Antimalware doctor

[nachtbraker]

Hoi Andre,

Wat een geklooi weer; nou ja, het is toch slecht weer.

Gisteren begon het bij mij met een waarschuwing op schending van auteursrechten.

Dit was een programma dat was geinstalleerd in .../application data/ARManager en blokkeerde m'n hele systeem (een notebook met Windows XP).

Tevens was er een virus geinstalleerd en begon er een Anti Maleware programma te draaien wat ik niet kende. Dus: batterij eruit en de stekker eruit.

Opstarten lukte niet meer. Na wat geklooi, bleek 'ISAPNP.SYS' verminkt te zijn. Hierna kon ik weer opstarten. ARMangere werd actief en systeem blokkeerde.

ARManager verwijderd (tja, het was ff zoeken) en weer opstarten.

Antimaleware begon te draaien (een onbekend programma). Taskmanager was geblokkeerd en Internet was overbezet. Zelfs het disabelen van m'n draadloze verbinding reageerde niet. Weer afbreken en starten in vielige modus. Daarnaast functioneerde Symantec AV niet meer (een full scan was direct klaar en had 0 files gecontroleerd).

Weer wat klooien en ik zag wat zelfde programma's als jij had.

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\qhj0.exe

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nrktcvy.exe (nou ja, ongeveer)

Ook had ik 'lsass.exe' twee maal draaien.

Opstarten in veilige modus. Symantec deed het weer.

Symantec antivirus detecteerde 'msxsltsso.dll' als backdoor (en nog een paar; oa A1002018.exe), maar niet 'qhj0.exe'.

Zelf vond ik nog 'sreader_s.exe' in '..local settings/application data/'. Hier staat ook de 'qhj0.exe' en 'nrktcvy.exe'.

Alles verwijderd, opnieuw starten en de shit was weer terug (qhj0.exe stond er weer alsof er niets gebeurd was). Weer geen tsakmanager en geen symantec mogelijk.

Opstarten in veilige mode: weer AV gedraaid en weer werd msxsltsso.dll verwijdered, maar nu A1002068).

qhj0 was weer terug en ipv nrktcvy had ik nu khvcol.

Overigens wordt nrktcvy vanuit de registry gestart:

HKLM\Software\microsoft\windows\currentversions\run. Die heb ik ook maar verwijderd.

Nieuwe verdachte was cidrive32.exe uit windows\system32.

Ook deze verwijderd en systeem opnieuw gestart (zonder netwerk).

Resultaat: taskmanager werkt nog steeds niet (bij gebruiker met ADM-rechten) en ook Symantec wel geen scan uitvoeren.

Ik sta open voor suggesties.

Gr. Nachtbraker

[jv9090]

Ik heb je een eigen topic gegeven. Dat maakt het makkelijker werken.

Download HiJackThis

Dubbelklik op HJTInstall.exe

Hijackthis wordt nu op je PC geïnstalleerd, een snelkoppeling wordt op je bureaublad geplaatst.

HijackThis zal openen na het installeren.

Klik op "Do a systemscan and save a logfile".

Er opent een kladblokvenster, hou gelijktijdig de CTRL en A-toets ingedrukt, nu is alles geselecteerd. Hou gelijktijdig de CTRL en C-toets ingedrukt, nu is alles gekopieerd. Plak nu het HJT logje in je bericht door CTRL en V-toets.

N.B. : gebruikers van Windows Vista en Windows 7 zullen eerst moeten rechtsklikken op HijackThis.exe en dan kiezen voor "Run as Administrator".

[nachtbraker]

Tja, het is ook niet makkelijk. Natuurlijk kun j met een geinfecteerde PC niet zomaar het netwerk op; zeker niet als je spyware verwacht. Andre had al meegemaakt wat er kan gebeuren. Om dan HiJack of een andere online viruschecker te advisren geeft natuurlijk een hoop problemen. Zeker met een notebook met een draadloos internet. Gelukkig ben ik niet voor een gat gevangen. Met een tweede PC kun je op Internet zoeken.

Maar goed. Weer een hoop verwijderd en een lange internetkabel de nb in veilige mode opgestart met Internet verbinding (dat werkt dus alleen met een vaste verbinding).

Hier de Hijack-log; er zijn nog wat resten terug te vinden.

