HOOW
Garfield-lover
Sinds 29/1/2004
T: 57
R: 3052
|
24/4/2008 -
13:40u
| Quote
|
Zoalng er geen problemen zijn zoek ik dit forum onderdeel niet echt op.
Maar nu heb ik dus wel een probleem  een #@%!!%%@ vervelende probleem
Ik heb een virus
Ik werk op een pc die in een netwerk staat verbonden met de server hier op het werk.
De andere pc's hebben geen problemen, de mijne des te meer.
Er staat een panda anti-virus op die ik persoonlijk vrij ongebruiksvriendelijk vind, ma soit hij werkt.
Hij werk zodanig goed dat ik de laatste week de ene virusmelding achter de andere krijg.
en dat alles voor een virus met de naam: virtumonde.
Ik heb de aanbevelingen van Darunia in een stickie hierboven gevolgd en adaware, spyvbot en CW shredder gedraait
Die eerste twee heb verschillende dingen gevonden en gefixt maar toch blijven de virusmeldingen komen.
Mn pc gaat ook gruwelijk traag en het is alsof hij constant met iets anders bezig is dan ik.
Dus hier een hijackthis logje
Iemand die er verstand van heeft die mij raad kan geven?
De sterretjes zijn waar ik de naam van de firm verwijderd heb uit de adressen
Logfile of HijackThis v1.99.1
Scan saved at 13:31:03, on 24/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\RDS\RsiSvc.exe
C:\Program Files\RDS\srscandr.exe
C:\Program Files\Sr\AgentSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\RDS\ddsschednt.exe
C:\Program Files\Sr\AgentFrm.exe
C:\Program Files\Sr\compnts\Vr\PavSrv51.exe
C:\Program Files\Sr\compnts\Vr\AVENGINE.EXE
C:\Program Files\Sr\Compnts\Vr\WebProxy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Sr\SrLogon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\RDS\PLTBar.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Program Files\AutoCAD 2002\acad.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {072907E1-7A78-440C- 59-3DE0A802C6BD} - C:\WINDOWS\system32\mljklmnl.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [PHIME2002ASync] "C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE" /SYNC
O4 - HKLM\..\Run: [PHIME2002A] "C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE" /IMEName
O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install
O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [Sr Agent] "C:\Program Files\Sr\SrLogon.exe"
O4 - HKLM\..\Run: [Synchronization Manager] "C:\WINDOWS\system32\mobsync.exe" /logon
O4 - HKLM\..\Run: [BM53a7589b] Rundll32.exe "C:\WINDOWS\system32\hfjlgaiw.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: De bezorgingsservices starten.lnk = ?
O4 - Global Startup: Function Palette.lnk = C:\Program Files\RDS\PLTBar.exe
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res /C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O10 - Unknown file in Winsock LSP: c:\program files\bonjour\mdnsnsp.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.westcomputer.com
O16 - DPF: Dexia netbanking - http://netbanking.dexia.be/PC//Dynamic/Shared/Applet//DexiaIIA.cab
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.5) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1149148950624
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://virusscan.zdnet.be/housecall/xscan53.cab
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday Control) - file/C:\Program Files\Autodesk Architectural Desktop 3\AcDcToday.ocx
O16 - DPF: {AE563720-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file/C:\Program Files\Autodesk Architectural Desktop 3\InstBanr.ocx
O16 - DPF: {C6637286-300D-11D4-AE0A-0010830243BD} (InstaFred) - file/C:\Program Files\Autodesk Architectural Desktop 3\InstFred.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) - file/C:\Program Files\Autodesk Architectural Desktop 3\AcPreview.ocx
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain =******l.local
O17 - HKLM\Software\..\Telephony: DomainName = ******.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{9B6EDDA8-C072-4476-B777-78728FB0A259}: NameServer = 10.0.1.2
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ******.local
O20 - Winlogon Notify: tusrrpmk - tusrrpmk.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-service (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Dds Scheduler Deamon (DdsSched) - RICOH Company Ltd. - C:\Program Files\RDS\ddsschednt.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Program Files\Sr\compnts\Vr\PavSrv51.exe
O23 - Service: Ridoc Server Information Service (RsiSvc) - RICOH Company Ltd. - C:\Program Files\RDS\RsiSvc.exe
O23 - Service: ScanRouterDriverV2 - Ricoh Co.,Ltd. - C:\Program Files\RDS\srscandr.exe
O23 - Service: SOption - RICOH Company Ltd. - C:\Program Files\RDS\SOption.exe
O23 - Service: Secure Resolutions Managed Agent (SR Agent) - Unknown owner - C:\Program Files\Sr\AgentSvc.exe
|
lordfragger
[mod], gewoon [mod]
Sinds 28/6/2004
T:15 -
R:3135
|
24/4/2008 -
13:54u
| Quote
|
|
Download dit tooltje, herstart de pc in veilige modus (een paar keer op F8 rammen tijdens het booten) en voer het tooltje uit. Normaal zou het dan weg moeten zijn.
|
HOOW
Garfield-lover
Sinds 29/1/2004
T:57 -
R:3052
|
24/4/2008 -
15:28u
| Quote
|
Het logje dat je tooltje heeft na draaien
Interpreteer ik het correct dat er niets gevonden is??
