Ecops (3)

[JoanMiro]

Kape,...

Ik heb al een klein vreugdedansje gedaan in de garage tijdens het scannen met MBAM. Bij deze nog eens bedankt voor al je moeite en tijd tot nog toe.

Een kleine stand van zaken voor de volledigheid...

(1) de sc stop "Boonty Games" gaf een foutmelding, nl.: [sC] ControleService FAILED 1062 (De service is niet gestart)

(2) de sc delete "Boonty Games" was een succes!

(3) zowel sc stop BOONTY als sc delete BOONTY gaf een foutmelding, nl.: OpenService failed 1060 (de opgegeven service is geen geïnstalleerde service)

(4) Ik heb de aangeduide zaken via HijackThis verwijderd via "Fix Checked"

(5) Ik wist absoluut niet hoe ik de map C:\Program Files\Ask.com moest verwijderen, dus ik ben dan maar aan het improviseren geslagen en heb de 4 commando's uitgeprobeerd die je had bescreven i.v.m. dat Boonty Games geval, nl. sc stop "Ask.com", sc delete "Ask.com", sc stop ASK, sc delete ASK -- maar dat gaf allemaal niets...

(6) dan de MBAM gestart -- ik klikte op voltooien en er kwam een foutmelding, nl. PROGRAM_ERROR_UPDATING (11004,0,No address found). M'n computer was niet in staat een internetverbinding te leggen zodat het programma kon updaten.

(7) Ik heb gewoon de eerder uitgelegde instructies gevolgd i.v.m. MBAM: snelle scan en de ongeveer 47 (of 57?) bestanden verwijderd en de computer terug opgestart.

(8) nieuwe Hijack log aangemaakt

(9) Off-topic: dan heb ik m'n computer afgezet en terug opgestart in gewone modus, maar de virtuele pest en de cholera staat er nog op. Ik was gewoon curieus...

Dus... nu m'n twee nieuwe aangelegde logjes:

1° MBAM log

Malwarebytes Anti-Malware 1.60.1.1000

www.malwarebytes.org

Databaseversie: v2012.01.13.04

Windows XP Service Pack 2 x86 NTFS (Veilige modus)

Internet Explorer 6.0.2900.2180

Administrator :: JAN [administrator]

10/03/2012 21:55:50

mbam-log-2012-03-10 (21-55-50).txt

Scantype: Snelle scan

Ingeschakelde scanopties: Geheugen | Opstartitems | Register | Bestanden en mappen | Heuristiek/Extra | Heuristiek/Shuriken | PUP | PUM

Uitgeschakelde scanopties: P2P

Objecten gescand: 215755

Verstreken tijd: 15 minuut/minuten, 3 seconde(n)

Geheugenprocessen gedetecteerd: 0

(Geen kwaadaardige objecten gedetecteerd)

Geheugenmodulen gedetecteerd: 0

(Geen kwaadaardige objecten gedetecteerd)

Registersleutels gedetecteerd: 2

HKCR\RXToolBar.TBInfo (Adware.RXToolbar) -> Succesvol in quarantaine geplaatst en verwijderd.

HKCR\RXToolBar.TBInfo.1 (Adware.RXToolbar) -> Succesvol in quarantaine geplaatst en verwijderd.

Registerwaarden gedetecteerd: 0

(Geen kwaadaardige objecten gedetecteerd)

Registerdata gedetecteerd: 2

HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Slecht: (1) Goed: (0) -> Succesvol in quarantaine geplaatst en gerepareerd.

HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Slecht: (1) Goed: (0) -> Succesvol in quarantaine geplaatst en gerepareerd.

Mappen gedetecteerd: 4

C:\Documents and Settings\Jan\Application Data\Rapid Antivirus (Rogue.RapidAntiVirus) -> Succesvol in quarantaine geplaatst en verwijderd.

C:\Program Files\RXToolBar (Adware.RXToolbar) -> Succesvol in quarantaine geplaatst en verwijderd.

C:\Program Files\RXToolBar\graphics (Adware.RXToolbar) -> Succesvol in quarantaine geplaatst en verwijderd.

C:\Program Files\RXToolBar\HTML (Adware.RXToolbar) -> Succesvol in quarantaine geplaatst en verwijderd.

Bestanden gedetecteerd: 19

C:\WINDOWS\system32\TDSSegdq.dll (Rootkit.TDSS) -> Succesvol in quarantaine geplaatst en verwijderd.

C:\sooi832.bin\CA0A4982F46.exe (Trojan.Spyeyes) -> Succesvol in quarantaine geplaatst en verwijderd.

