PDA

Volledige versie bekijken : Windows update brengt me naar google



Glade
6 februari 2009, 18:22
Goeiedag,

ik zit hier op de pc van men vader om een probleempje te fixen .
Deze pc heeft een paar maanden geen updates meer gehad , en toen dacht mijn vader ik zal hem maar is automatisch laten updaten via windows zelf, nu elke keer (via welke omweg ook ) , komen we trug op google uit als we naar : Microsoft Windows Update (http://windowsupdate.microsoft.com/) willen , dit is natuurlijk raar en irritant , ik heb geen idee hoe ik dit zou moeten fixen , we hebben al allerlei programma's gedownload maar tevergeefs =/ . De Os is = Windows Xp Home edition 32 Bit NL.

ik hoop dat julie me kunnen helpen ,
Gladee =)

Exit
6 februari 2009, 18:41
service pack 1, 2 of 3?
gebruik deze link eens
Microsoft Windows Update (http://www.update.microsoft.com/windowsupdate/v6/default.aspx?ln=nl)

pixbillye
6 februari 2009, 19:12
mss een dns changer of iets anders van malware?

Glade
7 februari 2009, 11:10
service pack 1, 2 of 3?
gebruik deze link eens
Microsoft Windows Update (http://www.update.microsoft.com/windowsupdate/v6/default.aspx?ln=nl)

geprobeerd , krijg 404 Not Found (Google error)
mijn vader denkt Serive pack 3 (weet dit niet zeker , waar zou ik dit kunnen nakijken ?)


mss een dns changer of iets anders van malware?

Wat bedoel je hiermee ? (ik ken namelijk niet veel van de pc softwarematig :p)

Exit
7 februari 2009, 11:41
de laatste tijd veel problemen met verkeerde dns isntellingen door virus/spyware
scan de pc eens met malwarebytes scanner en post eens een hijackthis logje in het subforum

Nielsvds
7 februari 2009, 12:01
Dit gaat niet altijd werken maar ga naar start,deze computer,windows,system 32,drivers,etc,dubbelklik op hosts en open het met wordpad. Controleer of je daar geen verwijzing naar microsoft of windows update terugvindt. Indien het geval verwijder dan de regels en sla het bestand (hosts) op onder dezelfde naam.

Op die computer was er daar beveiligingssoftware op geïnstalleerd? Zonee, is de kans heel groot dat de computer besmet is. Het is altijd aanbevolen om updates te installeren anders ben je kwetsbaar voor exploits die zo proberen binnen te dringen op je computer.


Een dns changer zorgt ervoor dat wanneer je bijvoorbeeld naar een site van een antivirusfabrikant wil surfen je typt bv antivirus.com maar je wordt doorgestuurd naar een andere website omdat in je hosts bestand een ander ip adres staat ingesteld. Het ip adres zou je kunnen vergelijken met je thuisadres dat uniek is.

TiZon
7 februari 2009, 12:41
Dit gaat niet altijd werken maar ga naar start,deze computer,windows,system 32,drivers,etc,dubbelklik op hosts en open het met wordpad. Controleer of je daar geen verwijzing naar microsoft of windows update terugvindt. Indien het geval verwijder dan de regels en sla het bestand (hosts) op onder dezelfde naam.

Op die computer was er daar beveiligingssoftware op geïnstalleerd? Zonee, is de kans heel groot dat de computer besmet is. Het is altijd aanbevolen om updates te installeren anders ben je kwetsbaar voor exploits die zo proberen binnen te dringen op je computer.


Een dns changer zorgt ervoor dat wanneer je bijvoorbeeld naar een site van een antivirusfabrikant wil surfen je typt bv antivirus.com maar je wordt doorgestuurd naar een andere website omdat in je hosts bestand een ander ip adres staat ingesteld. Het ip adres zou je kunnen vergelijken met je thuisadres dat uniek is.

De malware die nu veelal rond gaat wijzigt de instellingen van je TCP/IP, en niet meer je hostsfile.

Kijk daarom bij je netwerkverbindingen in de eigenschappen van je LAN-verbinding bij je TCP/IP-settings, daar moet alles op automatisch staan.

