Ga naar inhoud

PC start slechts na eerst in veilige modus te schakelen ?

imkeren

Door imkeren
in Archief Andere software

 Delen

Aanbevolen berichten

imkeren Enthousiasteling

imkeren

Geplaatst:
Geplaatst:

> 1ste maal opstarten, alles verloopt normaal tot de Explorer het bureaublad zou moeten tonen; doch scherm blijft zwart.

> Als ik dan een reset doe en dus opnieuw start, dan verschijnt er een scherm met de vraag om naar 'Veilige modus' te gaan; indien ik naar veilige modus ga met netwerk mogelijkheden, dan ok in veilige modus.

> Nadat ik na ong. 30 min. opnieuw een software herstart doe , dan start het systeem in 100% van de gevallen normaal en wordt het bureaublad wel getoond.(dus explorer start wel)

Ik vermoed dat er dus een programma is dat Explorer belet om aan bod te komen, en door een bepaalde tijd in veilige modus te werken wordt deze taak de kans geboden om uitgevoerd te worden.....'t is maar een gissing.

Ik heb de takenlijst eens opgenomen in het geval van de veilige modus en de gewone modus, misschien ziet iemand wie de dader zou kunnen zijn ?

Gtjes

Imker

post-27827-1417704633,3022_thumb.jpg

post-27827-1417704633,3717_thumb.jpg

  • Reacties 41
  • Aangemaakt
  • Laatste reactie

Beste reacties in dit topic

Populaire dagen

Beste reacties in dit topic

Populaire dagen

Geplaatste afbeeldingen

clarkie Grootmeester

clarkie

Geplaatst:
Geplaatst:

In je afbeelding veilige modus staat bij de processen onder andere ook excel en iets van outlook express denk ik er tussen.

Had je die geopend?

We zullen eerst eens nagaan of malware of virussen de oorzaak zijn van je probleem.

1. Download HijackThis.

Klik bij "HijackThis Downloads" op "Installer".

Bestand HijackThis.msi opslaan. Daarna kiezen voor "uitvoeren".

Hijackthis wordt nu op je PC geïnstalleerd, een snelkoppeling wordt op je bureaublad geplaatst.

Als je geen netwerkverbinding meer hebt, kan je de download doen met een andere pc en het bestand met een usb stick overbrengen

Als je enkel nog in veilige modus kan werken, moet je de executable downloaden.

Sla deze op in een nieuwe map op de C schijf (bvb C:\\hijackthis) en start hijackthis dan vanaf deze map.

De logjes kan je dan ook in die map terugvinden.

2. Klik op de snelkoppeling om HijackThis te starten

Klik ofwel op "Do a systemscan and save a logfile", ofwel eerst op "Scan" en dan op "Savelog".

Er opent een kladblokvenster, hou gelijktijdig de CTRL en A-toets ingedrukt, nu is alles geselecteerd. Hou gelijktijdig de CTRL en C-toets ingedrukt, nu is alles gekopieerd. Plak nu het HJT logje in je bericht door CTRL en V-toets.

Krijg je een melding ""For some reason your system denied writing to the Host file ....", klik dan gewoon door op de OK-toets.

Let op : Windows Vista & 7 gebruikers dienen HijackThis als “administrator” uit te voeren via rechtermuisknop “als administrator uitvoeren". Indien dit via de snelkoppeling niet lukt voer je HijackThis als administrator uit in de volgende map : C:\\Program Files\\Trend Micro\\HiJackThis of C:\\Program Files (x86)\\Trend Micro\\HiJackThis. (Bekijk hier de afbeelding ---> Bijlage 12634)

Wil je in woord en beeld weten hoe je een logje met HijackThis maakt en plaatst op het forum, klik dan HIER.

