FCCU virus blokkeert mijn laptop en als ik opstart in safe mode blijft hij rebooten !

Dus als ik opstart in normale modus, krijg ik direct dat blokkeringsscherm en kan ik niets doen, en als ik probeer in om het even welke safe mode dan geraakt hij gewoon niet tot in windows omdat hij steeds blijft rebooten.

met andere woorden, mijn enige mogelijkheid die ik nog heb is ofwel opstarten via een USB-stick met daar eventueel een applicatie op die het kan verwijderen, ofwel opstarten vanaf windows xp cd om dan van daaruit eventueel iets te doen. Ofwel het probleem van steeds rebooten in safe mode kunnen oplossen, om dan vanuit safe mode iets te kunnen doen.

Ik kan niet windows herinstalleren, want op mijn laptop staan vele belangrijke documenten voor mijn werk, die ik absoluut nog nodig heb.

Weet iemand aub een oplossing voor mij om alsnog het FCCU virus te kunnen verwijderen ?

mvg,

Chris.

Stap 1

Download op een andere niet geïnfecteerde computer de Kaspersky Rescue CD en sla deze op je bureaublad op.

Download daarna IMG Burn, unzip en installeer dit programma. Standaard worden deze bestanden geplaatst in de map C:\Program Files\ImgBurn. Klik daar op ImgBurn.exe om het programma op te starten. Gebruikers van Vista en Windows 7 moeten dit “uitvoeren als administrator”.

• Start "IMG burn" en klik op "Schrijf image bestand naar schijf"
  
• Selecteer het image bestand van de Kaspersky Rescue CD en klik op de knop "Schrijf"
  

Stap 2

Voer dit uit op de geïnfecteerde computer.

• Stop de Kaspersky Rescue CD, in de PC.
  
• Start die PC opnieuw op.
  

3. Opstarten van de Kaspersky Rescue CD.

Info:

Als u problemen heeft met het opstarten vanaf de rescue cd controleer dan de instellingen in de BIOS voor het opstarten vanaf een bootable CD.

:>: Hier staat beschreven hoe u de CD / DVD drive als first boot device kunt instellen.

Druk op bovenstaande venster op een willekeurige "toets" om van de Kaspersky Rescue CD te starten.

Kies is het bovenstaande scherm de de gewenste taal wat standaard op Engels staat ingesteld en druk op "Enter"

Druk in het bovenstaande op "1" en om door te gaan.

Kies is het volgende scherm de optie "Kaspersky Rescue Disk - Grafische modus" en druk op enter.

Windowsunlocker

• Als de computer is opgestart van de Kaspersky Rescue CD klik dan op de start (KDE) knop in de taakbalk en klik op "Terminal"
  
  
• Geef in de terminal het commando windowsunlocker op gevolgd door enter.
  
• Via de terminal zullen nu de registerwaarden die door de ransomware infectie zijn aangemaakt hersteld worden.
  
• In het rode en groene kader hieronder kunt u zien dat de registerwaarden zijn hersteld.
  
  
• Herstart de computer.
  

Hallo kape,

Bij deze wil ik je enorm bedanken om mij deze oplossing aan te reiken, want hoewel mijn probleem niet was opgelost na het uitvoeren van die kaspersky windowsunlocker, heb ik voor een groot stuk dankzij jou wél mijn probleem kunnen oplossen via die rescue disk, maar op een iets andere manier!

Wat heb ik gedaan ? Ik zal het even uitleggen.

Dankzij de link van die kaspersky rescue disk 10 die je me toonde, heb ik via daar kaspersky rescue disk 10 op een USB-stick kunnen installeren van waarop ik kon booten (ze leggen je daar perfect uit wat je daarvoor moet doen), uiteraard allemaal via een niet-geïnfecteerde laptop.

Dan heb ik op mijn geïnfecteerde laptop geboot via deze usb-stick (moest wel eerst even boot sequence aanpassen, om op te starten vanop die usb-stick).

Ik heb dan eerst die windowsunlocker geprobeerd zoals je me zei, daarna eens gereboot maar FCCU virus bleef mijn laptop blokkeren.

Dan heb ik opnieuw geboot via die usb-stick, en dankzij de kaspersky registry editor die ook op de rescue disk staat, had ik de mogelijkheid om mijn register eens te bekijken. Het eerste waar ik aan dacht, was om eens te gaan kijken of er niks verdacht stond bij de startup-items (je weet wel, via de run, runonce en dergelijke takken van het register) en.... bingo !