Als je een IP tegenkomt dat begint met '85' dan heb je het waarschijnlijk zitten. Post dan eens een HJT in het HiJackThis-forum.

Glade
7 februari 2009, 13:02
Dit gaat niet altijd werken maar ga naar start,deze computer,windows,system 32,drivers,etc,dubbelklik op hosts en open het met wordpad. Controleer of je daar geen verwijzing naar microsoft of windows update terugvindt. Indien het geval verwijder dan de regels en sla het bestand (hosts) op onder dezelfde naam.

Op die computer was er daar beveiligingssoftware op geïnstalleerd? Zonee, is de kans heel groot dat de computer besmet is. Het is altijd aanbevolen om updates te installeren anders ben je kwetsbaar voor exploits die zo proberen binnen te dringen op je computer.


Een dns changer zorgt ervoor dat wanneer je bijvoorbeeld naar een site van een antivirusfabrikant wil surfen je typt bv antivirus.com maar je wordt doorgestuurd naar een andere website omdat in je hosts bestand een ander ip adres staat ingesteld. Het ip adres zou je kunnen vergelijken met je thuisadres dat uniek is.

Heb niets gevonde in die Hosts-file aleen 127.0.0.1 local Ip.
Er was een lange tijd een beveiligingssoftware nl avg , maar na een tijd wou deze niet meer patchen , dus heeft men vader deze meerdere malen verwijderd en geherinstalleerd , met geen effect =( , dan zijn we naar Telenet internet security pack gegaan , die nu nog steeds draait.


De malware die nu veelal rond gaat wijzigt de instellingen van je TCP/IP, en niet meer je hostsfile.

Kijk daarom bij je netwerkverbindingen in de eigenschappen van je LAN-verbinding bij je TCP/IP-settings, daar moet alles op automatisch staan.

Als je een IP tegenkomt dat begint met '85' dan heb je het waarschijnlijk zitten. Post dan eens een HJT in het HiJackThis-forum.

alles staat op automatisch , en ben geen een IP adres tege gekomen :s.

Misschien nog iet te vermelden , waneer we het probleem tegekwamen voor windows te patchen wou mijn vader een herstelpunt nemen , maar dit gaat ook niet meer , zelfs niet meer maken :s .. zou dit er verband mee hebben ?

hier is de HJT=


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:54:12, on 7/02/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Program Files\Mobile Action\Bluetooth Manager\MaBtSh.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Common Files\Teleca Shared\CapabilityManager.exe
C:\Program Files\Telenet Security Pack\Common\FSM32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Common Files\Teleca Shared\Generic.exe
C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Telenet Security Pack\Anti-Virus\fsgk32st.exe
C:\Program Files\Telenet Security Pack\Common\FSMA32.EXE
C:\Program Files\Telenet Security Pack\Anti-Virus\FSGK32.EXE
C:\Program Files\Telenet Security Pack\Common\FSMB32.EXE
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Telenet Security Pack\Common\FCH32.EXE
C:\Program Files\Telenet Security Pack\Common\FAMEH32.EXE
C:\Program Files\Telenet Security Pack\Anti-Virus\fsqh.exe
C:\Program Files\Telenet Security Pack\FSGUI\fsguidll.exe
C:\Program Files\Telenet Security Pack\Anti-Virus\fssm32.exe
C:\Program Files\Telenet Security Pack\FSAUA\program\fsaua.exe
C:\Program Files\Telenet Security Pack\FWES\Program\fsdfwd.exe
C:\Program Files\Telenet Security Pack\FSAUA\program\fsus.exe
C:\Program Files\Telenet Security Pack\Anti-Virus\fsav32.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google (http://www.google.be/)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Help bij koppelingen - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [MaBtSh] C:\Program Files\Mobile Action\Bluetooth Manager\MaBtSh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Telenet Security Pack\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Telenet Security Pack\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Lokale service')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Netwerkservice')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Add to Windows &Live Favorites - Add to Windows Live Favorites (http://favorites.live.com/quickadd.aspx)
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5) - http://upload.facebook.com/controls/FacebookPhotoUploader5.cab
O16 - DPF: {1239CC52-59EF-4DFA-8C61-90FFA846DF7E} (Musicnotes Viewer) - http://www.musicnotes.com/download/mnviewer.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1218574880999
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1218575550248
O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} - http://www.sibelius.com/download/software/win/ActiveXPlugin.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://virusscanner.telenet.be/fscax.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: Bonjour-service (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\Telenet Security Pack\Anti-Virus\fsgk32st.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program Files\Telenet Security Pack\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Telenet Security Pack\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Telenet Security Pack\Common\FSMA32.EXE
O23 - Service: F-Secure ORSP Client (FSORSPClient) - F-Secure Corporation - C:\Program Files\Telenet Security Pack\ORSP Client\fsorsp.exe
O23 - Service: Google Update Service (gupdate1c98607e84abcf8) (gupdate1c98607e84abcf8) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 8334 bytes