3. Na het plaatsen van je logje wordt dit door een expert (Kape of Kweezie Wabbit) nagekeken en begeleidt hij jou verder door het ganse proces.

imkeren Enthousiasteling

imkeren

Geplaatst:
  • Auteur
Geplaatst:

1. Herstelpunt brengt geen soelaas

2. Geen 'updating' fouten gevonden

3. Ja , in veilige modus was Outlook en Exell gestart

4. Hierna een HiJask Logfile :

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 0:07:50, on 11-11-2011

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\PROGRA~1\AVG\AVG10\avgchsvx.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RunDll32.exe

C:\Program Files\Common Files\Java\Java Update\jusched.exe

C:\Program Files\AVG\AVG10\avgtray.exe

C:\Program Files\AVG\AVG10\avgwdsvc.exe

C:\Program Files\Logitech\SetPointP\SetPoint.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Outlook Express\msimn.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\Common Files\LogiShrd\KHAL3\KHALMNPR.EXE

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Nitro PDF\Reader\NitroPDFReaderDriverService.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Belgacom\bin\sprtsvc.exe

C:\Program Files\AVG\AVG10\Identity Protection\agent\bin\avgidsmonitor.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\AVG\AVG10\avgnsx.exe

C:\Program Files\AVG\AVG10\Identity Protection\Agent\Bin\AVGIDSAgent.exe

C:\Program Files\AVG\AVG10\avgemcx.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Common Files\Java\Java Update\jucheck.exe

C:\PROGRA~1\AVG\AVG10\avgrsx.exe

C:\Program Files\AVG\AVG10\avgcsrvx.exe

C:\Program Files\AVG\AVG10\avgcsrvx.exe

C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Skynet.be - LE portail belge – DE Belgische portaalsite!

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MyHeritage.com Search

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen

R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files\AVG\AVG10\Toolbar\IEToolbar.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG10\avgssie.dll

O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files\AVG\AVG10\Toolbar\IEToolbar.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.7.6406.1642\swg.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Program Files\AVG\AVG10\Toolbar\IEToolbar.dll

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [AVG_TRAY] C:\Program Files\AVG\AVG10\avgtray.exe

O4 - HKLM\..\Run: [EvtMgr6] C:\Program Files\Logitech\SetPointP\SetPoint.exe /launchGaming

O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Lokale service')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Netwerkservice')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_7461B1589E8B4FB7.dll/cmsidewiki.html

O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Common Files\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O16 - DPF: {0067DBFC-A752-458C-AE6E-B9C7E63D4824} (Apparaatdetectie) - http://www.logitech.com/devicedetector/plugins/LogitechDeviceDetection32.cab

O16 - DPF: {0742B9EF-8C83-41CA-BFBA-830A59E23533} - https://oas.support.microsoft.com/ActiveX/MSDcode.cab

O16 - DPF: {34DC6011-88B5-4EA9-BA7A-DC7B4F4437FE} (JordanUploader Class) - http://photoservice.fujicolor.eu/ips-opdata/objects/jordan.cab

O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://fotoalbum.seniorennet.be/incl/uploader/ImageUploader5.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1301984090593

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O18 - Protocol: avgsecuritytoolbar - {F2DDE6B2-9684-4A55-86D4-E255E237B77C} - C:\Program Files\AVG\AVG10\Toolbar\IEToolbar.dll

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG10\avgpp.dll

O22 - SharedTaskScheduler: Preloader van browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Cache-daemon voor onderdeelcategorieën - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: AVGIDSAgent - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG10\Identity Protection\Agent\Bin\AVGIDSAgent.exe

O23 - Service: AVG WatchDog (avgwd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG10\avgwdsvc.exe

O23 - Service: Google Updateservice (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: Google Update-service (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\LogiShrd\Bluetooth\lbtserv.exe

O23 - Service: NitroPDFReaderDriverCreatorReadSpool (NitroReaderDriverReadSpool) - Nitro PDF Software - C:\Program Files\Nitro PDF\Reader\NitroPDFReaderDriverService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: SupportSoft Sprocket Service (belgacom) (sprtsvc_belgacom) - SupportSoft, Inc. - C:\Program Files\Belgacom\bin\sprtsvc.exe

O23 - Service: SupportSoft RemoteAssist - SupportSoft, Inc. - C:\Program Files\Common Files\Supportsoft\bin\ssrc.exe

--

End of file - 8330 bytes

Bedankt voor hulp en gtejs,

Imker

kape Grootmeester

kape

Geplaatst:
Geplaatst:

Dit logje ziet er niet slecht uit. Download ComboFix van één van deze locaties:

Link 1

Link 2

* BELANGRIJK !!! Sla ComboFix.exe op je Bureaublad op

1. Schakel alle antivirus- en antispywareprogramma's uit, want anders kunnen ze misschien conflicteren met ComboFix. Hier is een handleiding over hoe je ze kan uitschakelen:

Klik hier

Als het je niet lukt om ze uit te schakelen, ga dan gewoon door naar de volgende stap.

