Doorzoek het forum
Zoeken met Startpagina
Startpagina Thema's
Auk
Bianca schreef:
> Nou dat mag wel een klein btje minder hoor!!!
Vind je ?
> ik ben ook het net op gegaan
> om online nog een x te scannen
En virussen te verspreiden.
Een Online scan lost het probleem niet op.
Auk
Hoi Bianca,
Ik denk dat het misschien inderdaad beter is om opnieuw te beginnen zoals Lucas zegt, maar heb toch een fix voor je geschreven omdat ik niet verwacht dat je dat direct gaat doen.
Wacht nog maar even met het uitvoeren van de rest van het schoonmaakplan van de rode link, totdat de ergste rommel van je pc af is.
Eerste prioriteit is nu om onderstaande uit te voeren zodat de virussen niet meer actief zijn en een virusscanner te installeren (staat bij stap 5).
Ik denk dat Avast in dit geval een betere keuze is dan AVG, omdat het na installatie eerst een volledige scan doet voordat windows opstart en daarmee al een heleboel kan verwijderen. 
1. Zet in mapopties (start-configuratiescherm-extra-mapopties-weergave) een vinkje bij ‘Verborgen bestanden en mappen weergeven’ en haal het vinkje weg bij ‘Extensies voor bekende bestandstypen verbergen’. Omdat je deze fix in veilige modus gaat uitvoeren, raad ik je aan dit even uit te printen of op te slaan in een tekstdocumentje.
2. Start de pc opnieuw op in veilige modus (tijdens het opstarten getapt op F8 klikken of volgens een van deze methodes: http://www.virushelp.nl/veilige_modus.htm )
3. Start alleen Hijack This en vink onderstaande regels aan:
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = www.esearch2005.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = www.esearch2005.com/sp2.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.startpagina.nl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = www.esearch2005.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/eMakeSV/Portal/portal.html
R3 - URLSearchHook: (no name) - _{1FFED2CB-FC98-49f8-B3D0-678D03350F1E} - (no file)
R3 - URLSearchHook: (no name) - _{02EE5B04-F144-47BB-83FB-A60BD91B74A9} - (no file)
O2 - BHO: Internet Explorer Web Content Catcher - {FFF4E223-7019-4ce7-BE03-D7D3C8CCE884} - C:\Program Files\DNS\Catcher.dll
O4 - HKLM\..\Run: C:\WINDOWS\aqadcup.exe
O4 - HKLM\..\Run: C:\WINDOWS\jawa32.exe
O4 - HKLM\..\Run: C:\WINDOWS\gvql.exe
O4 - HKLM\..\Run: C:\WINDOWS\isrvs\desktop.exe
O4 - HKLM\..\Run: C:\WINDOWS\isrvs\ffisearch.exe
O4 - HKLM\..\Run: tclt32.exe
O4 - HKLM\..\Run: C:\WINDOWS\System32\PSof1.exe
O4 - HKLM\..\Run: C:\WINDOWS\System32\mmxp2passion.exe
O4 - HKLM\..\Run: C:\WINDOWS\exe82.exe
O4 - HKLM\..\Run: C:\WINDOWS\etb\pokapoka70.exe
O4 - HKLM\..\Run: C:\WINDOWS\System32\cashplusmedia1.exe.exe
O4 - HKLM\..\Run: C:\WINDOWS\System32\medgs1.exe
O4 - HKLM\..\Run: C:\WINDOWS\system32\ssdkls.exe reg_run
O4 - HKLM\..\Run: C:\WINDOWS\System32\tgfrom\wramqe.exe
O4 - HKLM\..\RunServices: tclt32.exe
O4 - HKCU\..\Run: tclt32.exe
O4 - HKCU\..\Run: C:\Program Files\Common Files\Windows\mc-58-12-0000119.exe
O4 - HKCU\..\Run: C:\Program Files\Common Files\mc-58-12-0000119.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Shorten URL - www.cjb.net/menuext.html
O9 - Extra button: (no name) - {9E248641-0E24-4DDB-9A1F-705087832AD6} - (no file)
O9 - Extra ‘Tools’ menuitem: Java - {9E248641-0E24-4DDB-9A1F-705087832AD6} - (no file)
O15 - Trusted Zone: *.musicmatch.com
O15 - Trusted Zone: *.musicmatch.com (HKLM)
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - static.zangocash.com/cab/180solutions/ie/bridge-c18.cab
O20 - Winlogon Notify: RunOnce - C:\WINDOWS\system32\hr2u05f9e.dll (file missing)
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\YmlhbmNh\command.exe (file missing)
Sluit alle andere vensters en klik op “fix checked” en “ok”.