TiZon
7 februari 2009, 13:10
Op het eerste zicht zie ik niets speciaal... Maar het kan alvast geen kwaad om dit tooltje eens te laten lopen:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

De logfile kan je dan samen met een nieuwe HJT in het HJT-forum plaatsen ;)

Nielsvds
7 februari 2009, 13:25
Heb je al een scan uitgevoerd met F-secure? Zorg er wel voor dat hij geüpdate is? Het zou kunnen dat je met een rootkit zit die ervoor zorgt dat je geen updates kan downloaden of je antivirus kan updaten. In je hijack this log is niets verkeerd te vinden. Maar dat wil niet zeggen dat er geen infectie aanwezig is.


Je zou eens een combofix log kunnen plaatsen. Voor informatie en download zie hier (http://www.bleepingcomputer.com/combofix/nl/hoe-dient-combofix-gebruikt-te-worden). ComboFix verwijdert automatisch bekende malware en maakt een lijst aan van nieuwe mappen,bestanden,... die de afgelopen maand zijn aangemaakt. Ik kan er wel eens naar kijken.

Voor je systeem herstel: Druk de windows toets samen in met r typ nu services.msc en druk op enter controleer of de system restore service gestart is. Ga naar start,klik met je rechtermuisknop op deze computer en kies voor eigenschappen,systeemherstel, er mag geen vinkje staan bij systeemherstel uitschakelen op alle stations. Infecties kunnen inderdaad systeemherstel uitschakelen.

TiZon
7 februari 2009, 13:41
@Nielsvds: Herhaal anders wat ik zeg...
en BTW: Telenet Security Pack = F-secure...

Exit
7 februari 2009, 23:36
zal deze maar eens bij hijackthis logjes zetten

Nielsvds
8 februari 2009, 12:39
@Nielsvds: Herhaal anders wat ik zeg...
en BTW: Telenet Security Pack = F-secure...


Ik was op dat moment juist mijn tekst aan het intypen. Pas toen ik had gepost zag ik dat je verwees naar combofix. Ik mag toch ook een bevestiging geven dat ik ook niets vind in zijn hijack this log? Ik gaf ook wat meer info over wat combofix precies doet. Ik had ook de pagina niet vernieuwd tot dat ik de post had gepost.
Ik weet ook wel dat F-secure = telenet security pakket is. Dit aan de hand van de processen. Dat is ook de reden waarom ik zei voer een scan uit met F-secure.

Glade
8 februari 2009, 17:39
Ok bedankt voor al die info al .

hier is de log van Combofix =

ComboFix 09-02-07.01 - Boris 2009-02-08 17:23:02.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.31.1043.18.1023.590 [GMT 1:00]
Gestart vanuit: c:\documents and settings\Boris\Bureaublad\ComboFix.exe
AV: Telenet Security Pack 8.00 *On-access scanning disabled* (Updated)
FW: Telenet Security Pack 8.00 *enabled*
* Resident AV is active

.