2. Dubbelklik op ComboFix.exe en volg de meldingen op het scherm.

3. ComboFix zal controleren of dat de Microsoft Windows Recovery Console reeds is geïnstalleerd.

**Let op: Als de Microsoft Windows Recovery Console al is geïnstalleerd, dan krijg je de volgende schermen niet te zien en zal ComboFix automatisch verder gaan met het scannen naar malware.

4. Volg de meldingen op het scherm om ComboFix de Microsoft Windows Recovery Console te laten downloaden en installeren.

cf-rc-auto.jpg

Je krijgt de volgende melding te zien wanneer ComboFix de Microsoft Windows Recovery Console succesvol heeft geïnstalleerd:

rc-auto-done.jpg

Klik op Ja om verder te gaan met het scannen naar malware.

5. Wanneer ComboFix klaar is, zal het een logbestand voor je maken. Post de inhoud van dit logbestand (te vinden als C:\ComboFix.txt) in je volgende bericht.

imkeren Enthousiasteling

imkeren

Geplaatst:
  • Auteur
Geplaatst:

ComboFix 11-02-22.05 - Eigenaar 23/02/2011 16:05:07.1.2 - x86

Microsoft Windows XP Home Edition 5.1.2600.3.1252.31.1043.18.511.323 [GMT 1:00]

Gestart vanuit: c:\mijn documenten\Mijn ontvangen bestanden\Combo-Fix.exe

.

(((((((((((((((((((((((((((((((((( Andere Verwijderingen )))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\documents and settings\All Users.WINDOWS\Menu Start\HP Image Zone .lnk

c:\documents and settings\Eigenaar.OMA\Application Data\PriceGong

c:\documents and settings\Eigenaar.OMA\Application Data\PriceGong\Data\1.xml

c:\documents and settings\Eigenaar.OMA\Application Data\PriceGong\Data\a.xml

c:\documents and settings\Eigenaar.OMA\Application Data\PriceGong\Data\b.xml

c:\documents and settings\Eigenaar.OMA\Application Data\PriceGong\Data\c.xml

c:\documents and settings\Eigenaar.OMA\Application Data\PriceGong\Data\d.xml

c:\documents and settings\Eigenaar.OMA\Application Data\PriceGong\Data\e.xml

c:\documents and settings\Eigenaar.OMA\Application Data\PriceGong\Data\f.xml

c:\documents and settings\Eigenaar.OMA\Application Data\PriceGong\Data\g.xml

c:\documents and settings\Eigenaar.OMA\Application Data\PriceGong\Data\h.xml

c:\documents and settings\Eigenaar.OMA\Application Data\PriceGong\Data\i.xml

c:\documents and settings\Eigenaar.OMA\Application Data\PriceGong\Data\J.xml

c:\documents and settings\Eigenaar.OMA\Application Data\PriceGong\Data\k.xml

c:\documents and settings\Eigenaar.OMA\Application Data\PriceGong\Data\l.xml

c:\documents and settings\Eigenaar.OMA\Application Data\PriceGong\Data\m.xml

c:\documents and settings\Eigenaar.OMA\Application Data\PriceGong\Data\mru.xml

c:\documents and settings\Eigenaar.OMA\Application Data\PriceGong\Data\n.xml

c:\documents and settings\Eigenaar.OMA\Application Data\PriceGong\Data\o.xml

c:\documents and settings\Eigenaar.OMA\Application Data\PriceGong\Data\p.xml

c:\documents and settings\Eigenaar.OMA\Application Data\PriceGong\Data\q.xml

c:\documents and settings\Eigenaar.OMA\Application Data\PriceGong\Data\r.xml

c:\documents and settings\Eigenaar.OMA\Application Data\PriceGong\Data\s.xml

c:\documents and settings\Eigenaar.OMA\Application Data\PriceGong\Data\t.xml

c:\documents and settings\Eigenaar.OMA\Application Data\PriceGong\Data\u.xml

c:\documents and settings\Eigenaar.OMA\Application Data\PriceGong\Data\v.xml

c:\documents and settings\Eigenaar.OMA\Application Data\PriceGong\Data\w.xml

c:\documents and settings\Eigenaar.OMA\Application Data\PriceGong\Data\x.xml

c:\documents and settings\Eigenaar.OMA\Application Data\PriceGong\Data\y.xml

c:\documents and settings\Eigenaar.OMA\Application Data\PriceGong\Data\z.xml

c:\windows\system32\AutoRun.inf

Besmet exemplaar van c:\windows\system32\drivers\atapi.sys werd aangetroffen en gedesinfecteerd

Hersteld exemplaar van - Kitty had a snack :P

.

