kape

Heb je de Windows CD beschikbaar ? Kan je via Start -> Uitvoeren -> typ sfc /scannow de Windowsbestanden eens laten controleren (en eventueel herstellen).

Heb je soms de mogelijkheid om aan een ander beeldscherm te geraken en het huidige eens te vervangen. Want vooral die laatste melding zou wel eens kunnen wijzen op ernstige problemen met je beeldscherm.

Dit ziet er goed uit ... maar hoe staat het nu met de problemen ?

OK, dan zetten we hier een "slotje" op.

Ik heb je onderwerp even verplaatst naar de rubriek “Spyware & Virussen”, want daar hoort het duidelijk thuis. Ja, je hebt dus een flinke besmetting aan je broek (of rok) :s. Ga naar Start - Uitvoeren en tik in: sc stop ASKService Druk op Enter. Ga naar Start - Uitvoeren en tik in: sc delete ASKService Druk op Enter. Ga naar Start - Uitvoeren en tik in: sc stop ASKUpgrade Druk op Enter. Ga naar Start - Uitvoeren en tik in: sc delete ASKUpgrade Druk op Enter. Start Hijackthis op. Ben je gebruiker van Vista kies dan voor “Run as administrator" of "Uitvoeren als administrator". Selecteer “Do a system scan only”. Selecteer alleen de items die hieronder zijn genoemd: R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll O2 - BHO: Peer2Peer-NE Toolbar - {c0d70ed8-d984-40c3-9666-8939ce76ea13} - C:\Program Files\Peer2Peer-NE\tbPee0.dll O3 - Toolbar: Peer2Peer-NE Toolbar - {c0d70ed8-d984-40c3-9666-8939ce76ea13} - C:\Program Files\Peer2Peer-NE\tbPee0.dll O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKUS\S-1-5-19\..\RunOnce: [showDeskFix] regsvr32 /s /n /i:u shell32 (User 'Lokale service') O4 - HKUS\S-1-5-20\..\RunOnce: [showDeskFix] regsvr32 /s /n /i:u shell32 (User 'Netwerkservice') O4 - HKUS\S-1-5-18\..\RunOnce: [showDeskFix] regsvr32 /s /n /i:u shell32 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\RunOnce: [showDeskFix] regsvr32 /s /n /i:u shell32 (User 'Default user') O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe O9 - Extra button: MS-KB - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default...;EN-US;KBHOWTO (file missing) O9 - Extra 'Tools' menuitem: MS-KB - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default...;EN-US;KBHOWTO (file missing) O20 - AppInit_DLLs: C:\WINDOWS\System32\dimap32.dll O20 - Winlogon Notify: f84f58f9565 - C:\WINDOWS\System32\dimap32.dll Klik op 'Fix checked' om de items te verwijderen. Verwijder volgende vetgedrukte mappen met Windows Verkenner : C:\Program Files\AskBarDis C:\Program Files\Peer2Peer-NE C:\Program Files\PokerStars Download MBAM (Malwarebytes' Anti-Malware). Dubbelklik op mbam-setup.exe om het programma te installeren. Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien". Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden. Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan. Het scannen kan een tijdje duren, dus wees geduldig. Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien. Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde. Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder) De log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in MBAM. Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de computeropnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart. Plak de inhoud van het logje in je volgende bericht, samen met een nieuw HijackThis log.

Klein probleempje met je verhaal : outlook.exe is - bij mijn weten - een onderdeel van Outlook (behorend bij van MS Office) ... en verder heb je het over Outlook Express (wat een stand-alone mailprogramma is verbonden met Internet Explorer). Welk van de twee gebruik je nu effectief ? Is een wereld van verschil :s

Lijkt me niet het volledige log. Wil je eens kijken of er niets ontbreekt ?

Open een kladblokbestand. Kopieer en plak daarin de onderstaande vetgedrukte tekst. File:: c:\windows\Tasks\AB71CBF991D64225.job c:\windows\Tasks\BFCF24709134C60C.job c:\progra~1\junkhe~1\drive five mode.exe Driver:: SetupNTGLM7X Sla dit bestand op je bureaublad op als CFScript.txt. Sleep CFScript.txt in ComboFix.exe Dit zal ComboFix doen herstarten. Start opnieuw op als dat gevraagd wordt. Post na herstart de inhoud van de Combofix.txt in je volgende bericht samen met een nieuw logje van HijackThis.

