eagle6175

Ik heb ergens op een forum gelezen dat iemand zijn safemode heeft kunnen herstellen met combofix. Maar ik heb ook gelezen dat je je best laat begeleiden door een specialist als je dat programma gebruikt. Kan er mij hier iemand dus even bijstaan bij het gebruiken van combofix aub ? Wat mag ik nu bvb al doen met combofix ? mvg, Chris

lol mrarnaud, goed geprobeerd, maar mijn vriend werkt daar niet meer :-( Tenzij...hoe oud is je zus ? ;-) Een HD die kapot gaat dat is geen zeldzaam gebeuren hé, daarom altijd backups nemen, zeg het maar tegen je zus, of ze zal in de toekomst weer hetzelfde voor hebben als haar nieuwe HD het laat afweten na een tijd.

Inderdaad Dasle, Het is altijd mogelijk om zelfs de gegevens van een kapotte HD te recupereren, maar dat gaat je kosten ze want daar kruipt werk in. Ik heb het gelukkig ooit eens gratis kunnen laten doen door een vriend die bij zo een bedrijf werkte, en ze hebben mijn volledige HD kunnen recupereren en alle data op schijfjes gebrand. Het heeft wel een tijdje geduurd.

Hallo, Ik heb een zeer merkwaardig probleem met mijn laptop. Als ik opstart in normale modus, dan is er geen enkel probleem en start hij normaal op. MAAR als ik opstart in om het even welke safemode, dan krijg ik tijdens het booten het beruchte BSOD scherm met als stop error 7E : Technical Information : Stop Error : 0x0000007E (0xC0000005, 0xF7870211, 0xF7BFA4EC, 0xF7BFA1E8) Ik heb al overal zitten zoeken op het net, maar de antwoorden hieromtrent zijn vrij vaag. Is er soms hier iemand die mij zou kunnen helpen ? Alle hulp zou meer dan welkom zijn. mvg, Chris.

Das graag gedaan Stijnley. Het is belangrijk dat we aan één zeil trekken tegen deze fraudeurs, zodat ze zo weinig mogelijk mensen kunnen afpersen met dit frauduleus gedoe. Goh, voor de rest zou ik niet direct weten wat je nog kan doen om het te controleren. Wat ik wel in jouw plaats nu eerst zou doen, is eens een volledige scan uitvoeren van je systeem met een goed en up-to-date antivirus programma, zodat je zeker bent dat er niets anders meer op je systeem zit.

Dan zit de kans er sterk in dat het weg is ja.

Stijnley, Heb je al eens ene search gedaan zoals ik zei ? En ?

Volgens mij moet die exe er toch echt wel zijn hoor, want had die daar niet gestaan, dat had je register bij het opstarten in normale modus wel een foutmelding gegeven dat het die exe niet kon vinden! Want als die exe effectief bestaat, kan je hem best toch wel verwijderen hoor. Maar allé we weten nu dus toch al dat die exe de kwaaddoener was, en dat je al terug normaal kan booten, dat is al veel. DOe anders eens het volgende, doe eens een search van rasmxs.exe van "all files and folders", en bij geavanceerde opties klik je aan "search system folders", "search hidden files and folders" , "search subfolders", en zie eens of je hem zo vindt. Zoja, verwijder die exe dan maar. Houd ons op de hoogte.

Ja ok, maar elke map heeft wel zijn eigen opties, en het is niet omdat je de verborgen bestanden laat zien bij één map dat die dan ook in een andere map getoond worden. Daarom is het belangrijk dat je de optie "show hidden files en folders" aanklikt als het echt die map 3699 betreft !