(((((((((((((((((((( Bestanden Gemaakt van 2011-01-23 to 2011-02-23 ))))))))))))))))))))))))))))))

.

2011-02-22 12:58 . 2011-02-22 12:58 -------- d-----w- c:\documents and settings\Eigenaar.OMA\Application Data\AVG9

2011-02-21 08:42 . 2011-02-21 08:42 -------- d-----w- c:\program files\Photo Story 3 for Windows

2011-02-18 09:00 . 2011-02-23 14:24 -------- d--h--r- c:\documents and settings\Eigenaar.OMA\Onlangs geopend

2011-02-01 10:36 . 2011-02-01 10:50 -------- d-----w- c:\documents and settings\Eigenaar.OMA\Local Settings\Application Data\ToggleDU

2011-02-01 10:36 . 2011-02-01 10:36 -------- d-----w- c:\program files\Conduit

2011-02-01 10:35 . 2011-02-01 10:50 -------- d-----w- c:\documents and settings\Eigenaar.OMA\Local Settings\Application Data\ConduitEngine

2011-02-01 10:35 . 2011-02-01 10:53 -------- d-----w- c:\program files\ToggleDU

2011-01-31 11:01 . 2011-01-31 11:01 68928 ----a-w- c:\windows\system32\NLSSRV32.EXE

2011-01-31 09:58 . 2011-01-31 09:58 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\top_media_palayer

2011-01-31 09:28 . 2011-01-31 09:28 -------- d-----w- c:\documents and settings\Eigenaar.OMA\Local Settings\Application Data\LQ Graphics, Inc

2011-01-30 21:26 . 2011-01-30 21:26 -------- d-----w- c:\documents and settings\Eigenaar.OMA\Local Settings\Application Data\Windows Live Writer

2011-01-30 21:26 . 2011-01-30 21:26 -------- d-----w- c:\documents and settings\Eigenaar.OMA\Application Data\Windows Live Writer

2011-01-30 16:31 . 2011-02-18 08:55 -------- d-----w- c:\documents and settings\Eigenaar.OMA\Tracing

2011-01-30 16:10 . 2011-01-30 16:10 -------- d-----w- c:\program files\Microsoft Office Outlook Connector

2011-01-30 16:07 . 2006-11-29 12:06 3426072 ----a-w- c:\windows\system32\d3dx9_32.dll

2011-01-30 16:06 . 2011-01-30 16:10 -------- d-----w- c:\program files\Microsoft

2011-01-30 15:38 . 2011-01-30 15:38 -------- d-----w- c:\program files\Common Files\Windows Live

2011-01-29 14:29 . 2011-02-18 08:45 -------- d-----w- c:\program files\WashAndGo

2011-01-27 11:01 . 2011-01-31 07:45 -------- d-----w- c:\program files\SweetIM

2011-01-27 10:55 . 2007-08-21 12:32 98304 ----a-w- c:\windows\system32\redmonnt.dll

.

((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-02-21 07:11 . 2004-08-03 22:59 96512 ----a-w- c:\windows\system32\drivers\atapi.sys

2011-02-08 13:04 . 2010-06-18 10:45 60152 ----a-w- c:\documents and settings\Eigenaar.OMA\Application Data\mdbu.bin

2011-01-31 10:59 . 2010-10-04 15:30 17728 ----a-w- c:\windows\system32\nitrolocalui.dll

2011-01-31 10:59 . 2010-10-04 15:30 26432 ----a-w- c:\windows\system32\nitrolocalmon.dll

2010-12-02 03:35 . 2010-12-02 03:35 4280320 ----a-w- c:\windows\system32\GPhotos.scr

2006-12-27 14:41 . 2006-12-27 14:41 36808256 -c--a-w- c:\program files\iTunesSetup.exe

2005-12-26 13:32 . 2005-12-26 13:31 9350344 -c--a-w- c:\program files\Install_MSN_Messenger.EXE

2005-04-17 18:22 . 2005-04-17 18:22 4354084 -c--a-w- c:\program files\spybotsd13.exe

2005-04-17 18:02 . 2005-04-17 18:01 2636408 -c--a-w- c:\program files\aawsepersonal.exe

2005-04-17 17:51 . 2005-04-17 17:50 2135885 -c--a-w- c:\program files\washandgo.exe

.