Je werkt nog met een oude versie van HiJackThis. Download de meest actuele versie van HiJackThis hier. Download Combofix naar je Bureaublad. Lees hier meer over correct gebruik van Combofix. OPMERKING: indien je, tijdens of na het downloaden van Combofix of tijdens het gebruik van Combofix een melding krijgt van je Antivirus- of een andere realtime scanner, schakel dan deze scanner uit en download Combofix opnieuw. Sommige scanners zien bepaalde componenten die Combofix gebruikt als verdacht en gaan deze blokkeren of verwijderen! Dubbelklik op Combofix.exe om het te starten. Indien je Combofix al eerder hebt gebruikt, kan je een waarschuwing krijgen dat een update beschikbaar is. Sta toe dat ComboFix wordt geupdate. Volg de instructies, aanvaard de disclaimer door op Ja te klikken. Indien de Recovery Console niet geïnstalleerd is, wordt je gevraagd om dit alsnog te doen door op JA te klikken in het "Query - Recovery Console" venster (enkel voor XP, niet voor VISTA). Klik op OK en Ja om automatisch de Recovery Console te laten installeren. Klik na afloop terug op Ja om het scannen op malware te starten. Tijdens het runnen van de fix, NIET in het venster klikken, want dit zal je pc doen vasthangen. Wanneer de fix voltooid is en na herstart, zal de log Combofix.txt openen. Post dit logje in je volgende antwoord.

Start Hijackthis op. Ben je gebruiker van Vista kies dan voor “Run as administrator" of "Uitvoeren als administrator". Selecteer “Do a system scan only”. Selecteer alleen de items die hieronder zijn genoemd: R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: (no name) - {12D0709C-3BBF-D0D0-F961-712572FC12B3} - (no file) O2 - BHO: (no name) - {4913853A-A661-D488-AF58-6AC3B6298A7F} - (no file) O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 –k O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing) Klik op 'Fix checked' om de items te verwijderen. Download MBAM (Malwarebytes' Anti-Malware). Dubbelklik op mbam-setup.exe om het programma te installeren. Zorg ervoor dat er een vinkje geplaatst is voor Update Malwarebytes' Anti-Malware en Start Malwarebytes' Anti-Malware, Klik daarna op "Voltooien". Indien een update gevonden werd, zal die gedownload en geïnstalleerd worden. Wanneer het programma volledig up to date is, selecteer dan in het tabblad Scanner : "Snelle Scan", daarna klik op Scan. Het scannen kan een tijdje duren, dus wees geduldig. Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien. Zorg ervoor dat daar alles aangevinkt is, daarna klik op: Verwijder geselecteerde. Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten. (Zie verder) De log wordt automatisch bewaard door MBAM en kan je terugvinden door op de "Logs" tab te klikken in MBAM. Indien MBAM moeilijkheden heeft met het verwijderen van bepaalde bestanden zal het enkele meldingen geven waar je OK moet klikken. Daarna zal het vragen om de computeropnieuw op te starten... dus sta toe dat MBAM de computer opnieuw opstart. Plak de inhoud van het logje in je volgende bericht, samen met een nieuw HijackThis log.

Dit logje ziet er nu goed uit. Combofix heeft zijn werk gedaan. Nu even afwachten of hiermee ook je problemen opgelost zijn. Ondertussen mag je de resten van de besmetting al opruimen : Verwijder Combofix: Start -> Uitvoeren en typ: combofix /u Dit zal Combofix verwijderen + gerelateerde mappen en bestanden, herstelt de klokinstellingen opnieuw, verbergt de bestandsextensies, gaat verborgen bestanden en systeembestanden terug verbergen en maakt een nieuw herstelpunt. Download CCleaner. Installeer het en start CCleaner op. Klik in de linkse kolom op “Cleaner”. Klik achtereenvolgens op ‘Analyseren’ en 'Opschonen'. Klik vervolgens in de linkse kolom op “Register” en klik op ‘Scan naar problemen”. Als er fouten gevonden worden klik je op ”Herstel geselecteerde problemen” en ”OK”. Dan krijg je de vraag om een back-up te maken. Klik op “JA”. Kies dan “Herstel alle geselecteerde fouten”. Sluit hierna CCleaner terug af. Het is aangewezen om de bestaande herstelpunten te verwijderen (daar zitten besmette herstelpunten tussen die je eventueel zou kunnen terugzetten) door systeemherstel tijdelijk uit te schakelen. Doe dit via Start -> Configuratiescherm -> Systeem -> Systeemherstel -> "Systeemherstel op alle stations uitschakelen" aanvinken. Toepassen en OK. PC herstarten en het vinkje terug weg halen. That's it !