(((((((((((((((((((((((((((((((((( Andere Verwijderingen )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf
c:\documents and settings\Boris\Application Data\Hotbar_Icons
c:\documents and settings\Boris\Application Data\Hotbar_Icons\Registryrepair.ico
c:\documents and settings\Loes\Application Data\Hotbar_Icons
c:\documents and settings\Loes\Application Data\Hotbar_Icons\Registryrepair.ico
c:\program files\coolplay
c:\program files\coolplay\Uninstall.exe
c:\program files\QUAD Utilities
c:\recycler\S-0-7-77-100025195-100005569-100016028-3382.0om
c:\windows\IE4 Error Log.txt
c:\windows\system32\drivers\gaopdxtusorsmj.sys
c:\windows\system32\gaopdxcounter
c:\windows\system32\gaopdxepynbnfb.dll
c:\windows\system32\TDSSerrors.log
c:\windows\system32\tdssinit.dll
c:\windows\system32\tdssservers.dat

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_gaopdxserv.sys


(((((((((((((((((((( Bestanden Gemaakt van 2009-01-08 to 2009-02-08 ))))))))))))))))))))))))))))))
.

2009-02-07 12:52 . 2009-02-07 12:52 <DIR> d-------- c:\program files\Trend Micro
2009-02-06 18:05 . 2009-02-06 18:05 <DIR> d-------- c:\documents and settings\Boris\Application Data\F-Secure
2009-02-06 08:43 . 2009-02-06 12:08 <DIR> d-------- c:\program files\Free Window Registry Repair
2009-02-05 16:11 . 2009-02-06 12:08 <DIR> d-------- c:\program files\Eusing Free Registry Cleaner
2009-02-05 15:34 . 2009-02-05 15:34 230 --a------ c:\windows\system32\spupdsvc.inf
2009-02-04 12:03 . 2009-02-04 12:03 33,408 --a------ c:\windows\system32\drivers\fsbts.sys
2009-02-04 11:47 . 2008-09-23 14:35 79,904 --a------ c:\windows\system32\drivers\fsdfw.sys
2009-02-04 11:46 . 2009-02-07 18:29 <DIR> d-------- c:\program files\Telenet Security Pack
2009-02-04 11:46 . 2009-02-04 11:46 <DIR> d-------- c:\documents and settings\All Users\Application Data\fssg
2009-02-04 11:45 . 2009-02-04 11:47 <DIR> d-------- c:\documents and settings\All Users\Application Data\f-secure
2009-02-03 14:38 . 2009-02-03 14:38 <DIR> d-------- c:\documents and settings\All Users\Application Data\MSN6
2009-01-31 12:26 . 2009-01-31 12:26 <DIR> d-------- c:\documents and settings\Stiene\Application Data\dvdcss
2009-01-30 20:43 . 2009-01-30 20:43 <DIR> d-------- c:\documents and settings\All Users\Application Data\Office Genuine Advantage
2009-01-27 23:22 . 2009-01-27 23:22 410,984 --a------ c:\windows\system32\deploytk.dll
2009-01-25 20:28 . 2009-01-25 20:28 <DIR> d-------- c:\program files\Common Files\Bcgsoft
2009-01-25 20:28 . 2004-07-14 12:54 676,864 --a------ c:\windows\system32\drivers\hardlock.sys
2009-01-25 20:28 . 2009-01-25 20:28 47,616 --a------ c:\windows\system32\drivers\Haspnt.sys
2009-01-25 20:28 . 2009-01-25 20:28 6,656 --a------ c:\windows\system32\haspvdd.dll
2009-01-25 20:28 . 2008-08-12 21:18 2,845 --a------ c:\windows\system32\config.hsp
2009-01-25 20:28 . 2009-01-25 20:28 2,464 --a------ c:\windows\netdet.ini
2009-01-25 20:28 . 2009-01-25 20:28 383 --a------ c:\windows\system32\haspdos.sys
2009-01-25 20:27 . 2009-01-25 20:28 <DIR> d-------- c:\program files\CADdy++ - SEE Electrical School
2009-01-17 13:28 . 2009-01-17 13:28 <DIR> d-------- c:\documents and settings\NetworkService\Mijn documenten
2009-01-17 12:00 . 2009-01-17 12:00 <DIR> dr------- c:\documents and settings\NetworkService\Favorieten
2009-01-09 20:28 . 2009-01-09 20:30 <DIR> d-------- c:\documents and settings\Stiene\Application Data\vlc
2009-01-09 20:25 . 2009-01-09 20:25 <DIR> d-------- c:\program files\VideoLAN
2009-01-09 19:54 . 2009-01-09 19:54 <DIR> d-------- c:\program files\PowerFolder.com
2009-01-09 19:54 . 2009-02-04 16:42 <DIR> d--h----- c:\documents and settings\Stiene\.PowerFolder