Onder de "hkey_local_machine\software\microsoft\windows\currentversion\run" tak waar mijn meeste startup-items stonden, vond ik ook een verdachte exe, namelijk 0_0u_l.exe , die blijkbaar

werd opgestart vanuit c:\windows\system32\0_0u_l.exe. Maar dat was niet de enige sleutel, er stond er ook één in de tak "hkey_users\software\microsoft\windows\currentversion\run", dezelfde exe die vanuit dezelfde plaats werd opgestart.

Dit vond ik direct al zeer verdacht, maar om zeker te zijn dat het iets met dit virus te maken had, ben ik toen via de kaspersky file manager (die ook op de rescue disk staat!) eens gaan kijken naar de datum van die exe file, en ja hoor, de datum en het uur was precies het moment waarop mijn pc voor het eerst geblokkeerd werd !

DUS heb ik via de file manager dat bestand verwijderd uit mijn system32 directory, en daarna ook via de registry editor die 2 registry-sleutels verwijderd.

Daarna opnieuw geboot op normale wijze en.. voila...probleem opgelost !

Nogmaals hartelijk dank KAPE om mij ferm op weg te helpen naar de oplossing van dit probleem !

Nu, hoewel deze oplossing kan werken voor andere mensen met hetzelfde probleem, heb ik al gelezen op het internet dat het virus niet altijd op dezelfde manier te verwijderen is, en een andere computer soms een andere aanpak vereist.

Maar als je hetzelfde bestand vind als mij onder de startup-items (0_0u_l.exe) dan is de kans volgens mij wel groot dat je het op deze manier zal kunnen oplossen. En zelfs al is de bestandsnaam niet dezelfde, het is zeker het proberen waard, want voor mij was het de perfecte oplossing.

mvg,

Chris

8 juli 2012 aangepast door eagle6175

Dag Chris,

Ik heb je discutie ff terug heropend.

Goed te horen dat je systeem alvast geunlocked is.

Ook bedankt voor de uitleg hoe je dit hebt opgelost.

Zoals je zelf al aanhaalt, veranderd de politie ransomware voortdurend van tactiek, dus kunnen we zelf ook steeds wat opsteken.

Om je systeem verder virusvrij te maken, kan je alvast het volgende uitvoeren:

1. Download HijackThis. (klik er op)

Klik op HijackThis.msi en de download start automatisch na 5 seconden.

Bestand HijackThis.msi opslaan. Daarna kiezen voor "uitvoeren".

Hijackthis wordt nu op je PC geïnstalleerd, een snelkoppeling wordt op je bureaublad geplaatst.

Als je geen netwerkverbinding meer hebt, kan je de download doen met een andere pc en het bestand met een usb stick overbrengen

Als je enkel nog in veilige modus kan werken, moet je de executable (HijackThis.exe) downloaden.

Sla deze op in een nieuwe map op de C schijf (bvb C:\hijackthis) en start hijackthis dan vanaf deze map.

De logjes kan je dan ook in die map terugvinden.

---

2. Klik op de snelkoppeling om HijackThis te starten. (lees eerst de rode tekst hieronder!)

Klik ofwel op "Do a systemscan and save a logfile", ofwel eerst op "Scan" en dan op "Savelog".

Er opent een kladblokvenster, hou gelijktijdig de CTRL en A-toets ingedrukt, nu is alles geselecteerd. Hou gelijktijdig de CTRL en C-toets ingedrukt, nu is alles gekopieerd. Plak nu het HJT logje in je bericht door CTRL en V-toets.

Krijg je een melding ""For some reason your system denied writing to the Host file ....", klik dan gewoon door op de OK-toets.

Let op : Windows Vista & 7 gebruikers dienen HijackThis als “administrator” uit te voeren via rechtermuisknop “als administrator uitvoeren". Indien dit via de snelkoppeling niet lukt voer je HijackThis als administrator uit in de volgende map : C:\Program Files\Trend Micro\HiJackThis of C:\Program Files (x86)\Trend Micro\HiJackThis. (Bekijk hier de afbeelding ---> Klik hier)

---

3. Na het plaatsen van je logje wordt dit door een expert (Kape of Kweezie Wabbit) nagekeken en begeleidt hij jou verder door het ganse proces.

Tip!

