob de bouwer website. Kleine jongen niet op de kinderen hun eigen (beperkte)account laten spelen door mijn lieve vrouw.. Windows XP SP3. CA internetsercurity (tegenwoordig defender... ) Maar in veilige modus hetzelfde probleem. 2 bootable USB sticks gemaakt, één met iets van windows zelf.. (bootable defener oid. werkt natuurlijk niet goed genoeg..) en AVG. Laten scannen, wel iets gevonden, en verwijdert, maar probleem nog steeds aanwezig. Wil ook nog geen Ghost image terugzetten op de XP partitie, want wie weet staat het op één van de andere partities. (downloads etc, etc. op andere partities dan XP) Ga nu met HBCD proberen, maar wie heeft er nog meer tips.. ?? lastig probleem hoor, zeker voor de wat mindere PC gebruikers. Kan men hier nog aangifte tegen doen.. oplichting eerste klas! toch... thnx, Mart.