antivirus.startpagina.nl

aantal verdachte processen

  • Anonymous avatar

    Wouter Sijm

    Gisteren kreeg ik ineens een virusmelding (weet ff niet meer welk virus het was). Virus weggegooid, en meteen even bij mijn processen gekeken. Ik zag hier een aantal tussen zitten die ik niet echt vertrouw, deze:

    msve32.exe

    apisw32.exe

    wdfmgr.exe

    nvsvc32.exe

    wuauclt.exe (tevens heb ik ook een wuauclt1.exe in mijn system32 map, maar deze is niet actief als proces)

    Hier het hijackthis log:

    Logfile of HijackThis v1.99.1

    Scan saved at 10:35:49, on 6-11-2005

    Platform: Windows XP SP2 (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\spoolsv.exe

    C:\WINDOWS\Explorer.EXE

    C:\WINDOWS\SOUNDMAN.EXE

    C:\Program Files\AVPersonal\AVGNT.EXE

    C:\Program Files\ASUS\Probe\AsusProb.exe

    C:\Program Files\IR\IRAssistant\IRAssistant.exe

    C:\Program Files\IR\WinLirc\winlirc.exe

    C:\WINDOWS\system32\RUNDLL32.EXE

    C:\WINDOWS\system32\ctfmon.exe

    C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE

    C:\Program Files\AVPersonal\AVWUPSRV.EXE

    C:\Program Files\Alias\Maya6.5\docs\wrapper.exe

    C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

    C:\Program Files\Alias\Maya6.5\docs\jre\bin\java.exe

    C:\WINDOWS\system32\msve32.exe

    C:\WINDOWS\system32\wuauclt.exe

    C:\Program Files\Avant Browser\AVANT.EXE

    C:\Documents and Settings\Wouter Sijm\Bureaublad\hijackthis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen

    R3 - Default URLSearchHook is missing

    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

    O2 - BHO: Class - {45933AF5-2854-44A7-0F1E-B3DD50ACFD0C} - C:\WINDOWS\system32\ipkl.dll

    O4 - HKLM\..\Run: SOUNDMAN.EXE

    O4 - HKLM\..\Run: C:\WINDOWS\system32\NVRTCLK\NVRTClk.exe

    O4 - HKLM\..\Run: “C:\Program Files\AVPersonal\AVGNT.EXE” /min

    O4 - HKLM\..\Run: C:\Program Files\ASUS\Probe\AsusProb.exe

    O4 - HKLM\..\Run: RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

    O4 - HKLM\..\Run: nwiz.exe /install

    O4 - HKLM\..\Run: C:\Program Files\IR\IRAssistant\IRAssistant.exe -noSplash

    O4 - HKLM\..\Run: C:\Program Files\IR\WinLirc\winlirc.exe

    O4 - HKLM\..\Run: RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

    O4 - HKLM\..\Run: C:\WINDOWS\system32\sdkwr32.exe

    O4 - HKLM\..\Run: C:\WINDOWS\system32\apisw32.exe

    O4 - HKCU\..\Run: C:\WINDOWS\system32\ctfmon.exe

    O8 - Extra context menu item: Alle links in deze pagina openen… - C:\Program Files\Avant Browser\OpenAllLinks.htm

    O8 - Extra context menu item: Blokkeer alle plaatjes afkomstig van dezelfde server - C:\Program Files\Avant Browser\AddAllToADBlackList.htm

    O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

    O8 - Extra context menu item: Markeren - C:\Program Files\Avant Browser\Highlight.htm

    O8 - Extra context menu item: Open In Nieuwe Avant Browser - C:\Program Files\Avant Browser\OpenInNewBrowser.htm

    O8 - Extra context menu item: Toevoegen aan Reclame Black List - C:\Program Files\Avant Browser\AddToADBlackList.htm

    O8 - Extra context menu item: Zoeken - C:\Program Files\Avant Browser\Search.htm

    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

    O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

    O9 - Extra button: RealGuide - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll

    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

    O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

    O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab

    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

    O23 - Service: Network Security Service (NSS) ( 11Fÿä#·ºÿÿ`I) - Unknown owner - C:\WINDOWS\system32\msve32.exe

    O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE

    O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

    O23 - Service: Maya 6.5 Documentation Server (maya65docserver) - Unknown owner - C:\Program Files\Alias\Maya6.5\docs\wrapper.exe“ -s ”C:\Program Files\Alias\Maya6.5\docs\Wrapper.conf (file missing)

    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

    O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe

    O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

    Alvast bedankt!