4. Verwijder onderstaande mappen:
in C:/Program Files
eMakeSV
DNS
In C:\Program Files\Common Files
Windows
In C:\WINDOWS
isrvs
YmlhbmNh
In C:\WINDOWS\System32
tgfrom
Verwijder onderstaande bestanden:
In C:\WINDOWS
aqadcup.exe
jawa32.exe
gvql.exe
exe82.exe
In C:\WINDOWS\System32
PSof1.exe
mmxp2passion.exe
tclt32.exe
cashplusmedia1.exe.exe
medgs1.exe
ssdkls.exe
In C:\Program Files\Common Files
mc-58-12-0000119.exe
5. Herstart daarna en installeer Avast!: Wat planet zei is onzin, dus installeer eerst een virusscanner: http://files.avast.com/iavs4pro/setupdut.exe
6. Herstart na de installatie zodat het je systeem kan scannen.
Plaats daarna nog eens een nieuw logje van Hijack This.
Susanne.
Dit is wat beter leesbaar. 
1. Zet in mapopties (start-configuratiescherm-extra-mapopties-weergave) een vinkje bij ‘Verborgen bestanden en mappen weergeven’ en haal het vinkje weg bij ‘Extensies voor bekende bestandstypen verbergen’. Omdat je deze fix in veilige modus gaat uitvoeren, raad ik je aan dit even uit te printen of op te slaan in een tekstdocumentje.
2. Start de pc opnieuw op in veilige modus (tijdens het opstarten getapt op F8 klikken of volgens een van deze methodes: http://www.virushelp.nl/veilige_modus.htm )
3. Start alleen Hijack This en vink onderstaande regels aan:
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = www.esearch2005.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = www.esearch2005.com/sp2.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.startpagina.nl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = www.esearch2005.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Program%20Files/eMakeSV/Portal/portal.html
R3 - URLSearchHook: (no name) - _{1FFED2CB-FC98-49f8-B3D0-678D03350F1E} - (no file)
R3 - URLSearchHook: (no name) - _{02EE5B04-F144-47BB-83FB-A60BD91B74A9} - (no file)
O2 - BHO: Internet Explorer Web Content Catcher - {FFF4E223-7019-4ce7-BE03-D7D3C8CCE884} - C:\Program Files\DNS\Catcher.dll
O4 - HKLM\..\Run: C:\WINDOWS\aqadcup.exe
O4 - HKLM\..\Run: C:\WINDOWS\jawa32.exe
O4 - HKLM\..\Run: C:\WINDOWS\gvql.exe
O4 - HKLM\..\Run: C:\WINDOWS\isrvs\desktop.exe
O4 - HKLM\..\Run: C:\WINDOWS\isrvs\ffisearch.exe
O4 - HKLM\..\Run: tclt32.exe
O4 - HKLM\..\Run: C:\WINDOWS\System32\PSof1.exe
O4 - HKLM\..\Run: C:\WINDOWS\System32\mmxp2passion.exe
O4 - HKLM\..\Run: C:\WINDOWS\exe82.exe
O4 - HKLM\..\Run: C:\WINDOWS\etb\pokapoka70.exe
O4 - HKLM\..\Run: C:\WINDOWS\System32\cashplusmedia1.exe.exe
O4 - HKLM\..\Run: C:\WINDOWS\System32\medgs1.exe
O4 - HKLM\..\Run: C:\WINDOWS\system32\ssdkls.exe reg_run
O4 - HKLM\..\Run: C:\WINDOWS\System32\tgfrom\wramqe.exe
O4 - HKLM\..\RunServices: tclt32.exe
O4 - HKCU\..\Run: tclt32.exe
O4 - HKCU\..\Run: C:\Program Files\Common Files\Windows\mc-58-12-0000119.exe