Wil je in woord en beeld weten hoe je een logje met HijackThis maakt en plaatst op het forum, klik dan HIER.

8 juli 2012 aangepast door Jion

Hallo Jion,

Ik heb precies gedaan wat je gezegd hebt, ziehier mijn HJT logje :

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 18:33:44, on 8/07/2012

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

C:\Program Files\Juniper\NetScreen-Remote\IPSecMon.exe

C:\Program Files\Juniper\NetScreen-Remote\IreIKE.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Juniper Networks\Common Files\dsNcService.exe

C:\WINDOWS\system32\ifxspmgt.exe

C:\Program Files\Hewlett-Packard\IAM\bin\asghost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ifxtcs.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe

C:\Program Files\OCS Inventory Agent\ocsservice.exe

C:\WINDOWS\system32\IfxPsdSv.exe

C:\Program Files\VNC\winvnc.exe

C:\Program Files\HPQ\Shared\Sierra Wireless\Win32\Unicode\SWIHPWMI.exe

C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe

C:\Program Files\Analog Devices\Core\smax4pnp.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

D:\Program Files\Deamon Tools\daemon.exe

C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe

C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe

C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe

C:\Program Files\Juniper\NetScreen-Remote\SafeCfg.exe

C:\Program Files\PrintKey2000\Printkey2000.exe

C:\Documents and Settings\All Users\Start Menu\Programs\Startup\svkar001.exe

C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe

C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe

C:\Program Files\Trend Micro\OfficeScan Client\CNTAoSMgr.exe

C:\Program Files\Trend Micro\OfficeScan Client\TmProxy.exe

C:\Program Files\Trend Micro\BM\TMBMSRV.exe

D:\Program Files\Norton Ghost 15\Agent\VProSvc.exe

D:\Program Files\Norton Ghost 15\Shared\Drivers\SymSnapService.exe

C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Microsoft Office\Office12\WINWORD.EXE

C:\Program Files\Internet Explorer\iexplore.exe

D:\Program Files\HijackThis\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Hotmail, Messenger, het laatste nieuws en entertainment | MSN.NL

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://1.1.1.147/logis-expl/start.html

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 1.1.1.77:2080

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 1.1.1.*;1.1.1.123;1.1.1.130;1.1.1.147;87.1.1.253;87.1.1.220;87.1.1.101;128.59.5.30;87.1.1.93;<local>

O1 - Hosts: 1.1.1.123 officescan-be

O1 - Hosts: 1.2.1.254 ZGHQ_TUX

O1 - Hosts: 1.1.1.248 EDP_TUX

O2 - BHO: Adobe PDF Reader Help bij koppelingen - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Program Files\Canon\Easy-WebPrint\EWPBrowseLoader.dll

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll

O2 - BHO: Windows Live Aanmelden - Help - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Program Files\Acrobat Pro\Acrobat\AcroIEFavClient.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: Credential Manager for HP ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Program Files\Hewlett-Packard\IAM\Bin\ItIEAddIn.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Program Files\Acrobat Pro\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll

O4 - HKLM\..\Run: [soundMAX] C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray

O4 - HKLM\..\Run: [POINTER] point32.exe

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Program Files\Deamon Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\VNC\winvnc.exe" -servicehelper

O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start

O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: BTTray.lnk = ?

O4 - Global Startup: NetScreen-Remote.lnk = C:\Program Files\Juniper\NetScreen-Remote\SafeCfg.exe

O4 - Global Startup: Printkey2000.lnk = C:\Program Files\PrintKey2000\Printkey2000.exe

O4 - Global Startup: svkar001.exe

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Verzenden naar &Bluetooth-apparaat... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: Unibet - {58D86AB2-4892-4F55-98B3-77E36DD21A78} - C:\Microgaming\Poker\unibetpokerMPP\MPPoker.exe (HKCU)

O15 - Trusted Zone: http://*.fgov.be

O15 - Trusted Zone: http://*.bnpparibasfortis.be (HKLM)

O15 - Trusted Zone: http://*.bnpparibasfortis.com (HKLM)

O15 - Trusted Zone: http://cbc-pdf.cbc.be (HKLM)

O15 - Trusted Zone: CBC (HKLM)

O15 - Trusted Zone: http://*.dexia.be (HKLM)

O15 - Trusted Zone: Welcome to the Merchant Banking Portal of Fortis - BNP Paribas Fortis - Merchant Banking Portal (HKLM)