Stijnley, Het feit dat je die exe niet ziet komt wsl doordat die "hidden" is en je de hidden files en folders niet kan zien. Dat is een instelling in verkenner. Ga naar die bepaalde map en dan in het menu boven klik je tools , folder options, view, en dan bij advanced settings moet je aanklikken "show hidden files and folders". Tenminste bij windows xp is dit toch zo, ik weet nu niet welke OS jij hebt, maar als je in die map zit, moet je ergens bij de opties "show hidden files and folders" aanklikken. Als je dat aanklikt, zou die exe moeten kunnen zien. ALs je dan die exe ziet, en bij properties komt datum en uur ongeveer overeen met tijdstip van infectie, dan mag je die exe verwijderen. En ten tweede moet je opnieuw in je register gaan, en die sleutel van die rasmxs.exe verwijderen die ik zag in je screenshot. En probeer dan eens opnieuw op te starten. Laat iets weten. ---------- Post toegevoegd om 14:45 ---------- Vorige post was om 14:40 ---------- EN als je die exe toch nog niet kunt zien, verwijder dan gewoon die registersleutel van die rasmxs.exe en probeer eens opnieuw op te starten. MAAR voor je die registersleutel verwijderd, neem er wel eerst een backup van. Die doe je door op die sleutel te gaan staan, dan in het menu boven file, dan export, en dan kies je een naam voor je *.reg file. Want moest het daarmee niet opgelost zijn, kan je hem dan nog altijd terugzetten. Onthoud wel waar je je reg file zet natuurlijk.

Inderdaad Kape, dat was inderdaad wat ik bedoelde, maar bon, ik zie dat stijnley het nu wel gedaan heeft. Ik stel me wel serieuze vragen bij die rasmxs.exe. Kape, wat denk jij daarvan ? Stijnley, weet je nog ongeveer op welke datum en rond welk uur je de infectie opgelopen hebt? Zoja, ga die file rasmxs.exe eens bekijken in die genoemde directory, en kijk eens naar de properties daarvan. Als je bij modified als datum en uur ongeveer het tijdstip ziet als deze waarop je de infectie hebt opgelopen, dan ben ik bijna 100% zeker dat dat het virus is. En dan zal ik je zeggen wat te doen. Maar kijk dat eerst eens na en laat dan iets weten.

Hallo Stijn, start eens op in veilige modus, en ga eens kijken welke startup-items er staan onder hkey_local_machine\software\microsoft\windows\currentversion\run hkey_current_user\software\microsoft\windows\currentversion\run als je kan maak van de startup-items in je register onder deze 2 takken eens een screenshot, en post dit eens. mvg, Chris.

Hallo Kape, Heb alles gedaan wat je gezegd hebt, en alles is probleemloos verlopen, dus probleem opgelost ! Nogmaals dank voor jullie hulp ze gasten, jullie zijn engels Kape en Jion. mvg, Chris.

Hallo kape, Bedankt voor je feedback ! Ja hoor, die O1 Hosts zijn zeker bekende bestemmingen voor mij, want dit is mijn werk laptop, en dit zijn domeinen die ik nodig heb voor mijn werk ! En ook, die 04 svkar001.exe is iets dat nodig is voor mijn werk, maar ik begrijp dat je dat niet kon weten natuurlijk. En zo bvb ook die 017 sleutels zijn allemaal heel bekend voor mij, want dit zijn DNS server adressen die ik opok nodig heb voor het netwerk op mijn werk. Die andere 2 die je zei, dus die 02 BHO en die 04 BTTtray.lnk zou ik inderdaad wel kunnen wegdoen. Ik had het zelf ook al eens nagekeken a.h.v. de handleiding hier http://www.pc-helpforum.be/f163/hijackthis-een-gevorderde-handleiding-10007/ en voor de rest lijkt alles ook in orde voor mij. Heb trouwens alle dll's die vermeld werden eens opgezocht via internet en zo kwam ik te weten dat het geen malware betreft.