[04/24/2008, 15:16:59] - VirtumundoBeGone v1.5 ( "C:\VirtumundoBeGone.exe" )
[04/24/2008, 15:17:05] - Detected System Information:
[04/24/2008, 15:17:05] - Windows Version: 5.1.2600, Service Pack 2
[04/24/2008, 15:17:05] - Current Username: medewerker (Admin)
[04/24/2008, 15:17:05] - Windows is in SAFE mode.
[04/24/2008, 15:17:05] - Searching for Browser Helper Objects:
[04/24/2008, 15:17:05] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper)
[04/24/2008, 15:17:05] - BHO 2: {53707962-6F74-2D53-2644-206D7942484F} (Spybot-S&D IE Protection)
[04/24/2008, 15:17:05] - BHO 3: {5F33A03D-B15E-4B53-A674-A42BF14BBA69} ()
[04/24/2008, 15:17:05] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/24/2008, 15:17:05] - Checking for HKLM\...\Winlogon\Notify\mljklmnl
[04/24/2008, 15:17:05] - Key not found: HKLM\...\Winlogon\Notify\mljklmnl, continuing.
[04/24/2008, 15:17:05] - Finished Searching Browser Helper Objects
[04/24/2008, 15:17:05] - Finishing up...
[04/24/2008, 15:17:05] - Nothing found! Exiting...
Zal het rap weten als panda daar sebiet weer is met zn meldingen of niet
|
HOOW
Garfield-lover
Sinds 29/1/2004
T:57 -
R:3052
|
24/4/2008 -
15:31u
| Quote
|
Aargh, te hard gehoopt
nog steeds om de tien minuuten een virusmelding ivm virtumonde
my ass!!!!!!!!
|
Snorf
wzl-lid
Sinds 10/10/2006
T:14 -
R:746
|
24/4/2008 -
15:53u
| Quote
|
yep, deze trojan komt me nogal bekend voor. Er is een tooltje om die te verwijderen. Hier te vinden. Ik denk dat ik het de vorige keer zo weggekregen heb, of het was met Spybot: Search and Destroy. ik weet 't nimeer.
Hier staat wat meer info over die trojan, met ook andere manieren om hem eventueel weg te krijgen.
edit: na wat opzoeken en verder graven in mijn geheugenslagveld denk ik toch dat het weg was met spybot: search and destroy. Dit is trouwens volgens mij het betere anti-spyware programma. downloaden, UPDATEN, immuniseren, en scannen. Ik geloof dat hij 2 keer moest scannen, de eerste keer gewoon in windows, en de tweede keer net voor het inloggen in windows, maar dat zou hij normaal automatisch moeten doen. Kan wel een tijdje duren.
Laatst aangepast door
Snorf
op 24/04/2008 16:21:07u
(3x aangepast)
|
HOOW
Garfield-lover
Sinds 29/1/2004
T:57 -
R:3052
|
24/4/2008 -
16:23u
| Quote
|
Ik heb zowel adaware, spybot en CW shredder al een paar keer laten draaien 
Zal het maar nog en paar keer doen
Maar vrees dat het toch een voledige herinstallatie zal worden
als ik mijn baas toch zover krijg, want voor hem is alles ok, zolang mn scherm licht geeft
|
mrvazil
wzl-lid
Sinds 15/5/2005
T:6 -
R:780
|
24/4/2008 -
16:29u
| Quote
|
|
ge moet uw systeemherstel eerst uitschakelen, anders plaatsen die zichzelf terug
|
D3ton8oR
Stella-man
Sinds 15/10/2003
T:32 -
R:1581
|
24/4/2008 -
20:34u
| Quote
|
HOOW schreef:
Ik heb zowel adaware, spybot en CW shredder al een paar keer laten draaien
Zal het maar nog en paar keer doen
Maar vrees dat het toch een voledige herinstallatie zal worden
als ik mijn baas toch zover krijg, want voor hem is alles ok, zolang mn scherm licht geeft
als't u echt tegensteekt en ge vindt niks om het op te lossen, zorg dan da uw scherm geen licht meer geeft he.. 