C:\Documents and Settings\Jan\Local Settings\Temp\wpbt0.dll (Exploit.Drop) -> Succesvol in quarantaine geplaatst en verwijderd.

C:\Documents and Settings\Jan\Application Data\Rapid Antivirus\Rapid Antivirus.ini (Rogue.RapidAntiVirus) -> Succesvol in quarantaine geplaatst en verwijderd.

C:\Program Files\RXToolBar\rx.xml (Adware.RXToolbar) -> Succesvol in quarantaine geplaatst en verwijderd.

C:\Program Files\RXToolBar\rxtoolbar.cfg (Adware.RXToolbar) -> Succesvol in quarantaine geplaatst en verwijderd.

C:\Program Files\RXToolBar\rxwebsearches.xsl (Adware.RXToolbar) -> Succesvol in quarantaine geplaatst en verwijderd.

C:\Program Files\RXToolBar\sfcont.bin (Adware.RXToolbar) -> Succesvol in quarantaine geplaatst en verwijderd.

C:\Program Files\RXToolBar\graphics\additional.gif (Adware.RXToolbar) -> Succesvol in quarantaine geplaatst en verwijderd.

C:\Program Files\RXToolBar\graphics\additional_active.gif (Adware.RXToolbar) -> Succesvol in quarantaine geplaatst en verwijderd.

C:\Program Files\RXToolBar\graphics\background.jpg (Adware.RXToolbar) -> Succesvol in quarantaine geplaatst en verwijderd.

C:\Program Files\RXToolBar\graphics\blue_hr_horz.GIF (Adware.RXToolbar) -> Succesvol in quarantaine geplaatst en verwijderd.

C:\Program Files\RXToolBar\graphics\gray_hr_horz.GIF (Adware.RXToolbar) -> Succesvol in quarantaine geplaatst en verwijderd.

C:\Program Files\RXToolBar\graphics\thumbtack.gif (Adware.RXToolbar) -> Succesvol in quarantaine geplaatst en verwijderd.

C:\Program Files\RXToolBar\graphics\thumbtack_active.gif (Adware.RXToolbar) -> Succesvol in quarantaine geplaatst en verwijderd.

C:\Program Files\RXToolBar\graphics\thumbtack_click.gif (Adware.RXToolbar) -> Succesvol in quarantaine geplaatst en verwijderd.

C:\Program Files\RXToolBar\HTML\content.htm (Adware.RXToolbar) -> Succesvol in quarantaine geplaatst en verwijderd.

C:\Program Files\RXToolBar\HTML\main.htm (Adware.RXToolbar) -> Succesvol in quarantaine geplaatst en verwijderd.

C:\WINDOWS\system32\TDSSdfnd.dll (Rootkit.TDSS) -> Succesvol in quarantaine geplaatst en verwijderd.

(einde)

2° M'n nieuwe HijackThis log:

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 22:18:45, on 10/03/2012

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Safe mode

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\cmd.exe

H:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Sony: Community: Welcome to the Sony Community for Computing

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen

O1 - Hosts: ::1 localhost

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Windows Live Aanmelden - Help - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll

O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll

O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll

O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe

O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [sonyPowerCfg] C:\Program Files\Sony\VAIO Power Management\SPMgr.exe

O4 - HKLM\..\Run: [iSBMgr.exe] C:\Program Files\Sony\ISB Utility\ISBMgr.exe

O4 - HKLM\..\Run: [VAIO Update 2] "C:\Program Files\Sony\VAIO Update 2\VAIOUpdt.exe" /Stationary

O4 - HKLM\..\Run: [PDService.exe] C:\Program Files\Utimaco\SafeGuard PrivateDisk\pdservice.exe

O4 - HKLM\..\Run: [urlLSTCK.exe] C:\Program Files\Norton Internet Security\UrlLstCk.exe

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [ssAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb01.exe

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup

O4 - HKLM\..\Run: [symantec PIF AlertEng] "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"

O4 - HKLM\..\Run: [Norton Ghost 10.0] "C:\Program Files\Norton Ghost\Agent\GhostTray.exe"

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Ask and Record FLV Service] "C:\Program Files\Ask & Record Toolbar\FLVSrvc.exe" /run

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"

O4 - HKLM\..\RunOnce: [Malwarebytes Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent

O4 - HKLM\..\RunOnce: [Malwarebytes Anti-Malware (cleanup)] rundll32.exe "C:\Documents and Settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\cleanup.dll",ProcessCleanupScript

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Netwerkservice')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Reader Snelle start.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe

O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe

O8 - Extra context menu item: &Google Zoeken - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: &Woord vertalen in het Nederlands - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: Gelijkwaardige pagina's - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Koppelingspagina's - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Opgeslagen momentopname van de pagina - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html

O9 - Extra button: Verzenden naar OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: Verz&enden naar OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.com/en/

O15 - Trusted Zone: *.sony-europe.com

O15 - Trusted Zone: *.sonystyle-europe.com

O15 - Trusted Zone: *.vaio-link.com

O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.systemrequirementslab.com/srl_bin/sysreqlab_srl.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab

O16 - DPF: {BC18E6DF-BE57-4580-93E8-F228F9A133AA} (MaxisSimCity4LotTeleX Control) - http://simcity.ea.com/exchange/lots/teleport/MaxisSimCity4LotTeleX.cab

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll

O22 - SharedTaskScheduler: Preloader van browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Cache-daemon voor onderdeelcategorieën - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Mobiel Apple apparaat (Apple Mobile Device) - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Bonjour-service (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\ccPwdSvc.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Norton Internet Security\comHost.exe

O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: GEARSecurity - Unknown owner - C:\WINDOWS\System32\GEARSec.exe (file missing)

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Image Converter video recording monitor for VAIO Entertainment - Sony Corporation - C:\Program Files\Sony\Image Converter 2\IcVzMon.exe

O23 - Service: iPod-service (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: ISP Monitor (ISPMonitorSrv) - How2 Studios - C:\Program Files\ISP Monitor\ISPMonitorSrv.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe

O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\MSCSPTISRV.exe

O23 - Service: Norton AntiVirus Auto-Protect-service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton Ghost - Symantec Corporation - C:\Program Files\Norton Ghost\Agent\VProSvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Console\NSCSRVCE.EXE

O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\PACSPTISVR.exe

O23 - Service: Planner voor Automatische LiveUpdate - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe

O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe

O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SSScsiSV.exe

O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: VAIO Entertainment TV Device Arbitration Service - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCs\VzHardwareResourceManager\VzHardwareResourceManager.exe

O23 - Service: VAIO Event Service - Sony Corporation - C:\Program Files\Sony\VAIO Event Service\VESMgr.exe

O23 - Service: VAIO Media Integrated Server (VAIOMediaPlatform-IntegratedServer-AppServer) - Sony Corporation - C:\Program Files\Sony\VAIO Media Integrated Server\VMISrv.exe

O23 - Service: VAIO Media Integrated Server (HTTP) (VAIOMediaPlatform-IntegratedServer-HTTP) - Sony Corporation - C:\Program Files\Sony\VAIO Media Integrated Server\Platform\SV_Httpd.exe

O23 - Service: VAIO Media Integrated Server (UPnP) (VAIOMediaPlatform-IntegratedServer-UPnP) - Sony Corporation - C:\Program Files\Sony\VAIO Media Integrated Server\Platform\UPnPFramework.exe

O23 - Service: VAIO Media Gateway Server (VAIOMediaPlatform-Mobile-Gateway) - Sony Corporation - C:\Program Files\Sony\VAIO Media Integrated Server\Platform\VmGateway.exe

O23 - Service: VAIO Entertainment UPnP Client Adapter (Vcsw) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe

O23 - Service: VAIO Entertainment Database Service (VzCdbSvc) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe

O23 - Service: VAIO Entertainment File Import Service (VzFw) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe

--

End of file - 14643 bytes

Vriendelijke groeten,...

Jan

10 maart 2012 aangepast door JoanMiro
M'n echte achternaam verwijderd uit sommige regels

[kape]

Download op een andere niet geïnfecteerde computer de Kaspersky Rescue CDen sla deze op je bureaublad op.

Download daarna IMG Burn en sla deze op je bureaublad op en installeer deze.

• Start "IMG burn" en klik op "Write image file to disc"
  
• Selecteer het image bestand van de Kaspersky Rescue CD en klik op de knop "Write"
  

• Stop de Kaspersky Rescue CD, in de PC.
  
• Start die PC opnieuw op.
  
• Druk op een toets om het rescue systeem van Kaspersky te starten.
  

Bij “Press any key to enter the menu” druk je op gelijk welke toets om het menu van de Kaspersky Rescue CD te openen.

· Kies in het volgende scherm de optie "Kaspersky Rescue Disk - Grafische modus" en druk op enter.

· Druk hierna op "A" om de licentie overeenkomst te accepteren.

· Druk linksonderin het scherm op de taakbalk op het "pijltje" en kies de optie "bestandsbeheer"

· Ga in het bestandsbeheer naar "discs" en kies de "systeemschijf" waar Windows op staat.