  • Anonymous avatar

    lucas

    Moment ik kijk even voor je ;)

    Lucas

  • Anonymous avatar

    lucas

    Hoi Wouter,

    Excuses dat je zolang moets wachten.

    Wacht op goedkeuring van een ervaren loglezer alvorens deze fix uit te voeren ;)

    Ik ben er nl niet zeker van dat dit de oplossing is misschien hebben we about buster wel nodig :? Ik weet dit echter niet zeker.

    Ik twijfel aan deze is het een Troj/Dloader-JY??

    O2 - BHO: Class - {45933AF5-2854-44A7-0F1E-B3DD50ACFD0C} - C:\WINDOWS\system32\ipkl.dll

    http://www.sophos.com/virusinfo/analyses/trojdloaderjy.html

    Ken je deze ook??

    O4 - HKLM\..\Run: C:\Program Files\IR\IRAssistant\IRAssistant.exe -noSplash

    O4 - HKLM\..\Run: C:\WINDOWS\system32\sdkwr32.exe

    Misschien dat een ervaren loglezer hier meer over kan zeggen ;)

    1. Zet in configuratiescherm-mapoptie's eerst een vinkje bij “verborgen bestanden en mappen weergeven” en haal het vinkje weg bij “extensie's voor bekende bestandstypen verbergen”,klik op toepassen en ok

    De rest van de fix is in veilige modus,dus dan kan je hier niet meer spieken,ik raad je aan om dit even uit te printen of op te slaan in een kladblok bestandje

    2. Start op veilige modus

    3. Start alléén hijack,vink alleen de onderstaande regels aan en klik op “fix checked”

    R3 - Default URLSearchHook is missing

    O4 - HKLM\..\Run: C:\WINDOWS\system32\apisw32.exe

    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

    O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

    O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\msve32.exe

    O23 - Service: Maya 6.5 Documentation Server (maya65docserver) - Unknown owner - C:\Program Files\Alias\Maya6.5\docs\wrapper.exe“ -s ”C:\Program Files\Alias\Maya6.5\docs\Wrapper.conf (file missing)

    5. Verwijder de volgende ( eventueel nog aanwezige ) bestanden

    C:\WINDOWS\system32\msve32.exe <===== alleen dit bestand!!

    C:\WINDOWS\system32\apisw32.exe <===== alleen dit bestand!!

    6. Leeg (N.B. leegmaken, dus niet verwijderen) onderstaande mappen voor elke gebruiker:

    C:\Documents and Settings\\Local Settings\Temp <=== deze map!

    C:\Documents and Settings\\Local Settings\Temporary Internet Files <=== deze map!

    C:\Documents and Settings\\Local Settings\Temporary Internet Files\content.ie5 <= als deze map niet wordt weergegeven, ga dan naar de map temporary internet files en type er \content.ie5 achter in de adresbalk en klik enter.

    C:\Windows\Temp <=== deze map!

    7. Doe de volgende online scans.

    www.pandasoftware.com/products/activescan/com/activescan_principal.htm

    www.kaspersky.com/virusscanner

    Bewaar de logjes die scanners maken en plaats die samen met een nieuw hijack logje even hier.