O15 - Trusted Zone: Welcome to the Merchant Banking Portal of Fortis - BNP Paribas Fortis - Merchant Banking Portal (HKLM)

O15 - Trusted Zone: Welcome to Isabel (HKLM)

O15 - Trusted Zone: Welcome to Isabel (HKLM)

O15 - Trusted Zone: http://kbc-pdf.kbc.be (HKLM)

O15 - Trusted Zone: KBC (HKLM)

O15 - Trusted Zone: KBC Asset Management (HKLM)

O15 - Trusted Zone: http://www.kbcam.com (HKLM)

O16 - DPF: {1D46BE0D-C314-4E20-A291-D1E66265725A} (CryptoActiveX Control) - https://business.isabel.be/OfficeSignTestYourSignature/CAB-APP/CryptoActiveX.ocx

O17 - HKLM\System\CCS\Services\Tcpip\..\{01E33BFB-153F-4017-968B-6D2B320C672F}: NameServer = 1.1.1.248,1.1.1.206,10.50.100.1,1.1.1.3

O17 - HKLM\System\CS1\Services\Tcpip\..\{01E33BFB-153F-4017-968B-6D2B320C672F}: NameServer = 1.1.1.248,1.1.1.206,10.50.100.1,1.1.1.3

O17 - HKLM\System\CS2\Services\Tcpip\..\{01E33BFB-153F-4017-968B-6D2B320C672F}: NameServer = 1.1.1.248,1.1.1.206,10.50.100.1,1.1.1.3

O17 - HKLM\System\CS3\Services\Tcpip\..\{01E33BFB-153F-4017-968B-6D2B320C672F}: NameServer = 1.1.1.248,1.1.1.206,10.50.100.1,1.1.1.3

O20 - AppInit_DLLs: APSHook.dll

O20 - Winlogon Notify: OneCard - C:\Program Files\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll

O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe

O23 - Service: Juniper Network Connect Service (dsNcService) - Juniper Networks - C:\Program Files\Juniper Networks\Common Files\dsNcService.exe

O23 - Service: GenericMount Helper Service - Symantec - D:\Program Files\Norton Ghost 15\Shared\Drivers\GenericMountHelper.exe

O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe

O23 - Service: Security Platform Management Service (IFXSpMgtSrv) - Infineon Technologies AG - C:\WINDOWS\system32\ifxspmgt.exe

O23 - Service: Trusted Platform Core Service (IFXTCS) - Infineon Technologies AG - C:\WINDOWS\system32\ifxtcs.exe

O23 - Service: SafeNet Monitor Service (IPSECMON) - SafeNet - C:\Program Files\Juniper\NetScreen-Remote\IPSecMon.exe

O23 - Service: SafeNet IKE Service (IreIKE) - SafeNet - C:\Program Files\Juniper\NetScreen-Remote\IreIKE.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe

O23 - Service: Norton Ghost - Symantec Corporation - D:\Program Files\Norton Ghost 15\Agent\VProSvc.exe

O23 - Service: OfficeScan NT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe

O23 - Service: OCS INVENTORY SERVICE (OCS INVENTORY) - Error - C:\Program Files\OCS Inventory Agent\ocsservice.exe

O23 - Service: OracleClientCache80 - Unknown owner - C:\orant\BIN\ONRSD80.EXE

O23 - Service: PC Tools Startup and Shutdown Monitor service (PCToolsSSDMonitorSvc) - Unknown owner - C:\Program Files\Common Files\PC Tools\sMonitor\StartManSvc.exe

O23 - Service: Personal Secure Drive service (PersonalSecureDriveService) - Infineon Technologies AG - C:\WINDOWS\system32\IfxPsdSv.exe

O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe

O23 - Service: SWIHPWMI - Sierra Wireless Inc. - C:\Program Files\HPQ\Shared\Sierra Wireless\Win32\Unicode\SWIHPWMI.exe

O23 - Service: SymSnapService - Symantec - D:\Program Files\Norton Ghost 15\Shared\Drivers\SymSnapService.exe

O23 - Service: Trend Micro Unauthorized Change Prevention Service (TMBMServer) - Trend Micro Inc. - C:\Program Files\Trend Micro\BM\TMBMSRV.exe

O23 - Service: OfficeScan NT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe

O23 - Service: OfficeScan NT Proxy Service (TmProxy) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\TmProxy.exe

O23 - Service: TomTomHOMEService - TomTom - D:\Program Files\TomTom HOME 2\TomTomHOMEService.exe

O23 - Service: VNC Server (winvnc) - UltraVNC - C:\Program Files\VNC\winvnc.exe

--

End of file - 12629 bytes

Benieuwd wat jullie mij erover kunnen vertellen.

mvg,

Chris.