Hallo Jion, Ik heb precies gedaan wat je gezegd hebt, ziehier mijn HJT logje : Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 18:33:44, on 8/07/2012 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\Program Files\Juniper\NetScreen-Remote\IPSecMon.exe C:\Program Files\Juniper\NetScreen-Remote\IreIKE.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Juniper Networks\Common Files\dsNcService.exe C:\WINDOWS\system32\ifxspmgt.exe C:\Program Files\Hewlett-Packard\IAM\bin\asghost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\ifxtcs.exe C:\Program Files\Java\jre6\bin\jqs.exe C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe C:\Program Files\OCS Inventory Agent\ocsservice.exe C:\WINDOWS\system32\IfxPsdSv.exe C:\Program Files\VNC\winvnc.exe C:\Program Files\HPQ\Shared\Sierra Wireless\Win32\Unicode\SWIHPWMI.exe C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe C:\Program Files\Analog Devices\Core\smax4pnp.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe D:\Program Files\Deamon Tools\daemon.exe C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe C:\Program Files\Juniper\NetScreen-Remote\SafeCfg.exe C:\Program Files\PrintKey2000\Printkey2000.exe C:\Documents and Settings\All Users\Start Menu\Programs\Startup\svkar001.exe C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe C:\Program Files\Trend Micro\OfficeScan Client\CNTAoSMgr.exe C:\Program Files\Trend Micro\OfficeScan Client\TmProxy.exe C:\Program Files\Trend Micro\BM\TMBMSRV.exe D:\Program Files\Norton Ghost 15\Agent\VProSvc.exe D:\Program Files\Norton Ghost 15\Shared\Drivers\SymSnapService.exe C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Microsoft Office\Office12\WINWORD.EXE C:\Program Files\Internet Explorer\iexplore.exe D:\Program Files\HijackThis\Trend Micro\HiJackThis\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Hotmail, Messenger, het laatste nieuws en entertainment | MSN.NL R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://1.1.1.147/logis-expl/start.html R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 1.1.1.77:2080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 1.1.1.*;1.1.1.123;1.1.1.130;1.1.1.147;87.1.1.253;87.1.1.220;87.1.1.101;128.59.5.30;87.1.1.93;<local> O1 - Hosts: 1.1.1.123 officescan-be O1 - Hosts: 1.2.1.254 ZGHQ_TUX O1 - Hosts: 1.1.1.248 EDP_TUX O2 - BHO: Adobe PDF Reader Help bij koppelingen - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Program Files\Canon\Easy-WebPrint\EWPBrowseLoader.dll O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll O2 - BHO: Windows Live Aanmelden - Help - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Program Files\Acrobat Pro\Acrobat\AcroIEFavClient.dll O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: Credential Manager for HP ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Program Files\Hewlett-Packard\IAM\Bin\ItIEAddIn.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Program Files\Acrobat Pro\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll O4 - HKLM\..\Run: [soundMAX] C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray O4 - HKLM\..\Run: [POINTER] point32.exe O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Program Files\Deamon Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\VNC\winvnc.exe" -servicehelper O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: NetScreen-Remote.lnk = C:\Program Files\Juniper\NetScreen-Remote\SafeCfg.exe O4 - Global Startup: Printkey2000.lnk = C:\Program Files\PrintKey2000\Printkey2000.exe O4 - Global Startup: svkar001.exe O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Verzenden naar &Bluetooth-apparaat... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra button: Unibet - {58D86AB2-4892-4F55-98B3-77E36DD21A78} - C:\Microgaming\Poker\unibetpokerMPP\MPPoker.exe (HKCU) O15 - Trusted Zone: http://*.fgov.be O15 - Trusted Zone: http://*.bnpparibasfortis.be (HKLM) O15 - Trusted Zone: http://*.bnpparibasfortis.com (HKLM) O15 - Trusted Zone: http://cbc-pdf.cbc.be (HKLM) O15 - Trusted Zone: CBC (HKLM) O15 - Trusted Zone: http://*.dexia.be (HKLM) O15 - Trusted Zone: Welcome to the Merchant Banking Portal of Fortis - BNP Paribas Fortis - Merchant Banking Portal (HKLM) O15 - Trusted Zone: Welcome to the Merchant Banking Portal of Fortis - BNP Paribas Fortis - Merchant Banking Portal (HKLM) O15 - Trusted Zone: Welcome to Isabel (HKLM) O15 - Trusted Zone: Welcome to Isabel (HKLM) O15 - Trusted Zone: http://kbc-pdf.kbc.be (HKLM) O15 - Trusted Zone: KBC (HKLM) O15 - Trusted Zone: KBC Asset Management (HKLM) O15 - Trusted Zone: http://www.kbcam.com (HKLM) O16 - DPF: {1D46BE0D-C314-4E20-A291-D1E66265725A} (CryptoActiveX Control) - https://business.isabel.be/OfficeSignTestYourSignature/CAB-APP/CryptoActiveX.ocx O17 - HKLM\System\CCS\Services\Tcpip\..\{01E33BFB-153F-4017-968B-6D2B320C672F}: NameServer = 1.1.1.248,1.1.1.206,10.50.100.1,1.1.1.3 O17 - HKLM\System\CS1\Services\Tcpip\..\{01E33BFB-153F-4017-968B-6D2B320C672F}: NameServer = 1.1.1.248,1.1.1.206,10.50.100.1,1.1.1.3 O17 - HKLM\System\CS2\Services\Tcpip\..\{01E33BFB-153F-4017-968B-6D2B320C672F}: NameServer = 1.1.1.248,1.1.1.206,10.50.100.1,1.1.1.3 O17 - HKLM\System\CS3\Services\Tcpip\..\{01E33BFB-153F-4017-968B-6D2B320C672F}: NameServer = 1.1.1.248,1.1.1.206,10.50.100.1,1.1.1.3 O20 - AppInit_DLLs: APSHook.dll O20 - Winlogon Notify: OneCard - C:\Program Files\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe O23 - Service: Juniper Network Connect Service (dsNcService) - Juniper Networks - C:\Program Files\Juniper Networks\Common Files\dsNcService.exe O23 - Service: GenericMount Helper Service - Symantec - D:\Program Files\Norton Ghost 15\Shared\Drivers\GenericMountHelper.exe O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe O23 - Service: Security Platform Management Service (IFXSpMgtSrv) - Infineon Technologies AG - C:\WINDOWS\system32\ifxspmgt.exe O23 - Service: Trusted Platform Core Service (IFXTCS) - Infineon Technologies AG - C:\WINDOWS\system32\ifxtcs.exe O23 - Service: SafeNet Monitor Service (IPSECMON) - SafeNet - C:\Program Files\Juniper\NetScreen-Remote\IPSecMon.exe O23 - Service: SafeNet IKE Service (IreIKE) - SafeNet - C:\Program Files\Juniper\NetScreen-Remote\IreIKE.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe O23 - Service: Norton Ghost - Symantec Corporation - D:\Program Files\Norton Ghost 15\Agent\VProSvc.exe O23 - Service: OfficeScan NT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe O23 - Service: OCS INVENTORY SERVICE (OCS INVENTORY) - Error - C:\Program Files\OCS Inventory Agent\ocsservice.exe O23 - Service: OracleClientCache80 - Unknown owner - C:\orant\BIN\ONRSD80.EXE O23 - Service: PC Tools Startup and Shutdown Monitor service (PCToolsSSDMonitorSvc) - Unknown owner - C:\Program Files\Common Files\PC Tools\sMonitor\StartManSvc.exe O23 - Service: Personal Secure Drive service (PersonalSecureDriveService) - Infineon Technologies AG - C:\WINDOWS\system32\IfxPsdSv.exe O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe O23 - Service: SWIHPWMI - Sierra Wireless Inc. - C:\Program Files\HPQ\Shared\Sierra Wireless\Win32\Unicode\SWIHPWMI.exe O23 - Service: SymSnapService - Symantec - D:\Program Files\Norton Ghost 15\Shared\Drivers\SymSnapService.exe O23 - Service: Trend Micro Unauthorized Change Prevention Service (TMBMServer) - Trend Micro Inc. - C:\Program Files\Trend Micro\BM\TMBMSRV.exe O23 - Service: OfficeScan NT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe O23 - Service: OfficeScan NT Proxy Service (TmProxy) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\TmProxy.exe O23 - Service: TomTomHOMEService - TomTom - D:\Program Files\TomTom HOME 2\TomTomHOMEService.exe O23 - Service: VNC Server (winvnc) - UltraVNC - C:\Program Files\VNC\winvnc.exe -- End of file - 12629 bytes Benieuwd wat jullie mij erover kunnen vertellen. mvg, Chris.