· Navigeer naar de volgende map:

C:\Windows

• Navigeer nu naar het volgende vetgedrukte bestand: explorer.exe
  
• Klik nu met de rechtermuisknop op dit bestand en kies "Move to trash" en klik daarna op "OK"
  

· Navigeer nu naar het volgende vetgedrukte bestand: twexx32.dll

· Klik nu met de rechtermuisknop op dit bestand en kies "rename"

· Hernoem twexx32.dll nu naar explorer.exe

· Bevestig dit door op de knop "Accept" te klikken.

· Druk linksonderin het scherm op de taakbalk op het "pijltje" en kies de optie "Computer herstarten" en klik daarna op "Ja"

· Verwijder de 'Kaspersky Rescue CD' uit de CD/DVD drive als hierom wordt gevraagd en druk daarna op een willekeurige toets om het systeem opnieuw op te starten.

[JoanMiro]

Kape,...

Het probleem is dat mijn computer geen CD-rom's meer kan afspelen...

Kan ik ook de Kaspersky Rescue Disc opslagen op m'n Lacie schijfje en de procedure zo opstarten?

Ik heb de Kaspersky opgeslagen als (H:\)Kaspersky\KasperskyRescue(.ISO?,.iso?,Iso?)

En ik heb Imgburn opgeslagen als (H:\)Imgburn\Imgburn(.exe?)

Hoe moet ik dit alles aanpakken?

[kape]

ImgBurn was bedoeld om op een CD-schijfje te branden. In jouw geval heeft dat dus geen zin. De .iso van Kaspersky zou je dan (eventueel) via Lacie kunnen opstarten. Of dit effectief werkt, durf ik niet meteen te garanderen. Maar probeer het alvast uit, je weet maar nooit.

[JoanMiro]

Beste Kape,

Ik heb een bepaald programma op m'n computer speciaal voor ISO bestanden te openen...

Nu, ik heb het geprobeerd via m'n Lacie schijf via het commando H:\Kaspersky\KasperskyRescue.iso

Mijn programma schoot in actie, en het image werd gemount maar er gebeurde daarna niets meer.

Mijn fictieve drive is de G:\ schijf...

Kape, wat moet ik doen? Hoe geraak ik in een grafische modus?! Slaapwel en hopelijk tot morgen...

[JoanMiro]

Beste Kape,

Ik heb gisterenavond en vandaag het volgende gedaan, ondernomen en geprobeerd.

Ik heb op m'n laptop het programma "DaemonToolsLite" staan, dat .iso bestanden normaal gezien kan afspelen -- het is te zeggen, via DaemonTools kan ik Simcity 4 en Victoria Revolutions spelen -- dat is eigenlijk het enigste waarom ik dat bewuste programma er heb opstaan...

Nu, (1) ik heb m'n laptop opgestart via de nu befaamde F8-knop in Veilige Modus Met Opdrachtsprompt. Ik gaf als opdracht in H:\Kaspersky\KasperskyRescue.iso. DaemonTools schoot in actie, en ik kon zien dat nu de Kaspersky Rescue geladen stond in m'n virtuele drive (= G:\). Verder gebeurde er niets en ik wist niet wat ik moest doen. Ik heb dan wat nutteloze commando's geprobeerd, bv. H:\Kaspersky\KasperskyRescue.iso\autorun,...

(2) Dan kreeg ik het idee, dat ik wél op m'n laptop kon werken in een grafische modus... Ik typte als opdracht: H:\HijackThis\Hijackthis.exe, en selecteerde "scan and save logfile". Toen het kladblok verscheen, klikte ik op "bestand" en selecteerde daarna "openen". Via deze weg kan ik bijna overal aan: ik kan in Program Files, WINDOWS, Mijn Documenten (etc.) in een grafische modus. Ik kan dus met andere woorden zien wat ik doe, of wil doen. Met Opdrachtsprompt ben ik immers als het ware op de bodem van de Atlantische Oceaan: volledig donker en niet weten wat te doen...

(3) Ik ben dan naar "Deze Computer" gegaan, en inderdaad, de Kaspersky Rescue Disk stond geladen (via DaemonTools) in de G:\. Wanneer ik echter via de rechtermuisknop probeerde om de CD af te spelen... kwam ineens de grijze pagina met de Ecops te voorschijn. Ik schrok me een ongeluk en begon te panikeren dat nu ook m'n computer in Veilige Modus was besmet. Heb dan de power-knop ingedrukt voor ettelijke seconden en de computer afgesloten en terug opgestart via de F8 in Veilige Modus met Opdrachtsprompt. Fieuw, alles was nog zoals ervoor...