|
HOOW
Garfield-lover
Sinds 29/1/2004
T:57 -
R:3052
|
25/4/2008 -
9:33u
| Quote
|
 goed idee
heb nu een tooltje gevonden van symantec om het te verwijderen
ben dat nu ns aant draaien
Er wordt op nogal wat sites ook gewaarschuwd voor valse verwijder tooltjes die niets doen of het erger maken.
 nu vertrouw ik niets meer
|
D3ton8oR
Stella-man
Sinds 15/10/2003
T:32 -
R:1581
|
25/4/2008 -
11:39u
| Quote
|
als ge tools recht van symantec haalt dan zou ik er nie mee inzitten.. tzou erg zijn moesten die al fake tools maken 
|
HOOW
Garfield-lover
Sinds 29/1/2004
T:57 -
R:3052
|
25/4/2008 -
12:07u
| Quote
|
|
ja maar wat vreemd is, ik heb die nu laten draaien en die vindt ook al geen virus waar komen al die fucking virusmeldingen en mn trage pc dan van?
|
D3ton8oR
Stella-man
Sinds 15/10/2003
T:32 -
R:1581
|
25/4/2008 -
12:59u
| Quote
|
|
van een goed-weggestoken-virus waarschijnlijk.. mss een variant die (nog?) nie gevonden wordt door da tooltje.. Als ge niks vindt vrees ik da het idd ne format zal worden
|
HOOW
Garfield-lover
Sinds 29/1/2004
T:57 -
R:3052
|
25/4/2008 -
13:42u
| Quote
|
Ik heb op deze pagina van planet.nl een vrij uitgebreid artikel gegeven.
Hun oplossing werkte niet maar bij de reactie heb ik een vrij nuttige link gevonden die me doorverwijst naar weer nog een toolje ^^
(virtumonde is ook gekend als vundo)
Gepost door wgsadenhartog op 07-03-2008 22:25
DE OPLOSSING VOOR VUNDO
Sinds een week ben ik aan het stoeien gegaan met VUNDO , zoals zovelen.
Het is een heftige trojan en de beste scanners pakken hem er niet uit.
Een hoop gevogel met Hyjack this en de Symantic Vundofix en nog steeds geen resultaat tot ik liep tegen een gesponsorde link van PLANET.NL en wel van [url]WWW.superantispyware.com[/url]
Deze claimen dat hun gratis programma VUNDO wel verwijderd.
Planet laat zich niet zomaar sponsoren dus ik dacht dit is wel safe, en ja hoor na een paar uur scannen met de freeware versie 4.0.1154 van Superantispyware is VUNDO weg, ik draai al twee dagen zonder dat Norman hem signaleert.
De catch is natuurlijk dat ze hiermee laten zien hoe goed hun product is en hopen dat je de pro versie aanschaft, maar goed dat verplichten ze niet dit is alleen goed voor hun naamsbekendheid.
ECHT EEN AANRADER DUS.
GIJS
Die is nu aan het draaien (als het niet betert kan het maar evengoed verslechteren, zolang er maar iets gebeurd)
en heeft al 8 items gevonden ivm vundo
we leven op hoop
hopelijk is het straks geen hoop stront
alleen vervelend dat het zoveel van mn cpu neemt en ik nog wat wil/moet werken ondertussen
Laatst aangepast door
HOOW
op 25/04/2008 13:43:09u
(1x aangepast)
|
HOOW
Garfield-lover
Sinds 29/1/2004
T:57 -
R:3052
|
25/4/2008 -
14:23u
| Quote
|
Goed nieuws denk ik, Superantispyware heeft al 34 dingen gevonden.
Hopelijk heb ik nu idd da klootzakske bij zn nekvel
en ja het is ondertussen heel persoonlijk geworden tussen mij en dat virus!!
|
HOOW
Garfield-lover
Sinds 29/1/2004
T:57 -
R:3052
|
25/4/2008 -
16:06u
| Quote
|
mannen mannen, da spulleke heeft gedraaid, massas dingen weggesmeten, gereboot
en nu zit ik hier op eieren, te wachten op weer een virusmelding
en t komt precies niets
amaai spannend
...
|
HOOW
Garfield-lover
Sinds 29/1/2004
T:57 -
R:3052
|
25/4/2008 -
16:11u
| Quote
|
Ziet dit er niet heel veel beter uit?
Of zegt het jullie allemaal even weinig als mij.