Een aantal mogelijkheden : File Restore - Recover Deleted Files, File Recovery Software, Photo Recovery, iPod recovery, Undelete Files, Undelete Photos Recuva - Undelete, Unerase, File Recovery - Download UNERASER. Data Recovery Software. Undelete Utility. Hard Drive Recovery. Data Recovery Software and Undelete from R-TT FreeUndelete - OfficeRecovery.com Undelete - Reliable File Recovery Recover Data Recovery- Undelete & Recover deleted files from your FAT 12/16/32 Hardisks CONVAR & PCinspector Data Recovery Datenrettung recupero dati datarecovery rcupration donnes http://www.snapfiles.com/get/restoration.html CodeGuru: Deleting Locked Files

Dat lijkt te kloppen, twee "schoonheidsfoutjes" mag je verwijderen met HiJackThis en wil je - voor alle zekerheid - ook even Combofix laten scannen. Start Hijackthis op. Ben je gebruiker van Vista kies dan voor “Run as administrator" of "Uitvoeren als administrator". Selecteer “Do a system scan only”. Selecteer alleen de items die hieronder zijn genoemd: O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) Klik op 'Fix checked' om de items te verwijderen. Download Combofix naar je Bureaublad. Lees hier meer over correct gebruik van Combofix. OPMERKING: indien je, tijdens of na het downloaden van Combofix of tijdens het gebruik van Combofix een melding krijgt van je Antivirus- of een andere realtime scanner, schakel dan deze scanner uit en download Combofix opnieuw. Sommige scanners zien bepaalde componenten die Combofix gebruikt als verdacht en gaan deze blokkeren of verwijderen! Dubbelklik op Combofix.exe om het te starten. Indien je Combofix al eerder hebt gebruikt, kan je een waarschuwing krijgen dat een update beschikbaar is. Sta toe dat ComboFix wordt geupdate. Volg de instructies, aanvaard de disclaimer door op Ja te klikken. Indien de Recovery Console niet geïnstalleerd is, wordt je gevraagd om dit alsnog te doen door op JA te klikken in het "Query - Recovery Console" venster (enkel voor XP, niet voor VISTA). Klik op OK en Ja om automatisch de Recovery Console te laten installeren. Klik na afloop terug op Ja om het scannen op malware te starten. Tijdens het runnen van de fix, NIET in het venster klikken, want dit zal je pc doen vasthangen. Wanneer de fix voltooid is en na herstart, zal de log Combofix.txt openen. Post dit logje in je volgende antwoord.

Wil je nu je paswoord van MSN eens wijzigen ... en dan eens kijken wat er gebeurt.

Ga naar Start - Uitvoeren en tik in: sc stop NMSAccess Druk op Enter. Ga naar Start - Uitvoeren en tik in: sc delete NMSAccess Druk op Enter. Start Hijackthis op. Ben je gebruiker van Vista kies dan voor “Run as administrator" of "Uitvoeren als administrator". Selecteer “Do a system scan only”. Selecteer alleen de items die hieronder zijn genoemd: O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - .DEFAULT User Startup: AutoTBar.exe (User 'Default user') Klik op 'Fix checked' om de items te verwijderen. Verwijder volgende vetgedrukte mappen met Windows Verkenner : C:\Program Files\Cheetah Burner C:\Program Files\iTunes Maak een nieuw log met HiJackThis en hang dit aan je volgende bericht.

Heb je al eens grondig naar malware gescand. Begin anders eens met dit : Download HiJackThis Dubbelklik op HJTInstall.exe Hijackthis wordt nu op je PC geïnstalleerd, een snelkoppeling wordt op je bureaublad geplaatst. Klik op "Do a systemscan and save a logfile". en hang dit logje aan je volgende bericht. NB. Ben je een gebruiker van Windows Vista dan moet je eerst rechtsklikken op HijackThis.exe en dan kiezen voor "Run as Administrator".

Dit ziet er prima uit. Zijn hiermee ook de problemen opgelost ?