(4) Ik ben dan terug via eerder beschreven omweg (HijackThis uitvoeren, en via de Kladblok-weg) terug naar Deze Computer gegaan, mijn Lacie-schijfje geselecteerd en ik heb de KasperskyRescueCD gekopieerd naar "Mijn Documenten". In Mijn Documenten heb ik dan de KasperskyRescueCD "ge-extract" via Winrar -- zodat de bestanden van de CD eigenlijk op m'n computer staat. Hij is, echter, niet geïnstalleerd (hij komt niet voor in Program Files).

(5) De bestanden van de KasperskyRescue Disk staan dus in Mijn Documenten in een aparte map "Kaspersky". Het .iso bestand zelf staat ook nog afzonderlijk in "Mijn Documenten" (dus niet ingedeeld in de eerder vernoemde map).

(6) Kanttekening omtrent indeling qua mappen -- dus: Mijn Documenten => Kaspersky => (1) boot (map), (2) rescue (map), (3) livecd (zo een icoontje van Windows met een rood en blauw ding in, tandwiel ofzo, ik kan het moeilijk uitleggen).

Er staat nergens iets wat kan "afspelen". Geen autorun ofzo. Ik heb geprobeerd, via de rechtermuisknop om de "livecd" af te spelen maar ik moet dan een programma opsporen via internet en dat werkt niet in Windows met Opdrachtprompt. Ik ben ook gaan snuffelen in alle mappen maar zag niets noemenswaardig (setup,...). Heb ook geprobeerd via F8 met Windows met Newerkmogelijkheden maar daar verschijnt onmiddelijk de pest en de cholera in de vorm van Ecops...

(7) Ik heb via Program Files dan DaemonTools geopend en geprobeerd om verschillende aspecten van KasperskyRescueCD af te spelen (laden/mounten?) die ik heb opgeslagen in Mijn Documenten (dus niet rechtstreeks van het .iso bestand). Ik weet de exacte naam niet meer, maar het was in de submap "rescue" -- een redelijk groot bestand (+100MB) dat einigde op .img. Toen ik dat probeerde sloeg de Ecops terug toe in Veilige Modus met Opdrachtsprompt.

Kape, nu vraag ik me af hoe ik in godsnaam de RescueDisk aan de praat krijg? Welk programma heb ik nodig? Of welk commando moet ik invoeren. Of is de hele situatie hopeloos daar ik de RescueDisk pas kan afspelen na dat Windows is opgestart?

Vriendelijke groeten,

Jan

[JoanMiro]

Mmm... Heb wat rondgelezen in andere threads omtrent Ecops.

Ik had mijn allerbelangrijkste documenten (papers, bachelorpaper, scriptie, ...) al van m'n computer gehaald vorig jaar in juli. Heb onderwijl deze middag de belangrijkste bestanden al kunnen kopiëren naar m'n Lacie'tje. Ben nu ook bezig om alles bestanden die minder belangrijk zijn (foto's, drafts, etc.) over te brengen naar mijn Lacie schijfje. Dus in principe heb ik er niets op tegen om heel de computer blanco te vegen en helemaal opnieuw te beginnen... maar ik weet niet hoe ik daar in godsnaam aan moet beginnen.

---------- Post toegevoegd om 19:29 ---------- Vorige post was om 19:26 ----------

Wat ik me ook afvraag...

Kan ik ook via de kladblok-omweg ook explorer.exe verwijderen en twexx32.dll hernoemen naar explorer.exe?

Zou dat iets helpen, Kape?

Weet wel niet hoe ik de computer netjes moet afsluiten of heropstarten. Ik druk nu gewoon altijd enige seconden op de powerknop... weet dus niet of die veranderingen bewaard blijven daardoor?

Ik wacht geduldig op je antwoord,

Hartelijke groeten,

Jan

[JoanMiro]

Kape, ben je me vergeten?

[kape]

Kape, ben je me vergeten?

Sorry ... je topic is - in de toevloed - inderdaad aan de aandacht ontsnapt.

Kan ik ook via de kladblok-omweg ook explorer.exe verwijderen en twexx32.dll hernoemen naar explorer.exe?

Heb je al kunnen vaststellen of beide bestanden én aanwezig zijn én benaderbaar zijn ?

[kweezie wabbit]

In deze handleiding staat beschreven hoe je een usb stick of een cd kan maken en gebruiken om de ECops besmetting te verwijderen.

Aangezien je geen cd's kan gebruiken, is de usb stick misschien een oplossing.