.
((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))) ))
.
2009-02-06 13:33 --------- d-----w c:\program files\Google
2009-02-06 07:19 --------- d-----w c:\program files\Messenger Plus! Live
2009-02-04 07:33 --------- d---a-w c:\documents and settings\All Users\Application Data\TEMP
2009-01-27 22:22 --------- d-----w c:\program files\Java
2009-01-25 19:27 --------- d--h--w c:\program files\InstallShield Installation Information
2009-01-24 15:12 --------- d-----w c:\documents and settings\Stiene\Application Data\LimeWire
2009-01-09 18:49 --------- d-----w c:\documents and settings\Stiene\Application Data\Nokia
2008-12-31 16:04 691,560 ----a-w c:\windows\system32\OGACheckControl.dll
2008-12-31 16:04 528,744 ----a-w c:\windows\system32\OGAVerify.exe
2008-12-31 16:04 502,120 ----a-w c:\windows\system32\OGAAddin.dll
2008-12-15 12:23 --------- d-----w c:\program files\Musicnotes
2008-12-14 12:06 --------- d-----w c:\program files\SpeedFan
2008-12-13 15:37 --------- d-----w c:\program files\Bonjour
2008-12-13 15:35 --------- d-----w c:\program files\Windows Live
2008-12-13 15:30 --------- d-----w c:\program files\Yahoo!
2008-12-13 15:30 --------- d-----w c:\program files\Windows Live Toolbar
2008-12-13 15:28 --------- d-----w c:\documents and settings\All Users\Application Data\Apple Computer
2008-12-13 14:11 --------- d-----w c:\program files\Motherboard Monitor 5
2008-12-13 13:35 --------- d-----w c:\program files\CCleaner
2008-12-13 13:29 --------- d-----w c:\documents and settings\Boris\Application Data\SmartShopper
2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys
2008-12-08 11:10 --------- d-----w c:\documents and settings\Stiene\Application Data\v3.0
2008-12-03 12:02 37,520 ----a-w c:\documents and settings\Stiene\Application Data\GDIPFONTCACHEV1.DAT
.

((((((((((((((((((((((((((((((((((((( Reg Opstartpunten )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
.
*Nota* lege verwijzingen & legitieme standaard verwijzingen worden niet getoond
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"Sony Ericsson PC Suite"="c:\program files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 159744]
"MaBtSh"="c:\program files\Mobile Action\Bluetooth Manager\MaBtSh.exe" [2006-02-08 24576]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-01-27 136600]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-10-07 13574144]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-10-07 86016]
"F-Secure Manager"="c:\program files\Telenet Security Pack\Common\FSM32.EXE" [2008-09-23 182936]
"F-Secure TNB"="c:\program files\Telenet Security Pack\FSGUI\TNBUtil.exe" [2008-09-23 957024]
"RTHDCPL"="RTHDCPL.EXE" [2008-07-31 c:\windows\RTHDCPL.EXE]
"SoundMan"="SOUNDMAN.EXE" [2008-06-18 c:\windows\SOUNDMAN.EXE]
"AlcWzrd"="ALCWZRD.EXE" [2008-06-19 c:\windows\ALCWZRD.EXE]
"nwiz"="nwiz.exe" [2008-10-07 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Stiene\Menu Start\Programma's\Opstarten\
PowerFolder.lnk - c:\program files\PowerFolder.com\PowerFolder\PowerFolder.exe [2008-12-25 86528]

c:\documents and settings\All Users\Menu Start\Programma's\Opstarten\
hp psc 1000 series.lnk - c:\program files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe [2003-04-06 147456]
hpoddt01.exe.lnk - c:\program files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-04-06 28672]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"MSVideo"= VfwECamC.dll