EDIT : log ontvangen via mail. comboFix 09-04-04.01 - Felix 2009-04-12 0:33:44.5 - NTFSx86 MINIMAL Microsoft Windows XP Professional 5.1.2600.0.1252.31.1043.18.127.60 [GMT 2:00] Gestart vanuit: c:\documents and settings\Felix\Bureaublad\ComboFix.exe gebruikte Opdracht switches :: c:\documents and settings\Felix\Bureaublad\CFScript.txt..txt FILE :: c:\windows\Setup1.exe c:\windows\system32\drivers\aec.sys . (((((((((((((((((((((((((((((((((( Andere Verwijderingen ))))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\Setup1.exe c:\windows\system32\drivers\aec.sys . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Service_aec (((((((((((((((((((( Bestanden Gemaakt van 2009-03-11 to 2009-04-11 )))))))))))))))))))))))))))))) . 2009-04-12 00:28 . 2009-04-12 00:28 <DIR> d-------- c:\documents and settings\Administrator 2009-04-07 22:02 . 2009-04-07 22:02 395 --a------ c:\windows\ODBC.INI 2009-04-07 21:56 . 2009-04-07 21:58 <DIR> d-------- c:\windows\ShellNew 2009-04-07 19:40 . 2009-04-07 19:40 <DIR> d-------- c:\program files\NOS 2009-04-07 19:40 . 2009-04-07 19:40 <DIR> d-------- c:\documents and settings\All Users\Application Data\NOS 2009-04-06 22:14 . 2009-04-06 22:14 <DIR> d-------- c:\documents and settings\Felix\Application Data\MSN6 2009-04-06 22:14 . 2009-04-06 22:14 <DIR> d-------- c:\documents and settings\All Users\Application Data\MSN6 2009-04-06 16:08 . 2009-04-06 16:08 754 --a------ c:\windows\WORDPAD.INI 2009-04-05 22:24 . 2009-04-05 22:24 <DIR> d-------- c:\documents and settings\Felix\Application Data\Malwarebytes 2009-04-05 22:24 . 2009-04-05 22:24 <DIR> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes 2009-04-03 15:02 . 2009-04-03 15:02 <DIR> d-------- c:\program files\Trend Micro 2009-04-02 20:50 . 2008-11-06 02:03 <DIR> d-------- C:\SDFix 2009-04-02 19:40 . 2009-04-02 19:40 <DIR> d-------- C:\VundoFix Backups 2009-04-02 18:55 . 2001-08-17 22:03 21,760 --a--c--- c:\windows\system32\dllcache\usbstor.sys 2009-04-02 17:51 . 2009-04-02 17:51 <DIR> d---s---- c:\documents and settings\Felix\UserData 2009-04-02 15:11 . 2009-04-02 15:11 <DIR> d-------- c:\program files\MSN Messenger 2009-04-02 15:03 . 2001-08-18 00:00 159,232 --a------ c:\windows\system32\drivers\kmixer.sys 2009-04-02 15:03 . 2001-08-18 08:24 79,616 --a------ c:\windows\system32\drivers\wdmaud.sys 2009-04-02 15:03 . 2001-08-18 08:24 57,472 --a------ c:\windows\system32\drivers\sysaudio.sys 2009-04-02 15:03 . 2001-08-17 23:48 6,400 --a------ c:\windows\system32\drivers\MSKSSRV.sys 2009-04-02 15:03 . 2001-08-17 23:48 5,120 --a------ c:\windows\system32\drivers\MSPCLOCK.sys 2009-04-02 15:03 . 2001-08-18 00:01 2,816 --a------ c:\windows\system32\drivers\drmkaud.sys 2009-04-02 15:02 . 2001-08-17 23:28 802,683 --a------ c:\windows\system32\drivers\LTSM.sys 2009-04-02 15:02 . 2001-08-18 00:00 54,272 --a------ c:\windows\system32\drivers\swmidi.sys 2009-04-02 15:02 . 2001-08-17 23:59 50,048 --a------ c:\windows\system32\drivers\DMusic.sys 2009-04-02 15:02 . 2001-08-18 00:00 5,632 --a------ c:\windows\system32\drivers\splitter.sys 2009-04-02 15:02 . 2001-08-17 23:48 4,608 --a------ c:\windows\system32\drivers\MSPQM.sys 2009-04-02 15:02 . 2001-08-17 23:59 3,072 --a------ c:\windows\system32\drivers\audstub.sys 2009-04-02 15:01 . 2001-09-06 23:26 382,592 --a------ c:\windows\system32\atidrab.dll 2009-04-02 15:01 . 2001-09-06 20:30 289,920 --a------ c:\windows\system32\drivers\atimpab.sys 2009-04-02 15:01 . 2001-09-06 22:32 56,320 --a------ c:\windows\system32\drivers\redbook.sys 2009-04-02 15:01 . 2001-09-06 23:27 37,376 --a------ c:\windows\system32\atievxx.exe 2009-04-02 15:00 . 2001-08-17 22:19 230,912 --a------ c:\windows\system32\drivers\ac97ali.sys 2009-04-02 15:00 . 2001-08-18 08:24 135,040 --a------ c:\windows\system32\drivers\portcls.sys 2009-04-02 15:00 . 2001-09-06 23:27 117,248 --a------ c:\windows\system32\ksproxy.ax 2009-04-02 15:00 . 2001-09-06 23:27 69,120 --a------ c:\windows\system32\usbui.dll 2009-04-02 15:00 . 2001-08-18 00:01 57,344 --a------ c:\windows\system32\drivers\drmk.sys 2009-04-02 15:00 . 2001-08-17 23:58 27,648 --a------ c:\windows\system32\drivers\ALIM1541.SYS 2009-04-02 15:00 . 2001-09-06 20:56 27,164 --a------ c:\windows\system32\drivers\CE3N5.SYS 2009-04-02 15:00 . 