((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]

"{3ad798d0-4642-4c55-bc14-cfe7dd19e0d1}"= "c:\program files\ToggleDU\tbTog0.dll" [2010-12-09 3911776]

[HKEY_CLASSES_ROOT\clsid\{3ad798d0-4642-4c55-bc14-cfe7dd19e0d1}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]

2010-12-09 11:51 3911776 ----a-w- c:\program files\ConduitEngine\ConduitEngin0.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3ad798d0-4642-4c55-bc14-cfe7dd19e0d1}]

2010-12-09 11:51 3911776 ----a-w- c:\program files\ToggleDU\tbTog0.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{3ad798d0-4642-4c55-bc14-cfe7dd19e0d1}"= "c:\program files\ToggleDU\tbTog0.dll" [2010-12-09 3911776]

"{30F9B915-B755-4826-820B-08FBA6BD249D}"= "c:\program files\ConduitEngine\ConduitEngin0.dll" [2010-12-09 3911776]

[HKEY_CLASSES_ROOT\clsid\{3ad798d0-4642-4c55-bc14-cfe7dd19e0d1}]

[HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]

"{3AD798D0-4642-4C55-BC14-CFE7DD19E0D1}"= "c:\program files\ToggleDU\tbTog0.dll" [2010-12-09 3911776]

[HKEY_CLASSES_ROOT\clsid\{3ad798d0-4642-4c55-bc14-cfe7dd19e0d1}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Gadwin PrintScreen"="c:\program files\Gadwin Systems\PrintScreen\PrintScreen.exe" [2008-12-09 495616]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]

SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, mhutncmm.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users.WINDOWS^Menu Start^Programma's^Opstarten^HP Digital Imaging Monitor.lnk]

path=c:\documents and settings\All Users.WINDOWS\Menu Start\Programma's\Opstarten\HP Digital Imaging Monitor.lnk

backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users.WINDOWS^Menu Start^Programma's^Opstarten^Photo Loader supervisory.lnk]

path=c:\documents and settings\All Users.WINDOWS\Menu Start\Programma's\Opstarten\Photo Loader supervisory.lnk

backup=c:\windows\pss\Photo Loader supervisory.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users.WINDOWS^Menu Start^Programma's^Opstarten^Snelstart HP Image Zone.lnk]

backup=c:\windows\pss\Snelstart HP Image Zone.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users.WINDOWS^Menu Start^Programma's^Opstarten^WinZip Quick Pick.lnk]

path=c:\documents and settings\All Users.WINDOWS\Menu Start\Programma's\Opstarten\WinZip Quick Pick.lnk

backup=c:\windows\pss\WinZip Quick Pick.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^Eigenaar.OMA^Menu Start^Programma's^Opstarten^Dropbox.lnk]

path=c:\documents and settings\Eigenaar.OMA\Menu Start\Programma's\Opstarten\Dropbox.lnk

backup=c:\windows\pss\Dropbox.lnkStartup

[HKLM\~\startupfolder\C:^Documents and Settings^Eigenaar.OMA^Menu Start^Programma's^Opstarten^Mediacontrole Picture Motion Browser.lnk]

backup=c:\windows\pss\Mediacontrole Picture Motion Browser.lnkStartup

[HKLM\~\startupfolder\C:^Documents and Settings^Eigenaar.OMA^Menu Start^Programma's^Opstarten^OpenOffice.org 3.2 .lnk]

path=c:\documents and settings\Eigenaar.OMA\Menu Start\Programma's\Opstarten\OpenOffice.org 3.2 .lnk

backup=c:\windows\pss\OpenOffice.org 3.2 .lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]

2010-09-20 21:07 932288 ----a-r- c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG]