De malware experts (Kape of Kweezie Wabbit) zullen je verder helpen zodra zij online zijn.

Start Hijackthis op. Selecteer “Scan”. Selecteer alleen de items die hieronder zijn genoemd:

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O4 - Global Startup: BTTray.lnk = ?

O4 - Global Startup: svkar001.exe

Klik op 'Fix checked' om de items te verwijderen.

Let op : Windows Vista & 7 gebruikers dienen HijackThis als “administrator” uit te voeren via rechtermuisknop “als administrator uitvoeren". Indien dit via de snelkoppeling niet lukt voer je HijackThis als administrator uit in de volgende map : C:\Program Files\Trend Micro\HiJackThis of C:\Program Files (x86)\Trend Micro\HiJackThis.

En zijn dit bekende URL's of bestemmingen voor jou ?

O1 - Hosts: 1.1.1.123 officescan-be

O1 - Hosts: 1.2.1.254 ZGHQ_TUX

O1 - Hosts: 1.1.1.248 EDP_TUX

Hallo kape,

Bedankt voor je feedback !

Ja hoor, die O1 Hosts zijn zeker bekende bestemmingen voor mij, want dit is mijn werk laptop, en dit zijn domeinen die ik nodig heb voor mijn werk !

En ook, die 04 svkar001.exe is iets dat nodig is voor mijn werk, maar ik begrijp dat je dat niet kon weten natuurlijk.

En zo bvb ook die 017 sleutels zijn allemaal heel bekend voor mij, want dit zijn DNS server adressen die ik opok nodig heb voor het netwerk op mijn werk.

Die andere 2 die je zei, dus die 02 BHO en die 04 BTTtray.lnk zou ik inderdaad wel kunnen wegdoen.

Ik had het zelf ook al eens nagekeken a.h.v. de handleiding hier http://www.pc-helpforum.be/f163/hijackthis-een-gevorderde-handleiding-10007/ en voor de rest lijkt alles ook in orde voor mij. Heb trouwens alle dll's die vermeld werden eens opgezocht via internet en zo kwam ik te weten dat het geen malware betreft.

Wat de O15- en O17-lijnen betreft, had ik geen twijfels, bij de anderen wel een beetje. Vandaar de vraag. Maar in dit geval lijkt met alles dan verder wel OK te zijn.

Vermits je met een besmetting hebt gezeten, lijkt het me wel zinvol om toch de resten ervan nog even aan te pakken :

Download CCleaner.

Klik op “Download Latest Version” en dan start de download van CCleaner automatisch en gratis op.

Installeer het en start CCleaner op. Klik in de linkse kolom op “Cleaner”. Klik achtereenvolgens op ‘Analyseren’ en 'Schoonmaken'. Soms is 1 analyse niet voldoende. Deze procedure mag je herhalen tot de analyse geen fouten meer aangeeft. Klik vervolgens in de linkse kolom op “Register” en klik op ‘Scan naar problemen”. Als er fouten gevonden worden klik je op ”Herstel geselecteerde problemen” en ”OK”. Dan krijg je de vraag om een back-up te maken. Klik op “JA”. Kies dan “Herstel alle geselecteerde fouten”. Sluit hierna CCleaner terug af.

Wil je dit uitgebreid in beeld bekijken, klik dan hier voor de handleiding.

Het is aangewezen om de bestaande herstelpunten te verwijderen (daar zitten besmette herstelpunten tussen die je eventueel zou kunnen terugzetten). In XP doe je dit via Start -> Configuratiescherm -> Systeem -> Systeemherstel -> "Systeemherstel op alle stations uitschakelen" aanvinken. Toepassen en OK. PC herstarten en het vinkje terug weg halen.

Indien dit allemaal probleemloos verlopen is, mag je hieronder op "markeer als opgelost" tokkelen !

Hallo Kape,

Heb alles gedaan wat je gezegd hebt, en alles is probleemloos verlopen, dus probleem opgelost !

Nogmaals dank voor jullie hulp ze gasten, jullie zijn engels Kape en Jion.

mvg,

Chris.