O4 - HKCU\..\Run: C:\Program Files\Common Files\mc-58-12-0000119.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Shorten URL - www.cjb.net/menuext.html
O9 - Extra button: (no name) - {9E248641-0E24-4DDB-9A1F-705087832AD6} - (no file)
O9 - Extra ‘Tools’ menuitem: Java - {9E248641-0E24-4DDB-9A1F-705087832AD6} - (no file)
O15 - Trusted Zone: *.musicmatch.com
O15 - Trusted Zone: *.musicmatch.com (HKLM)
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - static.zangocash.com/cab/180solutions/ie/bridge-c18.cab
O20 - Winlogon Notify: RunOnce - C:\WINDOWS\system32\hr2u05f9e.dll (file missing)
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\YmlhbmNh\command.exe (file missing)
Sluit alle andere vensters en klik op “fix checked” en “ok”.
4. Verwijder onderstaande mappen:
in C:/Program Files
eMakeSV
DNS
In C:\Program Files\Common Files
Windows
In C:\WINDOWS
isrvs
YmlhbmNh
In C:\WINDOWS\System32
tgfrom
Verwijder onderstaande bestanden:
In C:\WINDOWS
aqadcup.exe
jawa32.exe
gvql.exe
exe82.exe
In C:\WINDOWS\System32
PSof1.exe
mmxp2passion.exe
tclt32.exe
cashplusmedia1.exe.exe
medgs1.exe
ssdkls.exe
In C:\Program Files\Common Files
mc-58-12-0000119.exe
5. Herstart daarna en installeer Avast!: Wat planet zei is onzin, dus installeer eerst een virusscanner: http://files.avast.com/iavs4pro/setupdut.exe
6. Herstart na de installatie zodat het je systeem kan scannen.
Plaats daarna nog eens een nieuw logje van Hijack This.
Susanne.
Auk schreef:
>
> Auk schreef:
>
> > Waar is je virusscanner ?
>
> Grote kans dat-ie het zometeen weer niet meer doet - omdat je
> provider je hebt afgesloten.
Dat zou best wel schandalig zijn aangezien ze zelf aanraden om je virusscanner te verwijderen. 
Toen ze mijn mail urenlang achterhielden op een andere server en ik daar eens naar vroeg, kreeg ik het advies om mijn firewall uit te zetten.
Ik geloof Bianca dus direct dat ze haar deze onzin hebben verteld.
Suus.
pavlov schreef:
>
> Auk schreef:
> >
> > Auk schreef:
> >
> > > Waar is je virusscanner ?
> >
> > Grote kans dat-ie het zometeen weer niet meer doet - omdat je
> > provider je hebt afgesloten.
> Dat zou best wel schandalig zijn aangezien ze zelf aanraden
> om je virusscanner te verwijderen.
Belachelijk, inderdaad.
> Toen ze mijn mail urenlang achterhielden op een andere server
> en ik daar eens naar vroeg, kreeg ik het advies om mijn
> firewall uit te zetten.
Knoeiers…
> Ik geloof Bianca dus direct dat ze haar deze onzin hebben
> verteld.
Ik geloof dat ook direkt - maar zei ik dan da'k dat niet geloofde ?
Auk
@Susanne:
Dank je wel voor je hulp,hier heb ik iets aan!
Ik kan hier meer mee dan met opmerkingen dat ik asociaal ben,ik heb dit tenslotte niet bewust gedaan.