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 23:18:54, on 2-5-2010

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe

C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\WINDOWS\System32\WLTRYSVC.EXE

C:\WINDOWS\System32\bcmwltry.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Dell\Bluetooth Software\bin\btwdins.exe

C:\WINDOWS\system32\cisvc.exe

C:\Program Files\Symantec AntiVirus\DefWatch.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Dell\OpenManage\Client\Iap.exe

C:\Program Files\Common Files\Motive\McciCMService.exe

C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\PGPserv.exe

C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

C:\Program Files\Symantec AntiVirus\SavRoam.exe

C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Symantec AntiVirus\Rtvscan.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Dell\Bluetooth Software\BTTray.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Windows Live\Toolbar\wltuser.exe

C:\WINDOWS\system32\cidaemon.exe

C:\WINDOWS\system32\msiexec.exe

C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Laptops, PCs, Desktop Computers, Monitors, Printers & PC Accessories | Dell UK

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Laptops, PCs, Desktop Computers, Monitors, Printers & PC Accessories | Dell UK

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen

O2 - BHO: Adobe PDF Reader Help bij koppelingen - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll

O2 - BHO: Windows Live Aanmelden - Help - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\cidrive32.exe

O4 - HKLM\..\Policies\Explorer\Run: [s8g3] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\qhj0.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Lokale service')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Netwerkservice')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Acrobat Snelle start.lnk = ?

O4 - Global Startup: BTTray.lnk = ?

O4 - Global Startup: PGPtray.lnk = ?

O8 - Extra context menu item: Converteren naar Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Converteren naar bestaand PDF-bestand - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Geselecteerde koppelingen converteren naar Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Geselecteerde koppelingen converteren naar bestaand PDF-bestand - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Koppelingdoel converteren naar Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Koppelingdoel converteren naar bestaand PDF-bestand - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Selectie converteren naar Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Selectie converteren naar bestaand PDF-bestand - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Send To &Bluetooth - C:\Program Files\Dell\Bluetooth Software\btsendto_ie_ctx.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra button: In weblog opnemen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: &In weblog opnemen met Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: Edit with Altova X&MLSpy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - C:\Program Files\Altova\XMLSpy2008\spy.htm

O9 - Extra 'Tools' menuitem: Edit with Altova X&MLSpy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - C:\Program Files\Altova\XMLSpy2008\spy.htm

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Dell\Bluetooth Software\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Dell\Bluetooth Software\btsendto_ie.htm

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {01113300-3E00-11D2-8470-0060089874ED} (Support.com Configuration Class) - http://pccheckup.dellfix.com/sdccommon/download/tgctlcm.cab

O16 - DPF: {49312E18-AA92-4CC2-BB97-55DEA7BCADD6} (WMI Class) - http://support.euro.dell.com/systemprofiler/SysProExe.CAB

O16 - DPF: {6218F7B5-0D3A-48BA-AE4C-49DCFA63D400} (CSEQueryObject Object) - http://www.myheritage.nl/Genoogle/Components/ActiveX/SearchEngineQuery.dll

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = (deleted/NB)

O17 - HKLM\Software\..\Telephony: DomainName = (deleted/NB)

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = (deleted/NB)

O20 - Winlogon Notify: kbupdate - kbupdate.dll (file missing)

O22 - SharedTaskScheduler: Preloader van browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Cache-daemon voor onderdeelcategorieën - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\Dell\Bluetooth Software\bin\btwdins.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe

O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: Iap - Dell Inc. - C:\Program Files\Dell\OpenManage\Client\Iap.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: McciCMService - Motive Communications, Inc. - C:\Program Files\Common Files\Motive\McciCMService.exe

O23 - Service: Intel NCS NetService (NetSvc) - Intel® Corporation - C:\Program Files\Intel\PROSetWired\NCS\Sync\NetSvc.exe

O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe

O23 - Service: PGPserv - PGP Corporation - C:\WINDOWS\system32\PGPserv.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe

O23 - Service: Intel® PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe

O23 - Service: Intel® PROSet/Wireless SSO Service (WLANKEEPER) - Intel® Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe

O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE

--

End of file - 11789 bytes

Ik denk (hoop) dat ik alleen m'n NDIS.sys moet herstellen.

gr. Nachtbraker

[kape]

Is dit een bekend domein voor jou : Domain = (deleted/NB) ?

Start Hijackthis op. Ben je gebruiker van Vista kies dan voor “Run as administrator" of "Uitvoeren als administrator". Selecteer “Do a system scan only”. Selecteer alleen de items die hieronder zijn genoemd:

O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\cidrive32.exe

O4 - HKLM\..\Policies\Explorer\Run: [s8g3] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\qhj0.exe

O20 - Winlogon Notify: kbupdate - kbupdate.dll (file missing)

Klik op 'Fix checked' om de items te verwijderen.

Download MBAM (Malwarebytes Anti-Malware)

Dubbelklik op mbam-setup.exe om het programma te installeren.

Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien".

Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden.

Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan.