    Lucas :)

  • Anonymous avatar

    pablo

    hoi lucas,

    ik denk inderdaad dat je about:buster moet gebruiken ;)

    het is een homesearch infectie:

    O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\msve32.exe

    dat de bestanden als trojan downloader worden herkend klopt ;)

    ewido vind trouwens de meeste bestanden van deze infectie ook,die dus ook laten installeren en updaten,dan een volledige systeemscan laten doen in veilge modus ;)

    paul :)

  • Anonymous avatar

    Wouter Sijm

    Okee, bedankt! Ik heb iig al onder veilige modus alles weggegooid wat in de vorige reply stond (stom dat ik er zelf nooit aan gedacht had om het in veilige modus te doen) en daarvoor al enkele dingen waarvan ik zeker wist dat ze weg konden via HijackThis gedelete. Nu draait alleen wdfmgr nog mee. In veilige modus heb ik dit bestand vervangen door hetzelfde bestand van een andere (niet-geinfecteerde) pc. Het lijkt erop dat hij het nu weer doet! Ik krijg geen virusmeldingen meer van mijn virusscanner, en windows geeft niet meer aan dat iemand gegevens van me probeert te stelen.

    Bedankt voor het snelle antwoorden

    Wouter

  • Anonymous avatar

    pablo

    hoi wouter,

    installeer de trial versie van ewido:

    http://www.ewido.net/en/download/

    update hem en doe een volledige scan in veilige modus,bewaar het logje en plaats dat even hier samen met een nieuw hijack logje :)

    paul :)

  • Anonymous avatar

    Wouter Sijm

    Was vergeten om de scan van ewido in veilige modus te doen, dus in totaal 3 logs. Eerste is ewido in niet-veilige modus, 2e us ewido nogmaals laten scanneen in beveiligde modus en de 3e is de nieuwe hijack this log.

    ———————————————————

    ewido security suite - Scan rapport

    ———————————————————

    + Gemaakt op: 19:42:12, 6-11-2005

    + Rapport samenvatting: 7A9AF4D7

    + Scan resultaten:

    HKLM\SOFTWARE\Classes\CLSID\{676575DD-4D46-911D-8037-9B10D6EE8BB5} -> Spyware.CoolWebSearch : Schoongemaakt met een backup

    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SE -> Spyware.CoolWebSearch : Schoongemaakt met een backup

    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SW -> Spyware.CoolWebSearch : Schoongemaakt met een backup

    C:\Documents and Settings\Wouter Sijm\Cookies\wouter sijm@112.2o7.txt -> Spyware.Cookie.2o7 : Schoongemaakt met een backup

    C:\Documents and Settings\Wouter Sijm\Cookies\wouter sijm@ad.yieldmanager.txt -> Spyware.Cookie.Yieldmanager : Schoongemaakt met een backup

    C:\Documents and Settings\Wouter Sijm\Cookies\wouter sijm@adtech.txt -> Spyware.Cookie.Adtech : Schoongemaakt met een backup

    C:\Documents and Settings\Wouter Sijm\Cookies\wouter sijm@burstnet.txt -> Spyware.Cookie.Burstnet : Schoongemaakt met een backup

    C:\Documents and Settings\Wouter Sijm\Cookies\wouter sijm@com.txt -> Spyware.Cookie.Com : Schoongemaakt met een backup

    C:\Documents and Settings\Wouter Sijm\Cookies\wouter sijm@doubleclick.txt -> Spyware.Cookie.Doubleclick : Schoongemaakt met een backup

    C:\Documents and Settings\Wouter Sijm\Cookies\wouter sijm@hg1.hitbox.txt -> Spyware.Cookie.Hitbox : Schoongemaakt met een backup

    C:\Documents and Settings\Wouter Sijm\Cookies\wouter sijm@hitbox.txt -> Spyware.Cookie.Hitbox : Schoongemaakt met een backup

    C:\Documents and Settings\Wouter Sijm\Cookies\wouter sijm@ivwbox.txt -> Spyware.Cookie.Ivwbox : Schoongemaakt met een backup

    C:\Documents and Settings\Wouter Sijm\Cookies\wouter sijm@stat.onestat.txt -> Spyware.Cookie.Onestat : Schoongemaakt met een backup