Hallo kape, Bij deze wil ik je enorm bedanken om mij deze oplossing aan te reiken, want hoewel mijn probleem niet was opgelost na het uitvoeren van die kaspersky windowsunlocker, heb ik voor een groot stuk dankzij jou wél mijn probleem kunnen oplossen via die rescue disk, maar op een iets andere manier! Wat heb ik gedaan ? Ik zal het even uitleggen. Dankzij de link van die kaspersky rescue disk 10 die je me toonde, heb ik via daar kaspersky rescue disk 10 op een USB-stick kunnen installeren van waarop ik kon booten (ze leggen je daar perfect uit wat je daarvoor moet doen), uiteraard allemaal via een niet-geïnfecteerde laptop. Dan heb ik op mijn geïnfecteerde laptop geboot via deze usb-stick (moest wel eerst even boot sequence aanpassen, om op te starten vanop die usb-stick). Ik heb dan eerst die windowsunlocker geprobeerd zoals je me zei, daarna eens gereboot maar FCCU virus bleef mijn laptop blokkeren. Dan heb ik opnieuw geboot via die usb-stick, en dankzij de kaspersky registry editor die ook op de rescue disk staat, had ik de mogelijkheid om mijn register eens te bekijken. Het eerste waar ik aan dacht, was om eens te gaan kijken of er niks verdacht stond bij de startup-items (je weet wel, via de run, runonce en dergelijke takken van het register) en.... bingo ! Onder de "hkey_local_machine\software\microsoft\windows\currentversion\run" tak waar mijn meeste startup-items stonden, vond ik ook een verdachte exe, namelijk 0_0u_l.exe , die blijkbaar werd opgestart vanuit c:\windows\system32\0_0u_l.exe. Maar dat was niet de enige sleutel, er stond er ook één in de tak "hkey_users\software\microsoft\windows\currentversion\run", dezelfde exe die vanuit dezelfde plaats werd opgestart. Dit vond ik direct al zeer verdacht, maar om zeker te zijn dat het iets met dit virus te maken had, ben ik toen via de kaspersky file manager (die ook op de rescue disk staat!) eens gaan kijken naar de datum van die exe file, en ja hoor, de datum en het uur was precies het moment waarop mijn pc voor het eerst geblokkeerd werd ! DUS heb ik via de file manager dat bestand verwijderd uit mijn system32 directory, en daarna ook via de registry editor die 2 registry-sleutels verwijderd. Daarna opnieuw geboot op normale wijze en.. voila...probleem opgelost ! Nogmaals hartelijk dank KAPE om mij ferm op weg te helpen naar de oplossing van dit probleem ! Nu, hoewel deze oplossing kan werken voor andere mensen met hetzelfde probleem, heb ik al gelezen op het internet dat het virus niet altijd op dezelfde manier te verwijderen is, en een andere computer soms een andere aanpak vereist. Maar als je hetzelfde bestand vind als mij onder de startup-items (0_0u_l.exe) dan is de kans volgens mij wel groot dat je het op deze manier zal kunnen oplossen. En zelfs al is de bestandsnaam niet dezelfde, het is zeker het proberen waard, want voor mij was het de perfecte oplossing. mvg, Chris

Dus als ik opstart in normale modus, krijg ik direct dat blokkeringsscherm en kan ik niets doen, en als ik probeer in om het even welke safe mode dan geraakt hij gewoon niet tot in windows omdat hij steeds blijft rebooten. met andere woorden, mijn enige mogelijkheid die ik nog heb is ofwel opstarten via een USB-stick met daar eventueel een applicatie op die het kan verwijderen, ofwel opstarten vanaf windows xp cd om dan van daaruit eventueel iets te doen. Ofwel het probleem van steeds rebooten in safe mode kunnen oplossen, om dan vanuit safe mode iets te kunnen doen. Ik kan niet windows herinstalleren, want op mijn laptop staan vele belangrijke documenten voor mijn werk, die ik absoluut nog nodig heb. Weet iemand aub een oplossing voor mij om alsnog het FCCU virus te kunnen verwijderen ? mvg, Chris.