2001-09-06 23:26 4,096 --a------ c:\windows\system32\ksuser.dll . ((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-04-02 11:58 73,216 ----a-w c:\windows\ST6UNST.EXE 2009-04-02 11:58 --------- d-----w c:\program files\Agenda 2009-04-02 11:56 --------- d--h--w c:\program files\InstallShield Installation Information 2009-04-02 11:56 --------- d-----w c:\program files\directx 2009-04-02 11:56 --------- d-----w c:\program files\Aashima 2009-04-02 11:42 --------- d-----w c:\program files\Common Files\Funk Software 2009-04-02 11:41 --------- d-----w c:\program files\Linksys 2009-04-02 11:41 --------- d-----w c:\program files\Funk Software 2009-04-02 11:41 --------- d-----w c:\program files\Common Files\InstallShield 2009-04-02 11:24 --------- d-----w c:\program files\microsoft frontpage . ((((((((((((((((((((((((((((( SnapShot_2009-04-09_23.29.37,39 ))))))))))))))))))))))))))))))))))))))))) . + 2005-10-20 18:02:28 163,328 ----a-w c:\windows\ERDNT\subs\ERDNT.EXE - 2009-04-09 20:23:57 16,384 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat + 2009-04-11 22:38:45 16,384 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat - 2009-04-09 20:23:57 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Geschiedenis\History.IE5\index.dat + 2009-04-11 22:38:45 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Geschiedenis\History.IE5\index.dat - 2009-04-09 20:23:57 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat + 2009-04-11 22:40:14 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat . ((((((((((((((((((((((((((((((((((((( Reg Opstartpunten ))))))))))))))))))))))))))))))))))))))))))))))))))) . . *Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\ctfmon.exe" [2001-09-07 13312] "MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2001-08-02 1077277] "MsnMsgr"="c:\program files\MSN Messenger\MsnMsgr.Exe" [2007-09-04 6856704] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2001-09-07 13312] c:\documents and settings\All Users\Menu Start\Programma's\Opstarten\ Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360] Wireless-G Notebook Adapter.lnk - c:\program files\Linksys\Wireless-G Notebook Adapter\Gcc.exe [2009-04-02 36864] R3 LucentSoftModem;Lucent Technologies Soft Modem;c:\windows\system32\drivers\LTSM.sys [2009-04-02 802683] S3 getPlus® Helper;getPlus® Helper;c:\program files\NOS\bin\getPlus_HelperSvc.exe [2009-04-07 33176] . . ------- Bijkomende Scan ------- . uStart Page = hxxp://www.google.be/ IE: E&xporteren naar Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000 IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm . ************************************************************************** catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-04-12 00:39:34 Windows 5.1.2600 NTFS scannen van verborgen processen ... scannen van verborgen autostart items ... scannen van verborgen bestanden ... Scan succesvol afgerond verborgen bestanden: 0 ************************************************************************** . --------------------- DLLs Geladen Onder Lopende Processen --------------------- - - - - - - - > 'winlogon.exe'(780) c:\windows\system32\ODBC32.dll c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll c:\program files\Funk Software\Funk Client\odLogin.dll - - - - - - - > 'lsass.exe'(856) c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll c:\windows\System32\dssenh.dll . ------------------------ Andere Aktieve Processen ------------------------ . c:\windows\system32\atievxx.exe c:\program files\Linksys\Wireless-G Notebook Adapter\NICServ.exe . ************************************************************************** . Voltooingstijd: 2009-04-12 0:43:51 - machine werd herstart ComboFix-quarantined-files.txt 2009-04-11 22:43:45 ComboFix2.txt 2009-04-11 18:57:20 ComboFix3.txt 2009-04-09 21:31:27 ComboFix4.txt 2009-04-07 19:33:36 ComboFix5.txt 2009-04-11 22:32:33 Pre-Run: 2.983.489.536 bytes beschikbaar Post-Run: 2,844,786,688 bytes beschikbaar 141 Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 0:45:53, on 12/04/2009 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\atievxx.exe C:\Program Files\Linksys\Wireless-G Notebook Adapter\NICServ.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\MSN Messenger\MsnMsgr.Exe C:\Program Files\Linksys\Wireless-G Notebook Adapter\Gcc.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\explorer.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Wireless-G Notebook Adapter.lnk = C:\Program Files\Linksys\Wireless-G Notebook Adapter\Gcc.exe O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab O23 - Service: getPlus® Helper - NOS Microsystems Ltd. - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe O23 - Service: NICSer_WPC54G - Unknown owner - C:\Program Files\Linksys\Wireless-G Notebook Adapter\NICServ.exe -- End of file - 2798 bytes