    C:\Documents and Settings\Wouter Sijm\Cookies\wouter sijm@talkcity.realtracker.txt -> Spyware.Cookie.Realtracker : Schoongemaakt met een backup

    C:\WINDOWS\d3ym.exe -> Trojan.Agent.bi : Schoongemaakt met een backup

    C:\WINDOWS\FA123.INI:wjsuq -> TrojanDownloader.Agent.td : Schoongemaakt met een backup

    C:\WINDOWS\ieab32.exe -> Trojan.Agent.bi : Schoongemaakt met een backup

    C:\WINDOWS\iete.exe -> Trojan.Agent.bi : Schoongemaakt met een backup

    C:\WINDOWS\iis6.log:rxkwrj -> Trojan.Agent.bi : Schoongemaakt met een backup

    C:\WINDOWS\mfclv.exe -> Trojan.Agent.bi : Schoongemaakt met een backup

    C:\WINDOWS\system32\apilb.exe -> Trojan.Agent.bi : Schoongemaakt met een backup

    C:\WINDOWS\_default.pif:nvlcvr -> TrojanDownloader.Agent.td : Schoongemaakt met een backup

    C:\WINDOWS\_default.pif:uuawbg -> Trojan.Agent.bi : Schoongemaakt met een backup

    C:\WINDOWS\_default.pif:wmrdsw -> Trojan.Agent.bi : Schoongemaakt met een backup

    E:\Electronic\Goa\GOASTUFF\Virtual Drugs\Puddle.exe -> Trojan.Happyday : Schoongemaakt met een backup

    ::Einde rapport

    ———————————————————

    ewido security suite - Scan rapport

    ———————————————————

    + Gemaakt op: 20:09:53, 6-11-2005

    + Rapport samenvatting: CC5E345B

    + Scan resultaten:

    C:\Documents and Settings\Wouter Sijm\Cookies\wouter sijm@atdmt.txt -> Spyware.Cookie.Atdmt : Schoongemaakt met een backup

    C:\Documents and Settings\Wouter Sijm\Cookies\wouter sijm@estat.txt -> Spyware.Cookie.Estat : Schoongemaakt met een backup

    C:\Documents and Settings\Wouter Sijm\Cookies\wouter sijm@mediaplex.txt -> Spyware.Cookie.Mediaplex : Schoongemaakt met een backup

    C:\Documents and Settings\Wouter Sijm\Cookies\wouter sijm@statcounter.txt -> Spyware.Cookie.Statcounter : Schoongemaakt met een backup

    C:\Documents and Settings\Wouter Sijm\Cookies\wouter sijm@statse.webtrendslive.txt -> Spyware.Cookie.Webtrendslive : Schoongemaakt met een backup

    ::Einde rapport

    Logfile of HijackThis v1.99.1

    Scan saved at 20:47:59, on 6-11-2005

    Platform: Windows XP SP2 (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\spoolsv.exe

    C:\WINDOWS\Explorer.EXE

    C:\WINDOWS\SOUNDMAN.EXE

    C:\Program Files\AVPersonal\AVGNT.EXE

    C:\Program Files\ASUS\Probe\AsusProb.exe

    C:\Program Files\IR\IRAssistant\IRAssistant.exe

    C:\Program Files\IR\WinLirc\winlirc.exe

    C:\WINDOWS\system32\RUNDLL32.EXE

    C:\WINDOWS\system32\ctfmon.exe

    C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE

    C:\Program Files\AVPersonal\AVWUPSRV.EXE

    C:\Program Files\ewido\security suite\ewidoctrl.exe

    C:\Program Files\Alias\Maya6.5\docs\wrapper.exe

    C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

    C:\Program Files\Winamp\winamp.exe

    C:\Program Files\Alias\Maya6.5\docs\jre\bin\java.exe

    C:\WINDOWS\system32\ntvdm.exe

    C:\Program Files\Avant Browser\AVANT.EXE

    C:\Program Files\Outlook Express\msimn.exe

    C:\Documents and Settings\Wouter Sijm\Bureaublad\hijackthis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.circuitsonline.net