2004-06-29 08:06 88363 -c--a-w- c:\windows\AGRSMMSG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]

2008-04-14 17:02 15360 ----a-w- c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Gadwin PrintScreen]

2008-12-09 11:08 495616 ----a-w- c:\program files\Gadwin Systems\PrintScreen\PrintScreen.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\High Definition Audio Property Page Shortcut]

2005-01-07 16:07 61952 ------w- c:\windows\system32\HdAShCut.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]

2007-03-11 20:34 49152 ----a-w- c:\program files\HP\HP Software Update\hpwuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]

2006-03-23 16:06 1398272 -c----w- c:\program files\Ahead\InCD\InCD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSConfig]

2008-04-14 17:03 172032 -c--a-w- c:\windows\pchealth\helpctr\binaries\msconfig.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

2001-07-09 10:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Snelkoppeling naar eigenschappenvenster voor High Definition Audio]

2004-03-17 14:10 61952 ------w- c:\windows\system32\Hdaudpropshortcut.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

2007-12-14 02:42 144784 -c--a-w- c:\program files\Java\jre1.6.0_04\bin\jusched.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"c:\\Program Files\\Zattoo\\zattood.exe"=

"c:\\WINDOWS\\system32\\mmc.exe"=

R2 nlsX86cc;NLS Service;c:\windows\system32\NLSSRV32.EXE [31/01/2011 12:01 68928]

R3 cmudax;C-Media High Definition Audio Interface;c:\windows\system32\drivers\cmudax.sys [16/10/2010 10:04 1272000]

S3 ATMEL FVNETusbASKEY (AR)®;ATMEL FVNETusbASKEY (AR)® Service for SANTIS WLAN USB Adapter;c:\windows\system32\drivers\vnetusbk.sys [20/02/2003 18:15 93184]

S3 ATMEL WinXP PCMCIAFVNETR (2ARC)®;ATMEL WinXP PCMCIAFVNETR (2ARC)® Service for SANTIS WLAN PC Card;c:\windows\system32\drivers\fvnetr51.sys [14/01/2003 12:44 91648]

S3 AVFSFilter;AVFSFilter;c:\windows\system32\DRIVERS\avfsfilter.sys --> c:\windows\system32\DRIVERS\avfsfilter.sys [?]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12

hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

.

.

------- Bijkomende Scan -------

.

uStart Page = hxxp://search.babylon.com/home?AF=15627

uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8

uDefault_Search_URL = hxxp://www.google.com/ie

mStart Page = hxxp://downloads.phpnuke.org/nl/index.php?rvs=google

uSearchAssistant = hxxp://www.google.com/ie

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: &Google Search - c:\program files\Google\GoogleToolbar1.dll/cmsearch.html

IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200

IE: Backward Links - c:\program files\Google\GoogleToolbar1.dll/cmbacklinks.html

IE: Cached Snapshot of Page - c:\program files\Google\GoogleToolbar1.dll/cmcache.html

IE: E&xporteren naar Microsoft Excel - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000

IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html

IE: Similar Pages - c:\program files\Google\GoogleToolbar1.dll/cmsimilar.html

IE: Translate into English - c:\program files\Google\GoogleToolbar1.dll/cmtrans.html

Handler: avgsecuritytoolbar - {F2DDE6B2-9684-4A55-86D4-E255E237B77C} -

.

- - - - ORPHANS VERWIJDERD - - - -

WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)

HKCU-Run-msnmsgr - c:\program files\Windows Live\Messenger\msnmsgr.exe

HKLM-Run-Cmaudio - cmicnfg.cpl

HKLM-RunOnce-AvgRemover - c:\documents and settings\Eigenaar.OMA\Local Settings\Temporary Internet Files\Content.IE5\CZW1TUUQ\avg_remover_stf_x86_2011_1184[1].exe

Notify-avgrsstarter - avgrsstx.dll

MSConfigStartUp-Adobe Reader Speed Launcher - c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe

MSConfigStartUp-AVG9_TRAY - c:\progra~1\AVG\AVG9\avgtray.exe

MSConfigStartUp-Cmaudio - cmicnfg.cpl

MSConfigStartUp-Control Center - c:\program files\ASUS\WLAN Card Utilities\Center.exe