Logje van HiJackThis ziet er goed uit. Het inbrengen van het Combofix-scriptje heeft niet gewerkt. Wil je dat nog eens herhalen en liefst in "veilige" modus.

EDIT : ontvangen via mail ComboFix 09-04-04.01 - Felix 2009-04-11 20:51:12.4 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.0.1252.31.1043.18.127.43 [GMT 2:00] Gestart vanuit: c:\documents and settings\Felix\Bureaublad\ComboFix.exe gebruikte Opdracht switches :: c:\documents and settings\Felix\Bureaublad\ComboFix.exe c:\documents and settings\Felix\Bureaublad\CFScript.txt * Nieuw herstelpunt werd aangemaakt . (((((((((((((((((((( Bestanden Gemaakt van 2009-03-11 to 2009-04-11 )))))))))))))))))))))))))))))) . 2009-04-11 20:48 . 2009-04-11 20:48 386,560 --a------ c:\windows\system32\CF4445.exe 2009-04-07 22:02 . 2009-04-07 22:02 395 --a------ c:\windows\ODBC.INI 2009-04-07 21:56 . 2009-04-07 21:58 <DIR> d-------- c:\windows\ShellNew 2009-04-07 19:40 . 2009-04-07 19:40 <DIR> d-------- c:\program files\NOS 2009-04-07 19:40 . 2009-04-07 19:40 <DIR> d-------- c:\documents and settings\All Users\Application Data\NOS 2009-04-06 22:14 . 2009-04-06 22:14 <DIR> d-------- c:\documents and settings\Felix\Application Data\MSN6 2009-04-06 22:14 . 2009-04-06 22:14 <DIR> d-------- c:\documents and settings\All Users\Application Data\MSN6 2009-04-06 16:08 . 2009-04-06 16:08 754 --a------ c:\windows\WORDPAD.INI 2009-04-05 22:24 . 2009-04-05 22:24 <DIR> d-------- c:\documents and settings\Felix\Application Data\Malwarebytes 2009-04-05 22:24 . 2009-04-05 22:24 <DIR> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes 2009-04-03 15:02 . 2009-04-03 15:02 <DIR> d-------- c:\program files\Trend Micro 2009-04-02 20:50 . 2008-11-06 02:03 <DIR> d-------- C:\SDFix 2009-04-02 19:40 . 2009-04-02 19:40 <DIR> d-------- C:\VundoFix Backups 2009-04-02 18:55 . 2001-08-17 22:03 21,760 --a--c--- c:\windows\system32\dllcache\usbstor.sys 2009-04-02 17:51 . 2009-04-02 17:51 <DIR> d---s---- c:\documents and settings\Felix\UserData 2009-04-02 15:11 . 2009-04-02 15:11 <DIR> d-------- c:\program files\MSN Messenger 2009-04-02 15:03 . 2001-08-18 00:00 159,232 --a------ c:\windows\system32\drivers\kmixer.sys 2009-04-02 15:03 . 2001-08-18 08:24 79,616 --a------ c:\windows\system32\drivers\wdmaud.sys 2009-04-02 15:03 . 2001-08-18 08:24 57,472 --a------ c:\windows\system32\drivers\sysaudio.sys 2009-04-02 15:03 . 2001-08-17 23:48 6,400 --a------ c:\windows\system32\drivers\MSKSSRV.sys 2009-04-02 15:03 . 2001-08-17 23:48 5,120 --a------ c:\windows\system32\drivers\MSPCLOCK.sys 2009-04-02 15:03 . 2001-08-18 00:01 2,816 --a------ c:\windows\system32\drivers\drmkaud.sys 2009-04-02 15:02 . 2001-08-17 23:28 802,683 --a------ c:\windows\system32\drivers\LTSM.sys 2009-04-02 15:02 . 2001-07-24 03:25 122,472 --a------ c:\windows\system32\drivers\aec.sys 2009-04-02 15:02 . 2001-08-18 00:00 54,272 --a------ c:\windows\system32\drivers\swmidi.sys 2009-04-02 15:02 . 2001-08-17 23:59 50,048 --a------ c:\windows\system32\drivers\DMusic.sys 2009-04-02 15:02 . 2001-08-18 00:00 5,632 --a------ c:\windows\system32\drivers\splitter.sys 2009-04-02 15:02 . 2001-08-17 23:48 4,608 --a------ c:\windows\system32\drivers\MSPQM.sys 2009-04-02 15:02 . 