Het scannen kan een tijdje duren, dus wees geduldig.

Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien.

Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde.

Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder).

Indien er de rootkit (TDSS) aanwezig is, zal MBAM vragen te herstarten. Doe dit dan ook.

MBAM zal na de herstart opnieuw scannen en de rootkit verwijderen.

Het log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in het programma.

Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de computer opnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart.

Plak de inhoud van het logje in je volgende bericht, samen met een nieuw HijackThis log.

[nachtbraker]

Hey Kape,

Mijn probleem lijkt opgelost te zijn, maar ik denk die van Andre nog niet.

Domein 'deleted/NB' heeft natuurlijk met de privacy te maken. Er is denk ik al genoeg informatie van m'n systeem weggelekt. Vandaar dat ik persoonlijke informatie uit de log vervangen heb door deze term (NB=NachtBraker).

De genoemde bestanden zijn niet meer teruggekomen. Na het corrigeren van NDIS, zijn ook de entries in de registry niet meer teruggekomen.

Ik heb zelf het idee dat het virus misbruik maakt van de map 'Winodws/Prefetech' waar een aantal kopieen stonden van wat bestanden, echter niet met de extensie '.exe'.

Het komt gelukkig niet zoveel voor dat ik met de hand een virus moet verwijderen, maar het kost wel steeds meer tijd.

Voor Andre:

Verwijder alle bestanden cidrive32.exe, qhj0.exe,

verwijder uit windows/system32: mgris.exe, kbupdate.dll, msxsltsso.dll, sshnas21.dll, nmklo.dll, kbdata4.dll, crt4.dll (etc.)

Kijk in system32 naar de datum van bovengenoemde files en controleer alle executables en DLL's; kijk in de eigenschappen naar de makers. Alles met deze datum en een onbende maker verwijderen.

Kijk ook in '../system32/drivers'. Ook hier vind je DLL's en '.sys'-files van deze datum en onbekende makelij.

Waarschijnlijk zitten er bestanden (.sys-files) bij die je niet kunt verwijderen; oa NDIS.sys. NDIS.sys is nodig voor je netwerk; vergelijk deze met die uit de I386-map. Om die terug te zetten, start je op vanaf de windows installatie CD en kies je voor 'recovery' (de R). Login als administrator en vervang de bestanden (minimaal NDIS). Ook kun je zo bestand 'jrg...' weghalen (sorry vergeten op te schrijven, maar wel belangrijk)

Verwijder uit de gebruikersmap '..\application data\' alle executables van bovengenoemde datum.

Verwijder uit de gebruikersmap '..\application data\temp\' alle bestanden van bovengenoemde datum.

Verwijder uit 'Windows\prefetch' alle bestanden van bovengenoemde datum.

Verwijder uit de registry:

HKLM\..Currentversion\Policies\Explorer\Run: ...\cidrive32.exe en s8g3

HKLM\..Currentversion\RUN\nrktcvy.exe

Een beetje gevaarlijk, maar het werkt wel. Maak een kopie van die bestanden waarvan je niet zeker bent (noem ze dan even iets anders; bv '.SoS' ipv '.SYS').

Succes,

Nachtbraker.

[kape]

Mijn probleem lijkt opgelost te zijn

Oppervlakkig lijkt dat zo te zijn, maar ben niet helemaal overtuigd dat dit ook - in de diepte - zo is. Maar we kunnen alleen maar voortgaan op jouw vaststelling, dus nemen ook wij aan dat het "opgelost" is

Domein 'deleted/NB' heeft natuurlijk met de privacy te maken. Er is denk ik al genoeg informatie van m'n systeem weggelekt. Vandaar dat ik persoonlijke informatie uit de log vervangen heb door deze term (NB=NachtBraker)

Met al wat je hier op dit forum geplaatst hebt, kan niemand iets aanvangen. Zo'n inbraak op de "privacy" is dat absoluut niet. Maar heb er wel alle begrip voor dat je hierbij enige voorzichtigheid aan de dag legt !

En wat André betreft : geen enkel systeem is hetzelfde, geen enkel probleem is hetzelfde ... dus zou ik met de suggesties over verwijderingen op de PC van André - naar analogie met jouw oplossingen - wel héél voorzichtig zijn. Voor hetzelfde geld draait heel zijn PC in de soep, met de oplossingen die bij jou wél werkten.

Wat je zeker nog moet doen is je JAVA updaten. Want je zit echt wel met een ANTIEKE versie !

Voorlopig sluiten we hier de tent Mocht je toch nog problemen ervaren, dan kan je steeds een nieuw topic openen !

[jv9090]

Xp kan ook wel een update gebruiken. Momenteel werken we met service pack 3.