MSConfigStartUp-GrooveMonitor - c:\program files\Microsoft Office\Office12\GrooveMonitor.exe

MSConfigStartUp-nwiz - nwiz.exe

MSConfigStartUp-QuickTime Task - c:\program files\QuickTime\qttask.exe

MSConfigStartUp-RegistryBooster - c:\program files\Uniblue\RegistryBooster\launcher.exe

MSConfigStartUp-Route 66 Sync Helper - c:\program files\ROUTE 66\ROUTE 66 Sync\Bin\Route66SyncHelper.exe

MSConfigStartUp-swg - c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

MSConfigStartUp-YouSendIt - c:\program files\YouSendIt\Express\YouSendIt.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2011-02-23 16:12

Windows 5.1.2600 Service Pack 3 NTFS

scannen van verborgen processen ...

scannen van verborgen autostart items ...

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

msnmsgr = "c:\program files\Windows Live\Messenger\msnmsgr.exe" /background??s

scannen van verborgen bestanden ...

Scan succesvol afgerond

verborgen bestanden: 0

**************************************************************************

.

--------------------- VERGRENDELDE REGISTER SLEUTELS ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•9~*]

"3140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

.

Voltooingstijd: 2011-02-23 16:15:23

ComboFix-quarantined-files.txt 2011-02-23 15:15

Pre-Run: 81.729.474.560 bytes beschikbaar

Post-Run: 85.129.916.416 bytes beschikbaar

WindowsXP-KB310994-SP2-Home-BootDisk-NLD.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

- - End Of File - - 032C9D8DAC678FE78EFB294BFC5A2461

kape Grootmeester

kape

Geplaatst:
Geplaatst:

Je Java software is verouderd.

Oudere versies hebben lekken die malware de kans geeft om zich te installeren op je systeem.

Doe eerst deze stappen om Java te de-installeren en de nieuwere versie te installeren:

Download Java Runtime Environment (JRE) 7u1.

  • Scroll omlaag naar : "Java Platform Standard Edition".

  • Klik op de "Download JRE" knop aan de rechterkant.

  • Vink aan: "Accept License Agreement" onder “Java SE Runtime Environment 7u1”.

  • Klik op de jre-7u1-windows-i586.exe link ONDER Download en bewaar het naar je Bureaublad.
  • Sluit alle programma's die eventueel open zijn - Zeker je webbrowser!
  • Ga dan naar Start > Configuratiescherm > Software of Start > Configuratiescherm > Programma's en onderdelen (bij Vista) en verwijder alle oudere versies van Java uit de Softwarelijst.
  • Vink alles aan met Java Runtime Environment (JRE of J2SE) in de naam.
  • Klik dan op Verwijderen of op de Wijzig/Verwijder knop.
  • Herhaal dit tot alle oudere versies verdwenen zijn.
  • Na het verwijderen van alle oudere versies, herstart je pc.
  • Dubbelklik vervolgens op jre-7u1-windows-i586.exe op je Bureaublad om de nieuwste versie van Java te installeren.

Open een kladblokbestand.

Kopieer en plak daarin de onderstaande vetgedrukte tekst.

Folder::

c:\documents and settings\Eigenaar.OMA\Local Settings\Application Data\ToggleDU

c:\program files\Conduit

c:\documents and settings\Eigenaar.OMA\Local Settings\Application Data\ConduitEngine

c:\program files\ToggleDU

c:\program files\SweetIM

Registry::

[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]

[-HKEY_CLASSES_ROOT\clsid\{3ad798d0-4642-4c55-bc14-cfe7dd19e0d1}]

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3ad798d0-4642-4c55-bc14-cfe7dd19e0d1}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

[-HKEY_CLASSES_ROOT\clsid\{3ad798d0-4642-4c55-bc14-cfe7dd19e0d1}]

[-HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}]

[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]

[-HKEY_CLASSES_ROOT\clsid\{3ad798d0-4642-4c55-bc14-cfe7dd19e0d1}]

Sla dit bestand op je bureaublad op als CFScript.

Sleep CFScript.txt in ComboFix.exe

Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt.

Post na herstart de inhoud van de Combofix.txt in je volgende bericht.

imkeren Enthousiasteling

imkeren

Geplaatst:
  • Auteur
Geplaatst:

Kape,

Bedankt voor jouw snelle analyse.