Auk zegt dat 1 virus er al vanaf januari op zit,ik begrijp niet dat er niet 1 online scanner dit dan een keer is tegengekomen.In de periode dat ik geen avproggie had scande ik nl. om de dag online bij verschillende scanners en ik heb nooit een melding gehad.
Ik heb inmiddels online gescand(weer)bij trendmicro en die vond 14 geinfecteerde bestanden,als het goed is zijn die nu verwijdert,maar ik was overtuigd dat AVG afgelopen woensdag alles al verwijdert had.
Ik ga strax met je Fix aan de slag en zo gauw ik alles op orde heb plaats ik weer een log.
Nogmaals heel erg bedankt voor je hulp!
Greetz Bianca
Bianca schreef:
> Auk zegt dat 1 virus er al vanaf januari op zit
Nee, da's een misverstand. Dat wat ik in je log zie, heeft mogelijk te maken met een virus dat al in januari 2001 bekend was.
Nogmaals : een online-scanner lost dit probleem niet op.
Je zult echt een echte, real-time scanner moeten installeren.
Auk
@Susanne:
Ik heb alle stappen uit je Fix opgevolgd,een aantal mappen/bestanden kon ik nergens vinden(misschien al verwijdert door de onlinescanner van Trendmicro?)
Toen ik Avast een opstartscan liet doen kreeg ik de melding: C:\WINDOWS\system32\one2.dll is besmet door Win32:Adware-gen.
Er stonden verschillende opties onder,van verwijderen en herstellen tot afsluiten,maar mn comp liep hierop vast.
Ik heb een nieuw logje voor je gemaakt en zou blij zijn als je er nog even naar zou willen kijken voor me.
Dank je wel,Bianca
Logfile of HijackThis v1.99.1
Scan saved at 14:49:36, on 10-10-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
D:\fotoprogramma's\ScsiAccess.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Musicmatch\Musicmatch Jukebox\MMDiag.exe
C:\Program Files\FinePixViewer\QuickDCF.exe
C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mim.exe
C:\WINDOWS\system32\wuauclt.exe
C:\My Downloads\hijackthis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R3 - URLSearchHook: (no name) - - (no file)
O4 - HKLM\..\Run: C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: “C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe” /icon
O4 - HKLM\..\Run: C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: rundll32.exe “C:\WINDOWS\Downloaded Program Files\bridge.dll”,Load
O4 - HKLM\..\Run: C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: “C:\Program Files\Messenger Plus! 3\MsgPlus.exe”
O4 - HKLM\..\Run: C:\Program Files\Musicmatch\Musicmatch Jukebox\mimboot.exe
O4 - HKLM\..\Run: “C:\Program Files\Microsoft IntelliPoint\point32.exe”
O4 - HKLM\..\Run: C:\Program Files\InfoKing\InfoPenMSN\Pro\InfoPenIM.exe
O4 - HKLM\..\Run: C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe
O4 - HKLM\..\Run: C:\Program Files\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: “C:\WINDOWS\System32\sav2.exe” /PC=CP.SAV2
O4 - HKLM\..\Run: C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: “C:\Program Files\Messenger\msmsgs.exe” /background
O4 - HKCU\..\Run: “C:\Program Files\Messenger Plus! 3\MsgPlus.exe” /WinStart
O4 - HKCU\..\Run: C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Exif Launcher.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://activex.webcam.nl/AxisCamControl.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game03.zylom.com/activex/zylomgamesplayer.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\YmlhbmNh\command.exe (file missing)
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
O23 - Service: ScsiAccess - Unknown owner - D:\fotoprogramma's\ScsiAccess.exe
Ik heb gedaan wat me door mensen, waarvan ik dacht dat ze er verstand van hadden, werd verteld(mag toch hopen dat medewerkers van een HELPDESK verstand van zaken hebben).Dan vind ik het niet terecht dat ik als asociaal bestempeld wordt.Jullie denken toch zeker niet dat ik dit voor mn plezier doe,kan me wel leukere dingen voorstellen.
Degenen die asociaal zijn, zijn de dwazen die deze virussen in elkaar zetten en op het www donderen.