2001-08-17 23:59 3,072 --a------ c:\windows\system32\drivers\audstub.sys 2009-04-02 15:01 . 2001-09-06 23:26 382,592 --a------ c:\windows\system32\atidrab.dll 2009-04-02 15:01 . 2001-09-06 20:30 289,920 --a------ c:\windows\system32\drivers\atimpab.sys 2009-04-02 15:01 . 2001-09-06 22:32 56,320 --a------ c:\windows\system32\drivers\redbook.sys 2009-04-02 15:01 . 2001-09-06 23:27 37,376 --a------ c:\windows\system32\atievxx.exe 2009-04-02 15:00 . 2001-08-17 22:19 230,912 --a------ c:\windows\system32\drivers\ac97ali.sys 2009-04-02 15:00 . 2001-08-18 08:24 135,040 --a------ c:\windows\system32\drivers\portcls.sys 2009-04-02 15:00 . 2001-09-06 23:27 117,248 --a------ c:\windows\system32\ksproxy.ax 2009-04-02 15:00 . 2001-09-06 23:27 69,120 --a------ c:\windows\system32\usbui.dll 2009-04-02 15:00 . 2001-08-18 00:01 57,344 --a------ c:\windows\system32\drivers\drmk.sys 2009-04-02 15:00 . 2001-08-17 23:58 27,648 --a------ c:\windows\system32\drivers\ALIM1541.SYS 2009-04-02 15:00 . 2001-09-06 20:56 27,164 --a------ c:\windows\system32\drivers\CE3N5.SYS 2009-04-02 15:00 . 2001-09-06 23:26 4,096 --a------ c:\windows\system32\ksuser.dll . ((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-04-02 11:58 73,216 ----a-w c:\windows\ST6UNST.EXE 2009-04-02 11:58 249,856 ------w c:\windows\Setup1.exe 2009-04-02 11:58 --------- d-----w c:\program files\Agenda 2009-04-02 11:56 --------- d--h--w c:\program files\InstallShield Installation Information 2009-04-02 11:56 --------- d-----w c:\program files\directx 2009-04-02 11:56 --------- d-----w c:\program files\Aashima 2009-04-02 11:42 --------- d-----w c:\program files\Common Files\Funk Software 2009-04-02 11:41 --------- d-----w c:\program files\Linksys 2009-04-02 11:41 --------- d-----w c:\program files\Funk Software 2009-04-02 11:41 --------- d-----w c:\program files\Common Files\InstallShield 2009-04-02 11:24 --------- d-----w c:\program files\microsoft frontpage . ((((((((((((((((((((((((((((( SnapShot_2009-04-09_23.29.37,39 ))))))))))))))))))))))))))))))))))))))))) . - 2009-04-09 20:23:57 16,384 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat + 2009-04-11 18:35:05 16,384 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat - 2009-04-09 20:23:57 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Geschiedenis\History.IE5\index.dat + 2009-04-11 18:35:05 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Geschiedenis\History.IE5\index.dat - 2009-04-09 20:23:57 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat + 2009-04-11 18:35:05 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat . ((((((((((((((((((((((((((((((((((((( Reg Opstartpunten ))))))))))))))))))))))))))))))))))))))))))))))))))) . . *Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\ctfmon.exe" [2001-09-07 13312] "MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2001-08-02 1077277] "MsnMsgr"="c:\program files\MSN Messenger\MsnMsgr.Exe" [2007-09-04 6856704] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2001-09-07 13312] c:\documents and settings\All Users\Menu Start\Programma's\Opstarten\ Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360] Wireless-G Notebook Adapter.lnk - c:\program files\Linksys\Wireless-G Notebook Adapter\Gcc.exe [2009-04-02 36864] R3 