Ik heb wel enkele vragen :

1. Kan dit in 'Veilige modus'; ik weet namelijk niet zeker of ik onder elk beding in normale modus kan opstarten.

2. Ik begrijp het verband tussen veiligheid en JAVA niet goed; als de OS Firewall en AVG operationeel zijn, en Malware wordt periodisch uitgevoer, wat verandert Java dan aan deze bewaking ?

3. Enkel vragen over uw voorgestelde procedure :

•Ga dan naar Start > Configuratiescherm > Software of Start > Configuratiescherm > Programma's en onderdelen (bij Vista) en verwijder alle oudere versies van Java uit de Softwarelijst.

•Vink alles aan met Java Runtime Environment (JRE of J2SE) in de naam. > Aanvinken, waar ? Bij software onderdelen ?

Open een kladblokbestand. > Kladblok bestand ?

Sleep CFScript.txt in ComboFix.exe > Hoe in Combofix slepen, combofix downloaden ?

Bedankt en groetjes,

Imker

kape Grootmeester

kape

Geplaatst:
Geplaatst:
1. Kan dit in 'Veilige modus'; ik weet namelijk niet zeker of ik onder elk beding in normale modus kan opstarten.
Dat kan, ja ... als je problemen mocht hebben in normale modus.
2. Ik begrijp het verband tussen veiligheid en JAVA niet goed; als de OS Firewall en AVG operationeel zijn, en Malware wordt periodisch uitgevoer, wat verandert Java dan aan deze bewaking ?
Er is geen rechtstreeks verband. Alleen is het zo dat opviel dat je met een verouderde versie van JAVA werkt ... en die JAVA-versie op zich wordt steeds beter beveiligd. Vandaar de suggestie om meteen ook dat probleem mee aan te pakken.
3. Enkel vragen over uw voorgestelde procedure :

•Ga dan naar Start > Configuratiescherm > Software of Start > Configuratiescherm > Programma's en onderdelen (bij Vista) en verwijder alle oudere versies van Java uit de Softwarelijst.

•Vink alles aan met Java Runtime Environment (JRE of J2SE) in de naam. > Aanvinken, waar ? Bij software onderdelen ?

De oude JAVA-versies bij software aanduiden en kiezen voor "verwijderen".
Open een kladblokbestand. > Kladblok bestand ?
Het kladblokbestand heb je nodig om de opdracht van Combofix in op te slaan. De vetgedrukte tekst dus, die je dan opslaat als CFScript.
Sleep CFScript.txt in ComboFix.exe > Hoe in Combofix slepen, combofix downloaden ?
Normaal heb je Combofix al opgeslagen op je bureaublad (al is dat in jouw geval niet zo gebeurd), want je hebt er al mee gescand. Dan heb je dus een snelkoppeling van Combofix (combofix.exe).Dan sleep je het scriptje in die snelkoppeling en start Combofix opnieuw op om de verbeteringen aan te brengen.
imkeren Enthousiasteling

imkeren

Geplaatst:
  • Auteur
Geplaatst:

Beste Kape,

Heb een dubbel probleem ivm vernieuwen Java :

1. Verwijderen Java lukt niet in veilige modus, zal dus moeten wachten tot ik nog eens in normale modus kan herstarten.

2. Combofix.exe : in heb al verschillende malen opnieuw gedownload, maar er verschijnt niks in bureaublad. Moet ik misschien 'opslaan' ipv 'uitvoeren' tijdens de download cyclus ?

Sorry voor dit gedoe maar dit is momenteel het beste wat ik kan bereiken.............begin stilaan aan een herinstallatie van OS te denken !

Mvg

Imker

 Delen
Ga naar topic overzicht
Logo

OVER ONS

PC Helpforum helpt GRATIS computergebruikers sinds juli 2006. Ons team geeft via het forum professioneel antwoord op uw vragen en probeert uw pc problemen zo snel mogelijk op te lossen. Word lid vandaag, plaats je vraag online en het PC Helpforum-team helpt u graag verder!

SITEMAP

×
×
  • Nieuwe aanmaken...

Belangrijke informatie

We hebben cookies geplaatst op je toestel om deze website voor jou beter te kunnen maken. Je kunt de cookie instellingen aanpassen, anders gaan we er van uit dat het goed is om verder te gaan.