Logfile of HijackThis v1.99.1
Scan saved at 16:09:18, on 25/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\RDS\RsiSvc.exe
C:\Program Files\RDS\srscandr.exe
C:\Program Files\Sr\AgentSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\RDS\ddsschednt.exe
C:\Program Files\Sr\AgentFrm.exe
C:\Program Files\Sr\compnts\Vr\PavSrv51.exe
C:\Program Files\Sr\compnts\Vr\AVENGINE.EXE
C:\Program Files\Sr\Compnts\Vr\WebProxy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Sr\SrLogon.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\RDS\PLTBar.exe
C:\Program Files\AutoCAD 2002\acad.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\Ad-Aware2007.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\Program Files\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {072907E1-7A78-440C-59-3DE0A802C6BD} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {E8B707C3-6980-4F98-9F92-CE1EF608A4DA} - C:\WINDOWS\system32\mljklmnl.dll (file missing)
O4 - HKLM\..\Run: [PHIME2002ASync] "C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE" /SYNC
O4 - HKLM\..\Run: [PHIME2002A] "C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE" /IMEName
O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install
O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [Sr Agent] "C:\Program Files\Sr\SrLogon.exe"
O4 - HKLM\..\Run: [Synchronization Manager] "C:\WINDOWS\system32\mobsync.exe" /logon
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: De bezorgingsservices starten.lnk = ?
O4 - Global Startup: Function Palette.lnk = C:\Program Files\RDS\PLTBar.exe
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res/C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O10 - Unknown file in Winsock LSP: c:\program files\bonjour\mdnsnsp.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.westcomputer.com
O16 - DPF: Dexia netbanking - http://netbanking.dexia.be/PC//Dynamic/Shared/Applet//DexiaIIA.cab
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.5) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1149148950624
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://virusscan.zdnet.be/housecall/xscan53.cab
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday Control) - file/C:\Program Files\Autodesk Architectural Desktop 3\AcDcToday.ocx
O16 - DPF: {AE563720-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file/C:\Program Files\Autodesk Architectural Desktop 3\InstBanr.ocx
O16 - DPF: {C6637286-300D-11D4-AE0A-0010830243BD} (InstaFred) - file/C:\Program Files\Autodesk Architectural Desktop 3\InstFred.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) - file/C:\Program Files\Autodesk Architectural Desktop 3\AcPreview.ocx
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = *****.local
O17 - HKLM\Software\..\Telephony: DomainName = *****.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{9B6EDDA8-C072-4476-B777-78728FB0A259}: NameServer = 10.0.1.2
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ****.local
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = *****.local
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: tusrrpmk - tusrrpmk.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-service (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Dds Scheduler Deamon (DdsSched) - RICOH Company Ltd. - C:\Program Files\RDS\ddsschednt.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Program Files\Sr\compnts\Vr\PavSrv51.exe
O23 - Service: Ridoc Server Information Service (RsiSvc) - RICOH Company Ltd. - C:\Program Files\RDS\RsiSvc.exe
O23 - Service: ScanRouterDriverV2 - Ricoh Co.,Ltd. - C:\Program Files\RDS\srscandr.exe
O23 - Service: SOption - RICOH Company Ltd. - C:\Program Files\RDS\SOption.exe
O23 - Service: Secure Resolutions Managed Agent (SR Agent) - Unknown owner - C:\Program Files\Sr\AgentSvc.exe
|
HOOW
Garfield-lover
Sinds 29/1/2004
T:57 -
R:3052
|
25/4/2008 -
16:17u
| Quote
|
|
en de euforie kwam te vroeg
|
lordfragger
[mod], gewoon [mod]
Sinds 28/6/2004
T:15 -
R:3135
|
25/4/2008 -
17:01u
| Quote
|
O2 - BHO: (no name) - {072907E1-7A78-440C-59-3DE0A802C6BD} - (no file)
O2 - BHO: (no name) - {E8B707C3-6980-4F98-9F92-CE1EF608A4DA} - C:\WINDOWS\system32\mljklmnl.dll (file missing)
O20 - Winlogon Notify: tusrrpmk - tusrrpmk.dll (file missing)
Die moogt ge al zeker aanvinken in hijackthis en fixen. Da lijkt in ieder geval op restanten van die infectie.
|
HOOW
Garfield-lover
Sinds 29/1/2004
T:57 -
R:3052
|
25/4/2008 -
17:55u
| Quote
|
die "mljklmnl.dll" was idd de dll die steeds werd aangeduidt als infected
maar nu heeft em gewoon een andere dll op
maandag nog eens scannen met dat tooltje
en t weekend van 1 mei mag hij dan eindelijk binnen voor een extreme makeover
|
D3ton8oR
Stella-man
Sinds 15/10/2003
T:32 -
R:1581
|
27/4/2008 -
12:14u
| Quote
|
|
ga maar mee
|
HOOW
Garfield-lover
Sinds 29/1/2004
T:57 -
R:3052
|
27/4/2008 -
14:10u
| Quote
|
 
|