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\GloballyOpenPorts\List]
"1337:TCP"= 1337:TCP:PowerFolder

R0 fsbts;fsbts;c:\windows\system32\drivers\fsbts.sys [2009-02-04 33408]
R0 FSFW;F-Secure Firewall Driver;c:\windows\system32\drivers\fsdfw.sys [2009-02-04 79904]
R1 F-Secure HIPS;F-Secure HIPS Driver;c:\program files\Telenet Security Pack\HIPS\drivers\fshs.sys [2009-02-04 66720]
R2 AT6JI96F;AT6JI96F;c:\windows\system32\drivers\WXTH 76D8.sys [2008-09-08 28384]
R2 osaio;osaio;c:\windows\system32\drivers\osaio.sys [2008-11-01 6784]
R3 F-Secure Gatekeeper;F-Secure Gatekeeper;c:\program files\Telenet Security Pack\Anti-Virus\minifilter\fsgk.sys [2009-02-04 84096]
R3 FSORSPClient;F-Secure ORSP Client;c:\program files\Telenet Security Pack\ORSP Client\fsorsp.exe [2009-02-04 55904]
R3 Ma730Pt;MA730 Bluetooth VCOM Driver;c:\windows\system32\drivers\ma730Pt.sys [2008-09-07 103680]
R3 Ma730VaA;MA730 Bluetooth Advanced Audio;c:\windows\system32\drivers\Ma730VaA.sys [2008-09-07 21851]
R3 Ma730Vad;MA730 Bluetooth Audio;c:\windows\system32\drivers\Ma730Vad.sys [2008-09-07 50522]
S2 gupdate1c98607e84abcf8;Google Update Service (gupdate1c98607e84abcf8);c:\program files\Google\Update\GoogleUpdate.exe [2009-02-03 133104]
S3 Ma730c;MA730 Bluetooth Core Driver;c:\windows\system32\drivers\ma730c.sys [2008-09-07 157024]
S3 w300mgmt;Sony Ericsson W300 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\w300mgmt.sys [2008-08-26 87824]
S3 w300obex;Sony Ericsson W300 USB WMC OBEX Interface;c:\windows\system32\drivers\w300obex.sys [2008-08-26 85696]
S4 F-Secure Filter;F-Secure File System Filter;c:\program files\Telenet Security Pack\Anti-Virus\win2k\fsfilter.sys [2009-02-04 39776]
S4 F-Secure Recognizer;F-Secure File System Recognizer;c:\program files\Telenet Security Pack\Anti-Virus\win2k\fsrec.sys [2009-02-04 25184]
.
Inhoud van de 'Gedeelde Taken' map

2009-02-05 c:\windows\Tasks\At1.job
- c:\windows\system32\f2VX2t1s.exe []

2009-02-04 c:\windows\Tasks\At10.job
- c:\windows\system32\f2VX2t1s.exe []

2009-02-06 c:\windows\Tasks\At11.job
- c:\windows\system32\f2VX2t1s.exe []

2009-02-08 c:\windows\Tasks\At12.job
- c:\windows\system32\f2VX2t1s.exe []

2009-02-08 c:\windows\Tasks\At13.job
- c:\windows\system32\f2VX2t1s.exe []

2009-02-08 c:\windows\Tasks\At14.job
- c:\windows\system32\f2VX2t1s.exe []

2009-02-08 c:\windows\Tasks\At15.job
- c:\windows\system32\f2VX2t1s.exe []

2009-02-08 c:\windows\Tasks\At16.job
- c:\windows\system32\f2VX2t1s.exe []

2009-02-08 c:\windows\Tasks\At17.job
- c:\windows\system32\f2VX2t1s.exe []

2009-02-08 c:\windows\Tasks\At18.job
- c:\windows\system32\f2VX2t1s.exe []

2009-02-07 c:\windows\Tasks\At19.job
- c:\windows\system32\f2VX2t1s.exe []

2009-02-06 c:\windows\Tasks\At2.job
- c:\windows\system32\f2VX2t1s.exe []

2009-02-07 c:\windows\Tasks\At20.job
- c:\windows\system32\f2VX2t1s.exe []