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen

    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

    O2 - BHO: Class - {45933AF5-2854-44A7-0F1E-B3DD50ACFD0C} - (no file)

    O4 - HKLM\..\Run: SOUNDMAN.EXE

    O4 - HKLM\..\Run: C:\WINDOWS\system32\NVRTCLK\NVRTClk.exe

    O4 - HKLM\..\Run: “C:\Program Files\AVPersonal\AVGNT.EXE” /min

    O4 - HKLM\..\Run: C:\Program Files\ASUS\Probe\AsusProb.exe

    O4 - HKLM\..\Run: RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

    O4 - HKLM\..\Run: nwiz.exe /install

    O4 - HKLM\..\Run: C:\Program Files\IR\IRAssistant\IRAssistant.exe -noSplash

    O4 - HKLM\..\Run: C:\Program Files\IR\WinLirc\winlirc.exe

    O4 - HKLM\..\Run: RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

    O4 - HKCU\..\Run: C:\WINDOWS\system32\ctfmon.exe

    O8 - Extra context menu item: Alle links in deze pagina openen… - C:\Program Files\Avant Browser\OpenAllLinks.htm

    O8 - Extra context menu item: Blokkeer alle plaatjes afkomstig van dezelfde server - C:\Program Files\Avant Browser\AddAllToADBlackList.htm

    O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

    O8 - Extra context menu item: Markeren - C:\Program Files\Avant Browser\Highlight.htm

    O8 - Extra context menu item: Open In Nieuwe Avant Browser - C:\Program Files\Avant Browser\OpenInNewBrowser.htm

    O8 - Extra context menu item: Toevoegen aan Reclame Black List - C:\Program Files\Avant Browser\AddToADBlackList.htm

    O8 - Extra context menu item: Zoeken - C:\Program Files\Avant Browser\Search.htm

    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

    O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

    O9 - Extra button: RealGuide - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll

    O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab

    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

    O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - - (no file)

    O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE

    O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

    O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe

    O23 - Service: Maya 6.5 Documentation Server (maya65docserver) - Unknown owner - C:\Program Files\Alias\Maya6.5\docs\wrapper.exe“ -s ”C:\Program Files\Alias\Maya6.5\docs\Wrapper.conf (file missing)

    O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS\system32\nvsvc32.exe (file missing)

    O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe

    O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

    IRAssistant en wrapper heb ik er trouwens zelf opgezet en zijn gewoon veilig :)

  • Anonymous avatar

    pablo

    hoi wouter,

    tot nu toe goed gelukt ;)

    alleen die service moeten we nog even kwijt ;)

    open kladblok.

    kopieer de onderstaande vetgedrukte tekst en plak dit in een nieuw kladblokvenster.

    sla het op je bureaublad op als “service.bat” ( inclusief de aanhalingstekens ).

    sc stop 11Fßä#·ºÄÖ`I

    sc delete 11Fßä#·ºÄÖ`I

    del service.bat

    zoek naar service.bat op je bureaublad en dubbelklik erop.

    herstart je pc en plaats een nieuw logje :)

    van je video driver mist volgens mij wel een bestand:

    O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS\system32\nvsvc32.exe (file missing)

    ik mis het proces namelijk ook bij taakbeheer ;)

    paul :)

  • Anonymous avatar

    Wouter Sijm

    Helaas wil de service maar niet weggaan. Eerst het batch bestand in gewone modus gedraait, ge reboot, en zag dat ie er nog stond. Toen in veilige modus en weer gereboot, maar helaas stond ie er nog steeds… Dat bestand van de videodriver heb ik via de cd weer terug gezet. Er staat nu niet meer “missing file” in het log, maar wel “unknown owner”. Kan dit kwaad? Het proces staat nog steeds niet bij apparaatbeheer… Ik zal anders een de drivers ff helemaal opnieuw installeren. Hieronder het niewe log:

    Logfile of HijackThis v1.99.1

    Scan saved at 22:06:19, on 6-11-2005

    Platform: Windows XP SP2 (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\spoolsv.exe

    C:\WINDOWS\Explorer.EXE

    C:\WINDOWS\SOUNDMAN.EXE

    C:\Program Files\AVPersonal\AVGNT.EXE

    C:\Program Files\ASUS\Probe\AsusProb.exe

    C:\Program Files\IR\IRAssistant\IRAssistant.exe

    C:\Program Files\IR\WinLirc\winlirc.exe

    C:\WINDOWS\system32\RUNDLL32.EXE

    C:\WINDOWS\system32\ctfmon.exe

    C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE

    C:\Program Files\AVPersonal\AVWUPSRV.EXE

    C:\Program Files\ewido\security suite\ewidoctrl.exe

    C:\Program Files\Alias\Maya6.5\docs\wrapper.exe

    C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

    C:\Program Files\Alias\Maya6.5\docs\jre\bin\java.exe

    C:\Documents and Settings\Wouter Sijm\Bureaublad\hijackthis.exe

    C:\Program Files\Outlook Express\msimn.exe

    C:\Program Files\Avant Browser\AVANT.EXE

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.circuitsonline.net

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen

    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

    O2 - BHO: Class - {45933AF5-2854-44A7-0F1E-B3DD50ACFD0C} - (no file)

    O4 - HKLM\..\Run: SOUNDMAN.EXE

    O4 - HKLM\..\Run: C:\WINDOWS\system32\NVRTCLK\NVRTClk.exe

    O4 - HKLM\..\Run: “C:\Program Files\AVPersonal\AVGNT.EXE” /min

    O4 - HKLM\..\Run: C:\Program Files\ASUS\Probe\AsusProb.exe

    O4 - HKLM\..\Run: RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

    O4 - HKLM\..\Run: nwiz.exe /install

    O4 - HKLM\..\Run: C:\Program Files\IR\IRAssistant\IRAssistant.exe -noSplash

    O4 - HKLM\..\Run: C:\Program Files\IR\WinLirc\winlirc.exe

    O4 - HKLM\..\Run: RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

    O4 - HKCU\..\Run: C:\WINDOWS\system32\ctfmon.exe

    O8 - Extra context menu item: Alle links in deze pagina openen… - C:\Program Files\Avant Browser\OpenAllLinks.htm

    O8 - Extra context menu item: Blokkeer alle plaatjes afkomstig van dezelfde server - C:\Program Files\Avant Browser\AddAllToADBlackList.htm

    O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

    O8 - Extra context menu item: Markeren - C:\Program Files\Avant Browser\Highlight.htm

    O8 - Extra context menu item: Open In Nieuwe Avant Browser - C:\Program Files\Avant Browser\OpenInNewBrowser.htm

    O8 - Extra context menu item: Toevoegen aan Reclame Black List - C:\Program Files\Avant Browser\AddToADBlackList.htm

    O8 - Extra context menu item: Zoeken - C:\Program Files\Avant Browser\Search.htm

    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

    O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

    O9 - Extra button: RealGuide - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll

    O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - https://www.p3.postbank.nl/sesam/CAX.cab

    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

    O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - - (no file)

    O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE

    O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

    O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe

    O23 - Service: Maya 6.5 Documentation Server (maya65docserver) - Unknown owner - C:\Program Files\Alias\Maya6.5\docs\wrapper.exe“ -s ”C:\Program Files\Alias\Maya6.5\docs\Wrapper.conf (file missing)

    O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS\system32\nvsvc32.exe

    O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe

    O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

  • Anonymous avatar

    Wouter Sijm

    Ik zie zo gauw geen edit functie, dus maar even een nieuw berichtje. Ik heb de drivers opnieuw geinstaleerd, hierbij de regel van het logfile waar het om gaat:

    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

    Ook omdat het proces nu gewoon weer bij taakbeheer erbij staat neem ik aan dat ik hem niet hoef te fixen?