LucentSoftModem;Lucent Technologies Soft Modem;c:\windows\system32\drivers\LTSM.sys [2009-04-02 802683] S3 getPlus® Helper;getPlus® Helper;c:\program files\NOS\bin\getPlus_HelperSvc.exe [2009-04-07 33176] . . ------- Bijkomende Scan ------- . uStart Page = hxxp://www.google.be/ IE: E&xporteren naar Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000 IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm . ************************************************************************** catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-04-11 20:54:16 Windows 5.1.2600 NTFS scannen van verborgen processen ... scannen van verborgen autostart items ... scannen van verborgen bestanden ... Scan succesvol afgerond verborgen bestanden: 0 ************************************************************************** . --------------------- DLLs Geladen Onder Lopende Processen --------------------- - - - - - - - > 'winlogon.exe'(896) c:\windows\system32\ODBC32.dll c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll c:\program files\Funk Software\Funk Client\odLogin.dll - - - - - - - > 'lsass.exe'(964) c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll c:\windows\System32\dssenh.dll . Voltooingstijd: 2009-04-11 20:57:17 ComboFix-quarantined-files.txt 2009-04-11 18:57:13 ComboFix2.txt 2009-04-09 21:31:27 ComboFix3.txt 2009-04-07 19:33:36 ComboFix4.txt 2009-04-07 17:27:03 Pre-Run: 2,888,536,064 bytes beschikbaar Post-Run: 2,894,032,896 bytes beschikbaar 124 Hijackthis log. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:10:47, on 11/04/2009 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Linksys\Wireless-G Notebook Adapter\Gcc.exe C:\WINDOWS\System32\atievxx.exe C:\Program Files\Linksys\Wireless-G Notebook Adapter\NICServ.exe C:\WINDOWS\explorer.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Wireless-G Notebook Adapter.lnk = C:\Program Files\Linksys\Wireless-G Notebook Adapter\Gcc.exe O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab O23 - Service: getPlus® Helper - NOS Microsystems Ltd. - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe O23 - Service: NICSer_WPC54G - Unknown owner - C:\Program Files\Linksys\Wireless-G Notebook Adapter\NICServ.exe -- End of file - 2732 bytes

Af en toe nog wel even hier op het forum komen kijken, hé :D:D

OK, dan kan ik hem een heel eind volgen ... maar hoe kan je als doorsnee PC-gebruiker weten wat zinvol en niet zinvol is ? En hoe kom je te weten dat een update verantwoordelijk is voor een crash ? Moeilijke vragen ... vooral op het moment dat de updates aangeboden worden :s

Over welke updates heeft uw buurman het dan ? Een update voor een antivirusprogramma lijkt me bvb. al onontbeerlijk. Over een servicepack van Windows kan je misschien wel eens een discussie opzetten. En er zullen ongetwijfeld hier en daar updates zijn die je aan je voorbij kan laten gaan. Maar als "algemene regel" lijkt me dat voor een computerspecialist toch wel wat kort door de bocht :s

En dan heb je dit nog niet gezien

Neen ... maar uit de meeste berichten blijkt ook dat procentueel gezien vooral Amerika en Azië getroffen zijn door het virus, al zijn er ook in Europa een aantal grote organisaties bekend die het binnengehaald hebben.