2009-02-07 c:\windows\Tasks\At21.job
- c:\windows\system32\f2VX2t1s.exe []

2009-02-07 c:\windows\Tasks\At22.job
- c:\windows\system32\f2VX2t1s.exe []

2009-02-06 c:\windows\Tasks\At23.job
- c:\windows\system32\f2VX2t1s.exe []

2009-02-06 c:\windows\Tasks\At24.job
- c:\windows\system32\f2VX2t1s.exe []

2009-02-06 c:\windows\Tasks\At3.job
- c:\windows\system32\f2VX2t1s.exe []

2009-02-06 c:\windows\Tasks\At4.job
- c:\windows\system32\f2VX2t1s.exe []

2009-02-06 c:\windows\Tasks\At5.job
- c:\windows\system32\f2VX2t1s.exe []

2009-02-06 c:\windows\Tasks\At6.job
- c:\windows\system32\f2VX2t1s.exe []

2009-02-06 c:\windows\Tasks\At7.job
- c:\windows\system32\f2VX2t1s.exe []

2009-02-06 c:\windows\Tasks\At8.job
- c:\windows\system32\f2VX2t1s.exe []

2009-02-06 c:\windows\Tasks\At9.job
- c:\windows\system32\f2VX2t1s.exe []

2009-01-25 c:\windows\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1225135463.job
- c:\program files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-06 00:52]

2009-02-08 c:\windows\Tasks\GoogleUpdateTaskMachine.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-02-03 15:01]

2009-02-05 c:\windows\Tasks\OGADaily.job
- c:\windows\system32\OGAVerify.exe [2008-12-31 17:04]

2009-02-08 c:\windows\Tasks\OGALogon.job
- c:\windows\system32\OGAVerify.exe [2008-12-31 17:04]

2009-02-08 c:\windows\Tasks\RegTool Scan.job
- c:\program files\RegTool\RegTool.exe []

2009-02-08 c:\windows\Tasks\RegTool Scan.job
- c:\program files\RegTool []

2009-02-08 c:\windows\Tasks\Scheduled scanning task.job
- c:\progra~1\TELENE~1\ANTI-V~1\fsav.exe [2008-09-23 14:35]
.
- - - - ORPHANS VERWIJDERD - - - -

WebBrowser-{90B8B761-DF2B-48AC-BBE0-BCC03A819B3B} - (no file)
Notify-AtiExtEvent - (no file)


.
------- Bijkomende Scan -------
.
uStart Page = hxxp://www.google.be/
IE: Add to Windows &Live Favorites - Add to Windows Live Favorites (http://favorites.live.com/quickadd.aspx)
IE: E&xporteren naar Microsoft Excel - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
LSP: c:\program files\Telenet Security Pack\FSPS\program\FSLSP.DLL
FF - ProfilePath - c:\documents and settings\Boris\Application Data\Mozilla\Firefox\Profiles\o2ej4b1v.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - plugin: c:\program files\Google\Update\1.2.141.5\npGoogleOneClick7.dl l
FF - plugin: c:\program files\Mozilla Firefox\plugins\npmusicn.dll
FF - plugin: c:\program files\Picasa2\npPicasa2.dll
.

************************************************** ************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-08 17:26:33
Windows 5.1.2600 Service Pack 3 NTFS

scannen van verborgen processen ...

scannen van verborgen autostart items ...

scannen van verborgen bestanden ...

Scan succesvol afgerond
verborgen bestanden: 0

************************************************** ************************
.
--------------------- DLLs Geladen Onder Lopende Processen ---------------------

- - - - - - - > 'lsass.exe'(668)
c:\program files\Telenet Security Pack\FSPS\program\FSLSP.DLL
.
Voltooingstijd: 2009-02-08 17:29:09
ComboFix-quarantined-files.txt 2009-02-08 16:28:43

Pre-Run: 101,906,300,928 bytes beschikbaar
Post-Run: 102,809,051,136 bytes beschikbaar

WindowsXP-KB310994-SP2-Home-BootDisk-NLD.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOW S
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

247

En hier is de nieuwe HJT-log file =

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:35:57, on 8/02/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Telenet Security Pack\Anti-Virus\fsgk32st.exe
C:\Program Files\Telenet Security Pack\Common\FSMA32.EXE
C:\Program Files\Telenet Security Pack\Anti-Virus\FSGK32.EXE
C:\Program Files\Telenet Security Pack\Common\FSMB32.EXE
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Telenet Security Pack\Common\FCH32.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Telenet Security Pack\Anti-Virus\fsqh.exe
C:\Program Files\Telenet Security Pack\Common\FAMEH32.EXE
C:\Program Files\Telenet Security Pack\FSAUA\program\fsaua.exe
C:\Program Files\Telenet Security Pack\FWES\Program\fsdfwd.exe
C:\Program Files\Telenet Security Pack\Anti-Virus\fssm32.exe
C:\Program Files\Telenet Security Pack\Anti-Virus\fsav32.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google (http://www.google.be/)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com (http://go.microsoft.com/fwlink/?LinkId=69157)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search (http://go.microsoft.com/fwlink/?LinkId=54896)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search (http://go.microsoft.com/fwlink/?LinkId=54896)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Help bij koppelingen - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [MaBtSh] C:\Program Files\Mobile Action\Bluetooth Manager\MaBtSh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Telenet Security Pack\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Telenet Security Pack\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Add to Windows &Live Favorites - Add to Windows Live Favorites (http://favorites.live.com/quickadd.aspx)
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5) - http://upload.facebook.com/controls/FacebookPhotoUploader5.cab
O16 - DPF: {1239CC52-59EF-4DFA-8C61-90FFA846DF7E} (Musicnotes Viewer) - http://www.musicnotes.com/download/mnviewer.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1218574880999
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1218575550248
O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} - http://www.sibelius.com/download/software/win/ActiveXPlugin.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://virusscanner.telenet.be/fscax.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: Bonjour-service (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\Telenet Security Pack\Anti-Virus\fsgk32st.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program Files\Telenet Security Pack\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Telenet Security Pack\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Telenet Security Pack\Common\FSMA32.EXE
O23 - Service: F-Secure ORSP Client (FSORSPClient) - F-Secure Corporation - C:\Program Files\Telenet Security Pack\ORSP Client\fsorsp.exe
O23 - Service: Google Update Service (gupdate1c98607e84abcf8) (gupdate1c98607e84abcf8) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 7446 bytes


Ik hoop dat julie hier iets wijzer uit worden =D

-Gladee

Juisterr
8 februari 2009, 17:53
Ik wel, kom er zo op terug.

Juisterr
8 februari 2009, 18:02
Open Kladblok, kopieer en plak het volgende (vetgedrukte, blauwe tekst) in een leeg venster:

File::
c:\windows\Tasks\At1.job
c:\windows\Tasks\At2.job
c:\windows\Tasks\At3.job
c:\windows\Tasks\At4.job
c:\windows\Tasks\At5.job
c:\windows\Tasks\At6.job
c:\windows\Tasks\At7.job
c:\windows\Tasks\At8.job
c:\windows\Tasks\At9.job
c:\windows\Tasks\At10.job
c:\windows\Tasks\At11.job
c:\windows\Tasks\At12.job
c:\windows\Tasks\At13.job
c:\windows\Tasks\At14.job
c:\windows\Tasks\At15.job
c:\windows\Tasks\At16.job
c:\windows\Tasks\At17.job
c:\windows\Tasks\At18.job
c:\windows\Tasks\At19.job
c:\windows\Tasks\At20.job
c:\windows\Tasks\At21.job
c:\windows\Tasks\At22.job
c:\windows\Tasks\At23.job
c:\windows\Tasks\At24.job
c:\windows\Tasks\RegTool Scan.job




Sla dit op op je Bureaublad als CFScript.txt.

Sleep CFScript.txt in ComboFix.exe zoals getoond in onderstaand voorbeeld :

http://img.photobucket.com/albums/v666/sUBs/CFScriptB-4.gif



Dit zal ComboFix doen herstarten.

Na het herstarten van je computer, (indien het vraagt om te herstarten), kopieer en plak de inhoud van log.txt in je volgende antwoord.